要當心的威脅是Google雲端硬盤/ Google文檔的更新。例如，他們在自動緩存常用文件中添加了一項功能，突然之間所有功能都以純文本格式出現在電話中。實際上，它可能已經在那裡。或者，由於不相關的原因，用戶使用默認選項安裝了Google Drive應用。大型網絡應用程序公司關注便利性和功能，而從安全意義上講則不那麼關心（2FA是一回事，但是一旦掌握了數據便是您的問題）。

考慮安全性時，您必須能夠說：

• 您要解決的威脅
• 您要受到保護的攻擊者

，然後查看可能的弱點。

配置正確的Google驅動器上的受限制的訪問文件已得到正確保護，可以免受來自隔壁傢伙的所有攻擊。正如您所說的，Google帳戶是 2種方式保護的（您的意思是什麼？），一個無法猜測如何登錄的人無法訪問該文件...只要您對Google完全有信心！ / p>

缺點就來了……

• 由於該文件僅受限制的訪問，任何具有管理員權限的Google員工都可以讀取該文件-您知道其中有多少嗎？
• Google是一家以卓越的技術著稱的公司，因此被黑客入侵的風險相當低。但是，如果被解僱的員工只是為了報復谷歌的聲譽而決定從谷歌驅動器中公開文件，該怎麼辦？
• 由於《愛國者法案》，美國執法機構可以從美國公司，而谷歌就是其中之一。不管是不是問題，都取決於您。

因此，我永遠不會將密碼存儲在非安全加密的文件中。 Google驅動器當然是正確的存儲庫，但我寧願在其中使用Keypass文件-可以從任何設備進行同步-而不是單純的電子表格。

1. 關於外部攻擊，該文檔位於受Google保護的其個人Google驅動器上。因此，該位置比例如他的電腦。
2. 對文檔的訪問需要Google登錄，這是2向安全的。
ol>

如果您信任Google（包括許多Google員工），那很好擁有管理員權限，您認為Google不會被黑客入侵，而要求您提供數據的政府也不是您的擔心之一。我要說的是，如果您竭盡全力保護PC，它比PC更安全。

1. 除他本人，瀏覽器和Shortener服務外，其他人都不知道該文檔的URL，如果沒有登錄詳細信息，所有這些人都無法訪問該文檔。世界其他地方不知道位置/ URL。
2. 他只能在他的PC，筆記本電腦和移動設備上打開文檔。
ol>

這是出於安全性的隱晦之處，根本不是好建議。不應將這種事情視為增加任何安全性。這些數據以多種方式洩漏，例如瀏覽器歷史記錄，甚至在代理服務器上。

讓我再添加一件事。如果他偶然允許某個應用使用Google API訪問其Google驅動器，則他可能會公開此文件。我見過許多需要完全訪問Google Drive API才能運行的應用程序。

說了這麼多，我看不出為什麼有人會更願意為此信任Google電子表格，而不是專用的安全存儲雲提供者（如Lastpass）專注於保護此類數據並添加了許多額外的安全措施（更不用說更有用了）。

這並不像您想的那樣糟糕。我將在現實世界中解決這個問題，而忽略一些更技術性的事情。

首先，當我評估安全性時，我通常會像在您的眼科醫生那裡一樣嘗試“更好或更糟”。試圖完全安全是一個玩笑，但與此同時，您不應忽略安全性。

因此，他的方法勝過了–便箋，通用（共享）密碼，硬盤驅動器上的文件，上面寫有所有密碼的紙質文件，投遞箱（如Dropbox，創建真實文件）。

他的方法不如基於雲的密碼管理器，基於本地文件的密碼管理器安全。 （這是我將要使用的更安全的方式，因為這是普通PC用戶可能會使用的方式。）

所以他的表現並不差。他比90％的互聯網用戶更安全。更重要的是，他意識到安全的必要性，並採取了一些措施。

至於“攻擊媒介”，實際上只有幾個現實的媒介。有人可以實際訪問他的機器（無論如何都可以玩遊戲），有人則可以入侵他的Google帳戶。是的，還有其他人，但是即使是最好的密碼管理器，也必須以一種可以解密的方式加密事物。因此，有人在Google郵寄並訪問“他的”電子表格並竊取其ID，就與某人在LastPass郵寄並逆轉某些文件的哈希並使用它一樣。

但是，如果有人要破解他的Google帳戶，一切就結束了，但是對於任何基於雲或託管的密碼管理器來說，都是如此。

最後一個向量是最重要的。由於他使用的服務並非旨在存儲敏感數據，因此瀏覽器或計算機無法判斷該數據是否敏感。因此，正如其他人所說的那樣，文檔或文檔的一部分可能會以計劃文本的形式緩存在電話或計算機上。確實，我認為這是他面臨的最大風險。

因此，他是否足夠安全來保存核武器啟動代碼，可能不是，是否足夠安全來保存其數據，他已經高於平均水平。如果他是我的朋友，我建議他考慮使用LastPass或Keepass作為替代方案。對於他來說，Lastpass特別容易切換。

PS

我並不是要提倡將此作為一種存儲信息的方式，我只是在說，他的方法比某些方法好，而有些則差，現在由用戶決定他們需要多少安全性。如果能讓我的祖母使用這種方法，我會欣喜若狂。

您能建議一個替代方法，就像每次他需要重新輸入密碼時鍵入URL一樣容易嗎？

您可以通過添加一些細微調整來大大提高此方法的安全性：

不是使用Google表格，而是將密碼存儲在可由其所有設備打開的文檔文件中，並使用不同的強密碼使用強密碼對該文檔進行加密

例如，可以使用128位AES加密MS Excel 2007（或更高版本）文件。

該文件用於Google帳戶訪問文件，然後將其上傳到Google雲端硬盤。

p>

使用這種方法，您可以獲得Google提供的所有安全性和便利性，但是您還可以獲得額外的好處，即使您的Google帳戶遭到入侵（或被Google員工訪問），除了地球上沒有其他人您可以在不知道密碼的情況下打開文件。

缺點是每次打開文件都必須輸入密碼，但如果您確實是

更新：我關心安全性，而不是專業。

更新：我最近開始使用新的密碼管理器，因此決定將其存儲在Google雲端硬盤中因此我所有的設備都可以訪問它（如果需要恢復到舊版本，雲端硬盤會自動為您進行版本控制）。這與加密的excel文檔基本上是相同的原理，唯一的區別是管理器使用AES 256而不是AES 128，並且有專用的移動應用程序和桌面軟件，因此比excel更容易使用文件。它還允許您在不顯示密碼的情況下複製密碼，從而防止肩膀衝浪。我強烈建議任何使用加密的Excel文檔的人考慮切換到專門的經理。使用起來更加干淨高效。

您的朋友不會給Google瀏覽器以絲毫暗示他們正在訪問敏感信息的信息，這不但不會影響Google Docs的安全性。因此，他們應該希望將密碼保存在瀏覽器的緩存目錄內的隨機文件中，如果碰巧使用一個，則保存在交換文件中。

您的朋友最好將密碼以明文形式存儲在他們的計算機上輸入文本：至少他們不會那樣假裝的安全感。當然，推薦的解決方案是使用密碼管理器。

這裡有一些其他應答者沒有想到的東西：

如果可以以任何方式訪問該文件，則所有個密碼就是妥協。

值得一提的密碼管理器每次使用只會公開一個密碼。

“但是，您怎麼能破解它呢？它具有______安全功能！”您會問。

會話漏洞

Google文檔被“鎖定”到用戶通過身份驗證為止。然後，在整個會話過程中它們將一直處於打開狀態。

因此，任何可以使用當前會話訪問其電子表格的惡意軟件/惡意網站都可以進入其中。使用HTML localStorage / cookies /其他存儲來實現其神奇效果，這提供了另一種攻擊/妥協的途徑。 >

我會再說一遍：不要放棄自己的安全性。

為了有效，安全性必須在大約100％的時間內起作用。除非您具有廣泛的安全領域知識（例如，這是您的工作），否則您會遭受 Dunning-Kruger的痛苦，並且不會成功。

對於惡意的URL縮短程序是不安全的

儘管我在實踐中不會對此太擔心，但是URL縮短服務有可能為他建立陷阱。

1. 將他重定向到一個頁面，該頁面看起來像他通常會登錄的頁面
2. 獲取他的用戶名和密碼
3. 在實際站點上使用此用戶名和密碼
ol>

此陷阱並非完美無缺，但有一些技巧（例如，僅在短時間內重定向到虛假站點），我相信這是可行的。

所有其他答案都很好，並且可以很好地解決安全性問題，我只想在其他答案之外添加幾點。

首先，關於方案的安全性，我使用URL縮短器時遇到問題。有人已經提出了惡意URL縮短器的問題，但是即使沒有惡意，縮短的URL也不一定是私有的，因為它們足夠短，以至 URL搜索空間可以進行詳盡搜索。實際上，甚至未縮短的URL在過去也已洩漏。由於您無法從晦澀的URL承擔任何附加安全性，因此系統的安全性完全取決於文檔上正確的共享設置以及權限系統的正確操作。

我在Google上還沒有聽說過任何問題，但是其他著名的雲提供商過去不小心允許了公共訪問。因此，錯誤的確會發生。並假設首先正確設置了共享設置。意外地設置文件而不需要登錄即可查看很容易，尤其是如果您在家人之間或帳戶之間共享文件時。大多數現代的密碼管理器都使用本地加密的文件或數據庫，可以阻止這兩個權限問題中的任何一個實際顯示登錄憑據。攻擊者只會得到一個加密的數據塊。

我的最後一點僅與安全相關。您問：“您能建議像輸入URL一樣簡單的替代方法嗎？”但實際上，每次鍵入URL（並可能登錄到Drive）時，您每次登錄另一個網站都非常繁瑣。使用電子表格方法的登錄過程如下：

1. 打開您的銀行網站
2. 在另一個選項卡中，鍵入電子表格存儲的晦澀URL。
3. 登錄Google雲端硬盤
4. 搜索銀行登錄名
5. 複製銀行登錄名
6. 切換回銀行網站
7. 粘貼銀行登錄名
ol>

比較好的密碼管理器：

1. 解鎖密碼管理器
2. 打開您的銀行網站
3. 單擊瀏覽器通知或輸入鍵盤快捷鍵以自動填寫您的登錄信息
ol>

使用密碼可大大提高可用性經理而不是電子表格。這與安全性有關，因為：

以可用性為代價的安全性是以犧牲安全性為代價的。

在這種情況下，您的朋友可能會傾向於開始記住一些最常用的密碼以使輸入速度更快，這很可能會簡化密碼，甚至重新使用密碼。

尚未引起足夠重視的是Google Apps。許多應用程序需要訪問您的Google雲端硬盤才能正常運行。

這很有意義，因為其中許多應用程序都可以在該處添加和編輯文件（draw.io就是其中之一），但是這種訪問方式不是“僅限於這些文件。惡意應用可以讀取該未加密的密碼文件。

我想為人們添加一個附錄，考慮這種策略不是針對單個密碼，而是針對一群人的一組密碼。具體來說，我對草根和社區組織團體感興趣，他們可能會重視獲得訪問權限的過程明確性。

這些環境通常具有以下特點： ：

• 領導層，有很多[健康]薪水
• 沒有報酬，
• 很多人沒有時間貢獻，而很少有很多人
• 一段時間以來，
• 很難積累個人的機構知識

因此，對於一個包含密碼的google文檔/電子表格，這真的很不錯：

• 可以通過受訪問控制的簡單鏈接訪問該文檔，
• 具有訪問權限的人員列表可以通過該文檔的“誰擁有訪問權限”配置進行審核，
• 每個人都了解該工具，並且已經擁有一個帳戶，
• 該文件具有可共享的公共網址（例如，lastpass需要登錄並導航到沒有通用網址的Web應用程序頁面）
• 可共享的公共網址具有明確的請求訪問權限的方式（這也是一種風險，並且會受到攻擊 div>

現在具有主要風險的成員也可以授予新成員的訪問權限（這也是一種風險）。

：

• 如果該網址是眾所周知的，例如sho.rt / grassroot-org-passwords，然後某人可以創建一封新電子郵件，該電子郵件模擬了他們認識的參與組織的某人。具有當前訪問權限的任何人都可能缺乏懷疑態度來進行盡職調查，並邀請該攻擊者。這是巨大風險。
  • 似乎沒有辦法禁用鏈接上的“請求訪問”按鈕。唯一的防禦方法是培訓所有具有訪問權限的人員，不要響應那些請求的電子郵件，也不以某種標準的方式進行盡職調查。 （通過另一個通訊渠道與他們確認電子郵件地址）
• 很難審核成員可能授予Google雲端硬盤訪問權限的所有其他第三方應用程序。如果是個人密碼文檔，則他們可以檢查可能具有訪問權限的應用程序。但是為此，您需要依靠每個人進行這項工作。當前無法檢查每個文檔中哪些應用程序有權訪問，也沒有人授予該訪問權限。 （付費的G Suite管理員訪問權限可能允許此審核）

我認為區分重要的密碼和不重要的密碼很重要。您確實不需要以非常高的安全級別來保護StackOverflow密碼，除非您是某種高風險目標，否則沒有人會誘使您竊取並假冒您。但是我不會相信Google的銀行業務詳細信息。

您是否考慮過將密碼保留在打印紙上的替代方法？

我個人的解決方案是保留密碼提醒在只有中等安全級別的地方。密碼提示具有足夠的信息，因此我可以重新調用密碼，但其他人無法重建它。一種方法是系統地使用由“公共”部分（例如六個字母）組成的密碼，您可以安全地寫下該密碼，並且對於每個註冊站點而言，密碼都不同，其後是“私有”部分（例如四個字母）數字），其中所有密碼的私有部分都相同，並且不會被寫下或透露給任何人。