Chrome. Потенциальная дыра в безопасности паролей

Google стремится сделать нашу жизнь лучше.. По крайней мере это он так считает :) К своему удивлению, недавно обнаружил потенциальную дыру в безопасности, основанную на наивности юзера. Сочетание: браузер Chrome, залогиниться в браузере, разрешить сохранение паролей и их синхронизацию. По умолчанию от юзера требуется только залогиниться, дальше Google думает за вас.

Как это работает: заходим на какой-нибудь сайт, вводим там логин/пароль. Браузер предложит сохранить его в "Smart Lock". Все по-честному, есть даже ссылка на документацию на русском, что это такое. Нo! Вы бы стали курить доки, когда вам просто нужно запомнить пароль? Вот и я не стал. В итоге, введенный пароль запоминается на сервере Google, и доступ к нему можно получить под вашей учеткой с любого устройства, где вы залогинитесь в Google. Например, зайдя со смарта на тот же сайт можно получить от Google пару логин/пароль. Удобно, ага..

А минус этой фичи в том, что по умолчанию все сохраненные пароли можно посмотреть в своей учетке Гугля. Причем открытым текстом(!) с указанием того, куда относится этот пароль. Объясняю для непонятливых: если хакер угонит ваши ключи от учетки Гугля, он получит бонусом ключи от всех сайтов, где вы логинились и сохраняли пароли в Smart Lock. При этом ему даже доступ к вашему компу не нужен! А теперь спросите себя, насколько сложен ваш пароль от учетки Гугля?

Справедливости ради нужно заметить, что так же по умолчанию Google ведет контроль за устройствами/приложениями, откуда вы в него логинитесь. И дополнительно можно настроить двухфакторную аутентификацию. Но обычный юзер скорее всего это проигнорирует. А вот все пароли для него уже заботливо сохраняются по умолчанию..

Вообщем, я считаю, что это зло. Хотя может я и параноик :)

Как отключить хранение паролей на сервере, но оставить в браузере

Может я один такой, но я заблудился в манулах, когда пытался по релевантным ссылкам Гугля разобраться, как вообще это работает и почему мои пароли палятся в учетке. Поэтому рассказываю, как это сделать без "friendly user" инструкций в стиле Google.

Как я уже сказал, в браузере можно логиниться с учеткой Google. Это позволяет сохранить все настройки браузера на серваке Google (синхронизация). Что конкретно синхронизировать, можно выбрать в настройках браузера. Идем в настройки, ищем кнопу "Дополнительные настройки синхронизации". Во всплывающем окне нужно убрать флаг с паролей.

Далее, чтобы пароли в принципе сохранялись, нужно в браузере это разрешить. Там же в настройках ищем раздел "Пароли и формы", поднимаем флаг "Предлагать сохранять пароли для сайтов".

Именно в сочетании "разрешить хранение паролей" и "не синхронизировать пароли" получаем хранение только в браузере. Кстати, если не залогиниться в браузере, получим тот же эффект.

Официальная документация: Как управлять сохраненными паролями

P.S.: нашел статью по похожей проблеме