我正在使用 Chrome 和 Chrome Sync；Google 可以访问我的密码吗？

简而言之，是的。如果启用了同步功能，并且您选择保存密码，则该密码将发送到 Google 的服务器。也就是说，数据是加密的，并且访问受到限制。

默认情况下，Google 使用你的帐户凭据加密你的同步数据。谷歌表示，如果不知道你的密码，这些数据就无法解密，事实上，当你的凭证发生变化时，所有同步的数据都必须从他们的系统中删除，然后才能从你的设备中重新同步（并在此过程中使用你的新凭证重新加密）。

因此，如果一切正常，Google 本身是值得信任的，并且 Google 基础设施足够安全，可以阻止感兴趣的第三方（如 NSA、犯罪黑客等）入侵，那么您的数据就是安全的。话虽如此，但 Google 仍然有能力解密您的数据，尽管他们没有公开这一点。这只是因为他们参与创建了密钥（您的凭据），因此他们可以保存密钥并可能滥用这些密钥。

这种程度的信任超出了我的预期，所以在这种情况下，我会选择不保存密码或同步数据到他们的服务，但这只是我的偏好。只有傻瓜才会信任所有人，但只有更大的傻瓜才会不信任任何人。

这取决于你的加密设置。

• 使用您的 Google 凭据加密同步的密码：这是默认选项。您保存的密码在 Google 服务器上加密，并受您的 Google 帐户凭据保护。

通过此选项，Google 可以访问您的数据。

• 使用您自己的同步密码加密所有同步数据：如果您想要加密所有选择同步的数据，请选择此选项。您可以提供自己的密码，该密码只会存储在您的计算机上。

使用此选项，Google 将无法访问你的数据，假设他们会诚实地告知您的密码（如果您忘记了密码，则表明他们不会为您存储密码），他们的同步安全中没有一些漏洞（或后门），并且您的密码足够安全，可以抵御 Google 的暴力破解尝试（这样的密码是可能的，但非常不典型）。

您可以使用离线密码管理器（例如KeePass结合使用 Chrome 作为浏览器。您可以通过不再使用 Google 产品来完全消除这种机会（如果他们真的将键盘记录器与 Google Drive 或 Chrome 捆绑在一起怎么办？使用 Gmail，密码重置请求可能会以某种方式被拦截，可能导致 Google 访问您的帐户，即使您的密码无法破解）。

使用 Firefox，您的数据安全取决于您的 Firefox 帐户密码有多安全。如果您选择一个好的密码，Mozilla 或任何人都不可能访问您的密码。但是，这假设 Mozilla 对系统的工作原理是诚实的，并且他们的安全性没有漏洞（或后门）。您可以通过运行自己的私人同步来增加额外的安全措施服务器而不是使用 Mozilla 的。由于 Firefox 是开源的，并且 Mozilla有更好的隐私方面的记录比谷歌确实，它们的可能性试泄露数据的可能性似乎要低得多。

根据自己的需要，选择自己喜欢的保密级别。我不会使用任何 Google 产品来满足斯诺登级别的需要，但对于普通的隐私需求，我至少会在 Google Sync 上使用密码（这样，攻击者在访问您的 Google 帐户时，在获得您的密码之前，还有一层需要通过）。

另请注意，如果有人设法在您的电脑上安装了键盘记录器（可能还辅以屏幕抓取工具和鼠标点击记录器来对抗屏幕键盘），那么所有这一切都将失效。

您的偏执是有道理的。是的，Google 可以访问您的密码。即使您定义了自定义密码，情况也是如此，除非该密码是真正随机的，而不是典型的人为选择的密码。原因是，Chrome 将该密码转换为加密密钥（PBKDF2-HMAC-SHA1 将进行 1003 次迭代）的方法非常容易被暴力破解。它不占用 Google 的资源，任何愿意在显卡上投资不到 1000 美元的人都可以在几天内猜出大多数密码。当前的实现甚至无法设置变量盐，这允许并行猜测所有帐户的密码。编辑（2020-03-15）：从 Chrome 80 开始，我们采用了更好的实现方式。因此，只要您设置了密码，您的密码就是安全的。

当前 Firefox Sync 的实现要好得多。任何仅访问服务器上数据的人都无法利用它做很多事情，保护措施是合理的。然而，该保护的客户端组件目前并不理想（PBKDF2-HMAC-SHA256 经过 1000 次迭代），因此任何能够在密码哈希发送到服务器时拦截它的人都能够以相对较小的努力猜出您的密码。

附加信息：

• 我关于该主题的博客文章
• Chromium 问题 820976
• Mozilla 错误 1320222

不，Google 不会存储或知道您的任何密码。自 2018 年以来，Google 已彻底改造并改进了 Chrome 同步功能，使其能够使用高级加密技术将数据存储到您的 Google 帐户，而不是像许多浏览器那样使用简单的设备到设备同步。

Google 无法访问您的任何密码，Chrome 通过设备加密保护您的密码。您还可以添加仅限特定设备（无云）加密，我在本文末尾链接\解释。您还可以将其存储在云中，但使用您自己的“密码”来启动同步，如果这也适合您的话。

2019 年左右，Google 开始开发 passwords.google.com 作为主要“中心”，用于访问所有设备（iOS、Windows、Mac、ChromeOS、Android、Linux）通过 Google 帐户同步存储的密码。

到 2023 年初，Google 密码管理器已向所有用户全面推出，并结合了 Chrome、Android、iOS、Linux、Mac 和 Windows 的密码存储。

您的所有密码都经过安全哈希处理并保存在设备上，除非您使用“密码检查”功能查看是否有任何数据泄露。但是，Google永远无法解密您的完整密码。

您可以在 Google 安全博客上阅读对此的解释：

• https://security.googleblog.com/2021/02/new-password-checkup-feature-coming-to.html#:~:text=User%20privacy%20is,to%20their%20account。

可对 Google 密码\同步进行 100% 设备加密

设备加密的工作原理
设置设备加密后，您只能使用 Google 密码或符合条件的设备的屏幕锁在您的设备上解锁密码。使用设备加密，除您之外，没有人能够访问您的密码。

• 开始使用设备加密- Google 帐户相关文档。 https://support.google.com/accounts/answer/11350823

为了继续使用设备上的加密，所有密钥也都通过设备同步，现在 Apple、Microsoft 和 Google 都已推出了密钥支持，并从 2022 年 12 月开始增加密钥支持：

2022 年 10 月，Google 的安全博客发表了一篇文章，帮助进一步解释密码管理器中的密钥和密码

• Google 密码管理器中的密钥安全性 https://security.googleblog.com/2022/10/SecurityofPasskeysintheGooglePasswordManager.html