得知互动

标题: 在Chrome浏览器中保存的密码有多安全？ [打印本页]

作者: DeGe 时间: 2013-6-8 15:48
标题: 在Chrome浏览器中保存的密码有多安全？

导读：12月3日晚上，有网友在Hacker News提交了一个关于可以在Chrome浏览器“密码管理器”查看已保存密码的帖子，可能那位提交的网友之前不了解Chrome的这个特性及其背后的机制，导致这个贴子在Hacker News首页停留的时间还不短。之后国内网友在微博上发布相关消息后，同样引起不少讨论。很多之前不了解Chrome保存密码机制的朋友惊呼 Chrome 坑爹。伯乐在线编译了howtogeek网站上的一篇文章，应当可以解除这些朋友的疑问。

关于 Google Chrome 浏览器也有一个常见问题，“为什么它没有一个主密码（master password）？” Google 支持论坛中有个非官方的回复，说了Google的立场：主密码提供了一种虚假的安全感，保护敏感数据的最可行保护方式是要取决于系统的整体安全性。

那用户在Chrome浏览器上保存的密码的安全性有多高呢？请见下文。

[attach]42004[/attach]

如何查看已保存的密码

Chrome 密码管理器的进入方式：右侧扳手图标→设置→显示高级设置→密码和表单→管理已保存的密码。或者直接在地址栏中复制粘贴：chrome://chrome/settings/passwords，然后回车进入。

如果你允许Chrome保存密码，看到这个界面应该没什么稀奇，或许你早已知道这个特性了。从昨晚微博转发来看，很多用户还是并不知道这个特性。

点击密码区域，显示一个“显示”按钮，再点击“显示”按钮，可看到密码。如果其他人可以无阻碍使用你的电脑，那他就可以拿到你的这些已保存的密码。

[attach]42005[/attach]

（本文配图中的用户名和密码为测试所用）

密码数据保存在哪里了？

已保存的密码数据存储在一个 SQLite 数据库中，位置是：

[系统盘]ocuments and Settings[用户名]Local SettingsApplication DataGoogleChromeUser DataDefaultLogin Data（这个路径是 Win XP 系统）

你可以用SQLite Database Browser 打开这个文件（文件名就是“Login Data”），查看“logins”表格，该表就包含了被保存的密码。但你会看到“password_value” 域的值是不可读，因为值已加密。（PS：SQLite数据库查看器的SourceForge下载链接）

[attach]42006[/attach]

加密后的数据的安全性如何？

为了执行加密（在Windows操作系统上），Chrome使用了Windows提供的API，该API只允许用于加密密码的Windows用户账户去解密已加密的数据。所以基本上来说，你的主密码就是你的Windows账户密码。所以，只要你登录了用自己的账号Windows，Chrome就可以解密加密数据。

不过，因为你的Windows账户密码是一个常量，并不是只有Chrome才能读取“主密码”，其他外部工具也能获取加密数据，同样也可以解密加密数据。比如使用NirSoft的免费工具ChromePass（NirSoft官方下载），就可以看得你已保存的密码数据，并可以轻松导出为文本文件。

[attach]42007[/attach]

既然 ChromePass 可以读取加密的密码数据，那恶意软件也能读取的。当ChromePass.exe被上传至VirusTotal时，超过半数的反病毒（AV）引擎会标记这一行为是危险级别。不过在这个例子中，这个工具是安全的。不过有点囧，微软的Security Essentials并没有把这一行为标记为危险。

[attach]42058[/attach]

可以绕过保护机制么？

假设你的电脑被盗，小偷重设了Windows账号密码。如果他们随后尝试在Chrome中查看你的密码，或用ChromePass来查看，密码数据都是不可用。原因很简单，因为“主密码”并不匹配，所以解密失败。

[attach]42059[/attach]

此外，如果有人把那个SQLite数据库文件复制走了，并尝试在另外一台电脑上打开，ChromePass也将显示空密码，原因同上。

[attach]45337[/attach]

结论

Chrome浏览器中已保存密码的安全性，完全取决于用户本身。这里有些建议：

●使用一个极高强度的Windows账号密码。必须记住，有不少工具可以解密Windows账号密码。如果有人获取了你的Windows账号密码，那他也就可以知道你在Chrome已保存的密码。

●让你自己远离各种各样的恶意软件吧。如果工具可以轻易获取你已保存的密码，那恶意软件和那些伪安全软件同样可以做到。如果非得下载软件，请到软件官方网站去下载。

●把密码保存至密码管理软件中（比如：KeePass）。当然了，如此一来，浏览器就不能帮你自动填充密码了。

●使用可以整合到Chrome中的第三方工具（比如：LastPass），使用主密码来管理你的那些密码。

●用工具（比如：TrueCrypt）完全加密整个硬盘。

●非私人电脑上，一定不能让浏览器保存密码。

如果经常用浏览器保存登录用户名和密码，离开电脑时最好锁定屏幕。总之一句话，把家里（操作系统）的安全工作做好，家中物件的安全性也应当有保障了。补充信息：如果允许 Firefox 浏览器保存站点密码，同样可以很方便查看。[attach]45338[/attach]Firefox 浏览器虽然采用了主密码机制，但默认并不开启。如果用户启用，以后Firefox每次读取已保存的敏感数据时，用户必须输入主密码。。用户必须记住自己设定的主密码，否则……[attach]45339[/attach]

作者: DeGe 时间: 2013-6-25 22:04

乌托帮河畔发表于 2013-6-25 21:49
又看了一次

你回复的很活跃但是你有没有发现你回复的好多帖子都没有你的回复内容？？无可读性及无理性的回复都被系统屏蔽了

作者: yhowy 时间: 2014-9-7 23:27
楼主你太好了.........

bjcars.net

作者: uhxidjjr 时间: 2014-10-6 18:16
苍天之下，厚土之上，竟有如此奇人异士、文人墨客！讥讽于谈笑间，笑骂于无形中，层次之高，境界之深，非我等所能匹及，偶像啊！

作者: 亮凌庚 时间: 2014-10-6 18:19
看起来好~~像啊~~~~~

作者: inhidgehila 时间: 2014-10-6 18:46
哪个正常的人能崇拜一只蟑螂呢?

作者: 亮凌庚 时间: 2014-10-6 18:50
俺灌的不是水，是寂寞啊！

作者: ffuip 时间: 2014-10-6 19:04
刚才游戏去了 ~~嘿嘿~~

作者: inhidgehila 时间: 2014-10-19 17:29
为了不让帖子沉得太快！！！为了人人知道这个~！！我不是原创~！！但是我要把他发扬广大~！！！

作者: pangio 时间: 2014-10-19 17:29
你这样的表现，就只配这几个字：窝囊废

作者: kjlqiyjws 时间: 2014-10-19 17:40
如本人留言违反国家有关法律，请网络管理员及时删除本人跟贴。本回贴不暗示、鼓励、支持或映射读者作出生活方式、工作态度、婚姻交友、子女教育的积极或消极判断。

作者: kbcesuo 时间: 2014-10-19 18:01
这话从何说起那~~~

作者: kwjvtwzx 时间: 2014-10-19 18:09
可以加精，签定完毕！

作者: kwjvtwzx 时间: 2014-10-26 18:14
杂觉滴~` 你~~` 嘿嘿这个想法不该从你的脑瓜儿出来拉~`

作者: jckie 时间: 2014-10-26 18:29
那个家让它沉下去吧！不要啦

作者: kbcesuo 时间: 2014-10-26 18:30
照你这么说真的有道理哦呵呵不进沙子馁~~~

作者: pangio 时间: 2014-10-26 19:02
能告诉我丫挺什么意思吗?赐教

作者: efiew 时间: 2014-10-28 14:59
哈哈~~~相比现在没人在了吧哈哈~~~~

作者: inhidgehila 时间: 2014-10-28 15:12
呵呵哪天得看看 `~~~~

作者: kwjvtwzx 时间: 2014-10-28 15:14
呵呵放心如我算错你以后来砸我的帖子呵呵

作者: oxdbw 时间: 2014-10-28 15:27
我起来了哈哈刚才迷了会

作者: inhidgehila 时间: 2014-10-28 15:50
有现实中的偶在这...不佩服.............佩服电影里的....

作者: efiew 时间: 2015-7-8 09:33
哈哈小心被她看见哦~~~~

作者: xiaoye 时间: 2015-7-8 09:38
经过你的指点我还是没找到在哪 ~~~

作者: 亮凌庚 时间: 2015-7-8 09:48
我在顶贴~！~

作者: xiaoye 时间: 2015-7-8 09:52
我去看看网络上的事我不是很会哎

作者: swmozowtfl 时间: 2015-7-8 09:56
哎我我我怎么办啊??

欢迎光临得知互动 (https://bbs.dezhifl.com/)