Secara default, Google yang mengelola kunci enkripsi Anda, tetapi mereka memungkinkan Anda untuk menyiapkan enkripsi pada perangkat, yang cara kerjanya mirip dengan arsitektur zero-knowledge. Password Anda dienkripsi terlebih dahulu sebelum disimpan di perangkat, dan Anda sendiri yang mengelola kuncinya. Terlepas dari bagaimana cara kerja enkripsinya, Google menggunakan AES, yang masih menjadi standar terbaik untuk keamanan di antara para pengelola kata sandi.
Dulu, mendekripsi password Chrome sangatlah mudah, hanya memerlukan skrip Python sederhana dan pengetahuan tentang lokasi penyimpanan file-nya. Namun, Google telah meningkatkan standar keamanannya. Enkripsi yang terikat pada aplikasi telah membuat metode lama itu tidak berlaku lagi, dan membobol password sekarang menjadi jauh lebih rumit daripada sebelumnya. Lebih lanjut, Google telah berintegrasi dengan Windows Hello. Jika Anda menginginkannya, Anda bisa menggunakan Windows Hello untuk melindungi password setiap kali login dengan meminta PIN atau autentikasi biometrik.
Browser lain tidak seaman ini. Misalnya, Firefox secara jelas menyatakan bahwa meskipun password yang disimpan dienkripsi, "seseorang yang memiliki akses ke profil pengguna komputer Anda tetap dapat melihat atau menggunakannya." Brave bekerja dengan cara yang serupa, meski saya menduga kebanyakan pengguna Brave sudah menggunakan pengelola password pihak ketiga (dan mungkin juga VPN).
Bagaimanapun, menyimpan password di browser yang kurang aman sekalipun seperti Firefox tetap jauh lebih baik daripada tidak menggunakan pengelola password sama sekali. Dan browser-browser yang mendominasi pangsa pasar, Chrome dan Safari, telah sangat meningkatkan praktik keamanan mereka dalam beberapa tahun terakhir. Masalahnya bukanlah pada enkripsi—melainkan pada menaruh semua telur dalam satu keranjang.
Mari Berbicara tentang OpSec
OpSec, atau keamanan operasional, biasanya adalah istilah yang digunakan untuk data sensitif di organisasi pemerintah atau swasta, tetapi Anda bisa melihat keamanan Anda sendiri melalui sudut pandang OpSec. Jika Anda seorang penyerang dan ingin mencuri password seseorang, bagaimana cara Anda melakukannya? Saya tahu di mana saya akan mencari pertama kali.
Bahkan dengan langkah-langkah keamanan yang lebih baik, tujuan dari pengelola password berbasis browser adalah agar orang-orang mulai menggunakan pengelola password. Hal itu harus diseimbangkan dengan kemudahan penggunaan pengelola password tersebut. Dalam sebuah posting blog yang mengumumkan perubahan pada metode autentikasi Google dari Google I/O tahun ini, perusahaan tersebut menyebut kata "friksi" sebanyak tujuh kali, sementara kata "enkripsi" tidak disebutkan sama sekali. Ini bukanlah hal yang buruk, tetapi membuktikan bagaimana alat-alat ini dirancang.
Anda tidak perlu menyaring kata-kata dari posting blog untuk melihat fokus ini. Google memberi Anda opsi untuk mengaktifkan Windows Hello atau autentikasi biometrik dengan Google Password Manager. Setiap kali Anda ingin mengisi password, Anda perlu melakukan autentikasi. Hal itu sudah pasti lebih aman daripada tidak mengautentikasi setiap kali, tetapi pengaturannya secara default dimatikan. Itu menciptakan friksi.