在Chrome瀏覽器中保存的密碼有多安全?

jopen 12年前發布 | 8K 次閱讀 Chrome

12 月 3 日晚上,有網友在 Hacker News 提交了一個關于可以在 Chrome 瀏覽器“密碼管理器”查看已保存密碼的帖子,可能那位提交的網友之前不了解 Chrome 的這個特性及其背后的機制,導致這個貼子在 Hacker News 首頁停留的時間還不短。之后國內網友在微博上發布相關消息后,同樣引起不少討論(鏈接1鏈接2鏈接3)。很多之前不了解 Chrome 保存密碼機制的朋友驚呼 Chrome 坑爹。伯樂在線編譯了 howtogeek 網站上的一篇文章,應當可以解除這些朋友的疑問。

</blockquote>

        關于 Google Chrome 瀏覽器也有一個常見問題,“為什么它沒有一個主密碼(master password)?” Google 支持論壇中有個非官方的回復,說了 Google 的立場:主密碼提供了一種虛假的安全感,保護敏感數據的最可行保護方式是要取決于系統的整體安全性。

        那用戶在 Chrome 瀏覽器上保存的密碼的安全性有多高呢?請見下文。

在Chrome瀏覽器中保存的密碼有多安全?

        如何查看已保存的密碼

        Chrome 密碼管理器的進入方式:右側扳手圖標→設置→顯示高級設置→密碼和表單→管理已保存的密碼。或者直接在地址欄中復制粘貼:chrome://chrome/settings/passwords,然后回車進入。

        如果你允許 Chrome 保存密碼,看到這個界面應該沒什么稀奇,或許你早已知道這個特性了。從昨晚微博轉發來看,很多用戶還是并不知道這個特性。

        點擊密碼區域,顯示一個“顯示”按鈕,再點擊“顯示”按鈕,可看到密碼。如果其他人可以無阻礙使用你的電腦,那他就可以拿到你的這些已保存的密碼。

在Chrome瀏覽器中保存的密碼有多安全?

(本文配圖中的用戶名和密碼為測試所用)

        密碼數據保存在哪里了?

        已保存的密碼數據存儲在一個 SQLite 數據庫中,位置是:

[系統盤]:\Documents and Settings\[用戶名]\Local Settings\Application Data\Google\Chrome\User Data\Default\Login Data (這個路徑是 Win XP 系統)

</blockquote>

        你可以用  SQLite Database Browser 打開這個文件(文件名就是“Login Data”),查看“logins”表格,該表就包含了被保存的密碼。但你會看到“password_value” 域的值是不可讀,因為值已加密。(PS:SQLite 數據庫查看器的 SourceForge 下載鏈接

在Chrome瀏覽器中保存的密碼有多安全?

        加密后的數據的安全性如何?

        為了執行加密(在 Windows 操作系統上),Chrome 使用了 Windows 提供的 API,該 API允許用于加密密碼的 Windows 用戶賬戶去解密已加密的數據。所以基本上來說,你的主密碼就是你的 Windows 賬戶密碼。所以,只要你登錄了用自己的賬號 Windows,Chrome 就可以解密加密數據。

        不過,因為你的 Windows 賬戶密碼是一個常量,并不是只有 Chrome 才能讀取“主密碼”,其他外部工具也能獲取加密數據,同樣也可以解密加密數據。比如使用 NirSoft 的免費工具 ChromePassNirSoft 官方下載,就可以看得你已保存的密碼數據,并可以輕松導出為文本文件。

在Chrome瀏覽器中保存的密碼有多安全?

        既然 ChromePass 可以讀取加密的密碼數據,那惡意軟件也能讀取的。當 ChromePass.exe 被上傳至 VirusTotal 時,超過半數的反病毒(AV)引擎會標記這一行為是危險級別。不過在這個例子中,這個工具是安全的。不過有點囧,微軟的 Security Essentials 并沒有把這一行為標記為危險。

在Chrome瀏覽器中保存的密碼有多安全?

        可以繞過保護機制么?

        假設你的電腦被盜,小偷重設了 Windows 賬號密碼。如果他們隨后嘗試在 Chrome 中查看你的密碼,或用 ChromePass 來查看,密碼數據都是不可用。原因很簡單,因為“主密碼”并不匹配,所以解密失敗。

在Chrome瀏覽器中保存的密碼有多安全?

        此外,如果有人把那個 SQLite 數據庫文件復制走了,并嘗試在另外一臺電腦上打開,ChromePass 也將顯示空密碼,原因同上。

在Chrome瀏覽器中保存的密碼有多安全?

        結論

        Chrome 瀏覽器中已保存密碼的安全性,完全取決于用戶本身。這里有些建議:

使用一個極高強度的 Windows 賬號密碼。必須記住,有不少工具可以解密 Windows 賬號密碼。如果有人獲取了你的 Windows 賬號密碼,那他也就可以知道你在 Chrome 已保存的密碼。

  • 讓你自己遠離各種各樣的惡意軟件吧。如果工具可以輕易獲取你已保存的密碼,那惡意軟件和那些偽安全軟件同樣可以做到。如果非得下載軟件,請到軟件官方網站去下載。

  • 把密碼保存至密碼管理軟件中(比如:KeePass)。當然了,如此一來,瀏覽器就不能幫你自動填充密碼了。

  • 使用可以整合到 Chrome 中的第三方工具(比如:LastPass),使用主密碼來管理你的那些密碼。推薦閱讀:《用 LastPass 管理好你的密碼》

  • 用工具(比如:TrueCrypt)完全加密整個硬盤。

  • 非私人電腦上,一定不能讓瀏覽器保存密碼。(原文沒有,額外補充)
    • </ul>

            如果經常用瀏覽器保存登錄用戶名和密碼,離開電腦時最好鎖定屏幕。總之一句話,把家里(操作系統)的安全工作做好,家中物件的安全性也應當有保障了。

            補充信息:如果允許 Firefox 瀏覽器保存站點密碼,同樣可以很方便查看。

    在Chrome瀏覽器中保存的密碼有多安全?

            Firefox 瀏覽器雖然采用了主密碼機制,但默認并不開啟。如果用戶啟用,以后 Firefox 每次讀取已保存的敏感數據時,用戶必須輸入主密碼。。用戶必須記住自己設定的主密碼,否則……

    在Chrome瀏覽器中保存的密碼有多安全?

            英文原文:howtogeek,編譯:伯樂在線——黃利民

     本文由用戶 jopen 自行上傳分享,僅供網友學習交流。所有權歸原作者,若您的權利被侵害,請聯系管理員。
     轉載本站原創文章,請注明出處,并保留原始鏈接、圖片水印。
     本站是一個以用戶分享為主的開源技術平臺,歡迎各類分享!
      本文地址:http://www.baiduhome.net/news/view/71ebcd