Password salvate Google: dove vengono memorizzate

Ogni volta che si accede a un servizio online digitando nome utente e password, Google Chrome e i vari browser derivati da Chromium chiedono se si vogliono memorizzare le credenziali in modo da evitare di inserirle nuovamente in un secondo tempo.
Un messaggio simile a quello riprodotto in figura compare nell’angolo superiore destro del browser se e solo se la procedura di login va a buon fine. Chrome è infatti in grado di rilevare automaticamente i form online per l’inserimento di username e password ma anche di capire quando le credenziali inserite dall’utente sono accettate dall’applicazione Web.

Le password salvate da Google vengono conservate sul singolo dispositivo locale (opzione Salva solo su questo dispositivo) oppure caricate sui server dell’azienda, in forma crittografata, all’interno dell’account dell’utente (Salva nel tuo Account Google).

Google tende a spingere gli utenti a sincronizzare Chrome: ciò significa che i dati vengono condivisi tra più dispositivi, password comprese. In questo modo non è necessario digitare nomi utente e password su ciascun device perché, grazie ai server cloud di Google, le credenziali risultano immediatamente disponibili su ogni istanza di Chrome sulla quale si effettua il login con il proprio account Google.

Digitando chrome://settings/syncSetup nella barra degli indirizzi di Chrome quindi cliccando su Attiva la sincronizzazione, è possibile specificare quali dati personali si desiderano caricare sui server di Google all’interno del proprio account.

In Chrome è possibile effettuare il login, in modo da poter accedere con il proprio account Google ai vari servizi offerti dall’azienda di Mountain View, mantenendo però disattivata la sincronizzazione: è la scelta più adatta per coloro che non vogliono caricare sul cloud password, cronologia della navigazione, elenco delle schede aperte, lista dei segnalibri, dati inseriti per la compilazione automatica dei moduli online e così via.

Se invece si decidesse di attivare la sincronizzazione Google, digitando chrome://settings/syncSetup/advanced si possono limitare le informazioni caricate sui server cloud.

Se si fosse interessati alla sola sincronizzazione delle password, si può attivare l’opzione Personalizza sincronizzazione quindi disattivare tutti gli “interruttori” tranne Password.

Password Google salvate in locale e sul cloud

Come accennato in precedenza, Chrome può salvare le password in locale, sul dispositivo in uso, oppure sul cloud. Le password sono quelle che si sono memorizzate in precedenza dopo un login avvenuto con successo su qualunque pagina Web.
La lista delle password insieme con nome utente e indirizzo del sito Web di riferimento sono consultabili digitando chrome://settings/passwords nella barra degli indirizzi.

Cliccando sull’icona dell’occhio a destra di qualunque credenziale, Chrome invita a inserire la password associata all’account utente in uso a livello di sistema operativo. Nel caso di Windows si può effettuare anche l’autenticazione con Windows Hello.

Non fatevi però trarre in inganno dal “falso senso di sicurezza” che offre questo meccanismo: i password manager dei browser non sono sicuri ed è facile trovare le password password con semplici espedienti che abbiamo avuto modo di documentare.
Se si decidesse di usare il password manager integrato in Chrome, il sistema va protetto con BitLocker, si devono assegnare password a tutti gli account utente configurati in Windows e bloccare il PC quando ci si allontana.

Nella pagina Dati di Chrome nel tuo account Google indica il numero di Password che sono state salvate in forma crittografata e che risultano sincronizzate all’interno del proprio account utente. Un clic su Cancella i dati consente di rimuovere eventualmente tutte le informazioni dai server Google.

La pagina Gestore delle password contiene anche la lista delle password salvate sui server Google. Nel riquadro proposto al di sotto di Controllo password, Google mostra icona e indirizzo di ciascun sito Web al quale si riferisce ogni password salvata. Con un clic su ciascuna voce, è possibile controllare nome utente e visualizzare la password salvata.

Il gestore password online di Google raccoglie anche le funzionalità in passato conosciute come Smart Lock for Passwords: per chi utilizza dispositivi Android, Google può salvare e conservare sui suoi server anche le password di accesso utilizzate nelle varie app installate. Ecco perché Google parla di “siti e app” nel riquadro al di sotto di Controllo password.

Cos’è il Controllo password Google

Google fornisce oggi due meccanismi, basati sullo stesso principio di funzionamento, che possono essere utilizzati per controllare la sicurezza delle password. La pagina Gestore delle password vista in precedenza, integra un riquadro Controllo password attraverso il quale è possibile sapere se le proprio credenziali siano sufficientemente “forti” e se fossero cadute nelle mani dei criminali informatici in seguito a qualche attacco, ad esempio lato server, sferrato nei confronti dei gestori di qualche servizio. In questo senso Have I been pwned raccoglie informazioni sui maggiori data breach fornendo agli utenti istruzioni sulle password da cambiare.

Controllo password di Google si basa sullo stesso concetto: per ogni password viene generato il corrispondente hash ovvero una firma corrispondente e univoca. Non è possibile passare dall’hash alla password in chiaro perché gli algoritmi di hashing più forti non sono invertibili (la funzione lavora in un’unica direzione).
Grazie alla tecnica dell’hashing Google non memorizza e non può conoscere le password in chiaro degli utenti. Paragonando però la lista degli hash delle password con le informazioni raccolte in seguito a data breach, può informare l’utente se una o più credenziali dovessero essere sostituite nel più breve tempo possibile.

Per controllare la sicurezza delle password e delle credenziali che si utilizzano sui vari servizi, gli utenti di Chrome che si sincronizzano i dati con Google possono usare la pagina Controllo password.

Chi invece preferisce mantenere la sincronizzazione disabilitata, può avviare il controllo delle password direttamente dall’interfaccia di Chrome digitando chrome://settings/passwords quindi cliccando su Controlla password.