Руководства по безопасности
Безопасно ли хранить пароли в Google Drive? Как держать их правильно
Держите пароли в документе или таблице Google Drive? Почему список открытым текстом опасен — один аккаунт Google становится единой точкой отказа для каждого пароля — чем отличается зашифрованное хранилище и почему менеджер паролей — это ответ.
Для всех, кто держит пароли от админ-панели и аккаунтов в документе или таблице Google Drive, гадая «безопасно ли это?». Вот честный ответ. Без шагов атаки — только как хранить их безопасно.
Взгляд этого сайта: проблема не в «использовании Drive», а в «открытом тексте»
Распространённое заблуждение — «класть в облако плохо». Это не так. Настоящая проблема — держать это открытым текстом, в списке. Синхронизировать зашифрованное хранилище паролей (например, KeePass .kdbx) через Drive — это нормальная, безопасная практика по всему миру: файл — это просто шифртекст без своего мастер-ключа. И наоборот, как бы ни был заперт ваш аккаунт Google, если содержимое — таблица открытым текстом, любой, кто попадёт в этот аккаунт, прочтёт всё. Мыслите категориями «читаемо без вашего ключа или нет», а не облако vs не-облако.
Почему список открытым текстом опасен
Соблазнительно думать «это в аккаунте Google с надёжным паролем, так что нормально». Но список открытым текстом накапливает свои собственные риски.
Конкретно, любое из этого утекает весь список.
Захват аккаунта Google
Предоставление доступа вредоносному подключённому приложению
Фишинг через ручное копирование
Разрастание устройств и ссылок для доступа
И собственное шифрование Google Drive — это вид «Google может прочитать», не уровня секретов. Сделайте секреты нечитаемыми без вашего ключа, прежде чем передавать их любому хосту — это правило обращения с секретами (та же идея, что в файлы .env и секреты).
Шкала от опасного к безопасному
Даже «хранится на Drive» сильно варьируется по тому, что внутри.
✗ таблица открытым текстом
вписано прямо в документ/таблицу
△ зашифрованный zip
архив с паролем; трение убивает его
○ зашифрованное хранилище
KeePass .kdbx, синхронизируемый через Drive
◎ менеджер паролей
Bitwarden/1Password; автозаполнение + мониторинг
Как хранить их правильно
Лучший ответ — перейти на специализированный менеджер паролей. Эти шаги выводят вас из списка открытым текстом.
Используйте специализированный менеджер паролей
Сделайте мастер-пароль длинным и уникальным
Поставьте устойчивую к фишингу MFA на менеджер и аккаунт Google
После переноса удалите список открытым текстом навсегда
Переходите на passkey там, где можете
Список открытым текстом в Google Docs
- падает один аккаунт — и утекает всё
- вы можете вставить в поддельный сайт вручную (нет защиты от фишинга)
- нет обнаружения утечек, автозаполнения или версий
- доступ подключённого приложения может прочитать содержимое
Специализированный менеджер паролей
- содержимое остаётся зашифрованным при синхронизации (провайдер не может его прочитать)
- не заполнит автоматически на поддельном домене = устойчив к фишингу
- встроенная надёжная генерация, мониторинг утечек, история
- защищён мастер-ключом плюс MFA
Если вы всё же хотите использовать Drive
Два минимальных условия. 1) Храните только зашифрованный файл хранилища (.kdbx и т. п.) — никогда документ/таблицу открытым текстом. 2) Поставьте устойчивую к фишингу MFA на аккаунт Google. С обоими Drive становится просто «местом синхронизации шифртекста», и риск резко падает.
Что делает сам этот сайт
Этот сайт держит секреты — пароли, ключи, строки подключения — вне общих документов, вне репозитория кода и вне заметок по передаче дел, никогда открытым текстом (→ держать секреты вне git). Повседневные входы живут в менеджере паролей, а важные аккаунты удвоены устойчивой к фишингу MFA. Причина проста: никогда не строить состояние, где «падает одно место — и падает всё». Список открытым текстом — это учебниковый способ создать ровно такое «одно место для всего», поэтому мы его избегаем.
Читать дальше
- Как это работает: как безопасно хранить пароли (хеширование + соль) ── после вашего собственного хранения, как сервис должен их хранить
- Глоссарий: что такое хеширование / что такое соль
- Фундамент: базовый чек-лист безопасности (ключи от королевства, защита секретов)
- Глоссарий: файлы .env и секреты
- Самохостинг: держать секреты вне git / самохостинг Git vs GitHub
- Инструмент: проверка надёжности пароля
FAQ
QБезопасно ли хранить пароли в Google Drive?
Если они в документе или таблице открытым текстом — опасно. Один аккаунт Google становится единой точкой отказа для каждого пароля — захват аккаунта, вредоносное подключённое приложение или фишинг утекают их все разом. Но просто хранить зашифрованный файл хранилища (вроде KeePass .kdbx) на Drive — нормально: файл бесполезен без своего мастер-ключа.
QГде же мне их хранить?
В специализированном менеджере паролей (Bitwarden / 1Password / KeePass). Содержимое остаётся зашифрованным даже при синхронизации между устройствами (провайдер не может его прочитать), с надёжной генерацией, антифишинговым автозаполнением (не заполнит на похожем сайте) и мониторингом утечек — ничего из этого у таблицы нет.
QРазве Google Drive и так не зашифрован?
Google шифрует в покое и при передаче, но это шифрование «Google может прочитать», не уровня секретов. Любой, кто попадёт в ваш аккаунт Google, или любое подключённое приложение, которому вы дали доступ к Drive, может видеть содержимое. Секреты должны быть нечитаемы без ВАШЕГО ключа, прежде чем вы передадите их любому хосту.