Semua produk yang ditampilkan di WIRED dipilih secara independen oleh editor kami. Namun, kami mungkin menerima kompensasi dari pengecer dan/atau dari pembelian produk melalui tautan ini. Pelajari lebih lanjut.
Browser Anda menginginkannya untuk mengelola kata sandi Anda. Mungkin itu untuk membuat pengalaman browsing Anda lebih lancar di hotly perang browser yang kompetitifatau mungkin itu respons terhadap popularitas pengelola kata sandi. Apa pun alasannya, Anda pasti pernah melihat ratusan pop-up yang menawarkan untuk menyimpan kredensial Anda saat menjelajah online.
Beberapa tahun yang lalu, itu bukanlah ide terbaik, namun zaman telah berubah. Peramban paling populer di dunia, Google Chrome, kini memiliki alat pengelolaan kata sandi yang cukup tangguh, seperti halnya Safari dari Apple, termasuk opsi keamanan yang menghilangkan kritik paling umum terhadap pengelola kata sandi berbasis browser. Jika Anda tidak menggunakan pengelola kata sandi, dan Anda menggunakan kembali beberapa kata sandi yang sama dengan tambahan huruf kapital atau tanda seru, menyimpan kata sandi unik di browser Anda lebih aman daripada yang Anda lakukan. Namun, pengelola kata sandi berbasis browser menimbulkan masalah yang melekat, masalah yang tidak dapat diselesaikan dengan metode autentikasi yang lebih baik atau enkripsi yang unggul.
Peningkatan pada Pengelola Kata Sandi Browser
Pengelola kata sandi browser Anda tidak seaman pengelola kata sandi pihak ketiga komersial, atau begitulah ceritanya. Ada benarnya sentimen tersebut, namun hal ini membutuhkan perbedaan. Pada kenyataannya, pengelola kata sandi browser Anda sangat aman, dan menggunakannya jauh lebih baik daripada mencatat kata sandi di aplikasi catatan Anda atau menggunakan kata sandi yang sama di seluruh situs web.
Saya akan membahas masalah keamanan selanjutnya, tetapi kita harus mulai dengan posisi pengelola kata sandi browser saat ini. Saya akan melihat Chrome dan Pengelola Kata Sandi Google, bukan untuk memilih Google, tetapi karena ini adalah browser paling populer di dunia. Google juga terus memperbarui pengelola kata sandi Chrome, dan kini berada dalam kondisi yang jauh lebih baik daripada sebelumnya.
Pertama, enkripsi. Perbedaan utama antara Pengelola Kata Sandi Google dan pengelola kata sandi komersial bukanlah pada enkripsi yang digunakan, melainkan Bagaimana itu digunakan. Seperti pengelola kata sandi Proton Lulus menggunakan enkripsi tanpa pengetahuan. Artinya, meskipun layanan ini menyimpan kata sandi terenkripsi Anda, layanan tersebut tidak menyimpan kunci untuk mendekripsi kata sandi tersebut.
Google melalui Jacob Roach
Secara default, Google mengelola kunci enkripsi Anda, namun memungkinkan Anda menyiapkan enkripsi di perangkat, yang fungsinya serupa dengan arsitektur tanpa pengetahuan. Kata sandi Anda dienkripsi sebelum disimpan di perangkat Anda, dan Anda mengelola kuncinya. Terlepas dari cara kerja enkripsi, Google menggunakan AES, yang masih menjadi standar keamanan terbaik di kalangan pengelola kata sandi.
Mendekripsi kata sandi Chrome sebelumnya merupakan hal yang mudah, hanya memerlukan skrip Python dan pengetahuan tentang lokasi penyimpanan file. Namun bahkan di sana, Google telah meningkatkan standar keamanan. Enkripsi yang terikat pada aplikasi telah membatalkan metode-metode tersebut, dan peretasan kata sandi jauh lebih rumit dibandingkan sebelumnya. Selanjutnya, Google telah terintegrasi dengan Windows Hello. Jika Anda memilih, Anda dapat membuat Windows Hello melindungi kata sandi Anda setiap kali Anda masuk dengan meminta PIN atau autentikasi biometrik Anda.
Browser lain tidak seaman itu. Firefox misalnya, memperjelas hal itumeskipun kata sandi yang disimpan di Firefox dienkripsi, “seseorang yang memiliki akses ke profil pengguna komputer Anda masih dapat melihat atau menggunakannya.” Brave bekerja dengan cara yang sama, meskipun saya menduga sebagian besar orang yang menggunakan Brave menggunakan pengelola kata sandi pihak ketiga (dan mungkin sebuah VPN) sudah.
Apapun itu, menyimpan kata sandi Anda bahkan di browser yang kurang aman seperti Firefox jauh lebih baik daripada tidak menggunakan pengelola kata sandi sama sekali. Dan browser terdepan dalam pangsa pasar, Chrome dan Safari, telah meningkatkan praktik keamanannya secara signifikan selama beberapa tahun terakhir. Masalahnya bukan pada enkripsi—tetapi menempatkan semua telur Anda dalam satu keranjang.
Mari Bicara OpSec
OpSec, atau keamanan operasional, biasanya merupakan istilah yang digunakan ketika berbicara tentang data sensitif di organisasi pemerintah atau swasta, namun Anda dapat melihat keamanan Anda sendiri melalui lensa OpSec. Jika Anda seorang penyerang dan ingin mencuri kata sandi seseorang, bagaimana cara Anda melakukannya? Saya tahu di mana saya akan mencarinya terlebih dahulu.
Bahkan dengan langkah-langkah keamanan yang lebih baik, tujuan dari pengelola kata sandi berbasis browser adalah untuk membuat orang menggunakan pengelola kata sandi. Hal ini harus diimbangi dengan kemudahan penggunaan pengelola kata sandi. Di dalam sebuah postingan blog Saat mengumumkan perubahan pada metode autentikasi Google dari Google I/O tahun ini, perusahaan tersebut menyebutkan pengurangan “gesekan” sebanyak tujuh kali, sedangkan “enkripsi” tidak disebutkan sama sekali. Itu bukan hal yang buruk, tapi ini merupakan bukti bagaimana alat ini dirancang.
Anda tidak perlu memilih kata dari postingan blog untuk melihat fokus ini. Google memberi Anda opsi untuk mengaktifkan Windows Hello atau otentikasi biometrik dengan Pengelola Kata Sandi Google. Setiap kali Anda ingin mengisi kata sandi, Anda harus melakukan otentikasi. Hal ini tentunya lebih aman daripada tidak mengautentikasi setiap saat, namun pengaturannya dinonaktifkan secara default. Ini menciptakan gesekan.
Foto: Simon Hill
Tanpa mengaktifkan pengaturan ini, siapa pun yang memiliki akses ke PC yang login dapat masuk ke browser Anda, menuju ke pengaturan, dan melihat (dan bahkan mengekspor) kata sandi Anda dalam teks biasa. Jika saya memiliki akses ke PC seseorang dan ingin mencuri kata sandinya, tempat pertama yang saya tuju adalah pengelola kata sandi browser.
Yang lebih memprihatinkan adalah target di belakang akun Google Anda. Hanya beberapa bulan yang lalu, Gmail mengalami pelanggaran datadan meskipun tidak ada informasi sensitif yang dicuri, Google mendesak 2,5 miliar pengguna (sekitar sepertiga populasi global) untuk memperbarui sandi mereka. Jika penyerang berhasil mengambil alih akun Anda, bukanlah ide bagus untuk memberi mereka kata sandi Anda selain akses tak terkendali ke email Anda dan layanan apa pun yang Anda tautkan ke akun Google Anda.
Pengambilalihan akun terjadisebagian besar disebabkan oleh phishing, menurut Google. Sekali lagi, melihat melalui lensa OpSec, bukanlah ide terbaik untuk mengunci kata sandi untuk semua akun Anda di belakang akun yang merupakan target bernilai tinggi. Itu bukan penggalian di Google. Ini hanyalah kenyataan memiliki satu akun yang begitu lazim dalam kehidupan online.
Ada beberapa cara untuk mencegah terjadinya pengambilalihan akun, termasuk autentikasi multifaktor (MFA) dan metode autentikasi terikat perangkat seperti kunci sandi. Baik Google dan Apple menawarkan opsi ini untuk meningkatkan keamanan akun Anda. Namun, jika kita mempertimbangkan mitigasi risiko, menyimpan kata sandi Anda di pengelola kata sandi pihak ketiga memberi Anda lapisan perlindungan lain selain mengunci satu akun bernilai tinggi.
Melampaui Keamanan
Keamanan adalah yang pertama dan terpenting ketika melihat pengelola kata sandi, tapi jangan lewatkan hutan untuk pepohonan. Pengelola kata sandi komersial hadir dengan lebih banyak fitur dan fungsi.
Proton Lulusmisalnya, memberi Anda akses ke alias email untuk mengurangi kemungkinan alamat email Anda bocor karena pelanggaran. 1 Kata Sandi memberimu Mode Perjalanan untuk membersihkan brankas Anda saat bepergian. Bitwarden memungkinkan Anda menghapus seluruh brankas dari internet jika Anda mau, dengan opsi yang dihosting sendiri. Belum lagi beragam data yang dapat Anda simpan di pengelola kata sandi pihak ketiga, termasuk dokumen dan catatan terenkripsi, dan entri khusus untuk data lain apa pun yang ingin Anda simpan.
Seperti pengelola kata sandi khusus NordPass memungkinkan Anda membagikan entri Anda. Anda dapat membagikan kata sandi yang disimpan di Pengelola Kata Sandi Google dan Rantai Kunci iCloud, namun hanya dalam ekosistemnya sendiri. Dengan pengelola kata sandi pihak ketiga, saya dapat, misalnya, membagikan kata sandi Wi-Fi saya kepada seseorang meskipun mereka tidak memiliki akun.
Menggunakan pengelola kata sandi apa pun lebih baik daripada tidak menggunakan sama sekali, jadi jika Anda menghindari pengelola kata sandi browser karena Anda mendengarnya tidak aman, dan akibatnya, menggunakan kata sandi yang sama di seluruh situs web, berhentilah. Browser Anda lebih aman. Namun bagi orang-orang yang tidak keberatan dengan sedikit gesekan demi keamanan yang lebih baik, pengelola kata sandi pihak ketiga adalah pilihan yang tepat.
