您是否曾经在浏览器中保存过密码—Chrome,Firefox,Internet 探索 r或其他?这样,当您访问计算机时,任何人都可以查看您的密码’re logged in.

铬 和Firefox’的开发人员认为这很好,因为您应该首先阻止人们访问您的计算机,但这对于许多人来说可能是一个惊喜。

有权访问您计算机的任何人如何查看您的密码

假设您让计算机保持登录状态并且其他人使用了该计算机,那么他们可以打开Chrome’■在“设置”页面上,转到“密码”部分,然后轻松查看保存的每个密码。

你可以插 chrome:// settings / passwords 进入Chrome’的地址栏,可轻松访问此页面。单击密码字段,然后单击显示按钮—您可以看到Chrome中保存的所有密码,而不会出现其他提示。

使用Firefox ’的默认设置,您可以打开其“选项”窗口,选择“安全”窗格,然后单击“保存的密码”按钮。选择显示密码,您将在计算机上看到Firefox中保存的所有密码的列表。

Firefox允许您设置“master password”必须先输入该密码,然后才能查看或使用保存的密码,但是默认情况下此功能处于禁用状态,Firefox不会’t提示用户进行设置。

IE浏览器没有提供查看其保存密码的内置方法。但是,这种明显的安全性具有误导性。使用免费的工具 IE浏览器 ,您可以查看当前用户帐户的所有已保存IE密码。您也可以在不安装任何软件的情况下查看密码—只需访问自动填充密码的网站,然后使用类似 显示密码书签 以显示自动输入的密码。

什么’去这里吗?这是安全漏洞吗?

在极客之间,关于这是否真的是安全漏洞一直存在激烈的辩论。应该镀铬’的开发人员(以及其他浏览器的开发人员,例如Internet 探索 r甚至是具有默认设置的Firefox)是否更改了此行为?鉴于浏览器没有将用户背叛于开发人员’不会警告用户这种行为?

一方面,对于当前行为有一些很好的论据。

  • 铬 和Internet 探索 r均使用Windows用户帐户密码来保护您保存的密码。如果你’re not logged in, your passwords are inaccessible. If an attacker changes your 视窗 account password, your passwords become inaccessible. Assuming you use a strong 视窗 password 和 锁 your computer when you aren’t using it, you’从理论上讲是安全的。
  • 如果攻击者可以物理访问您的计算机或恶意程序在后台运行,则它可能会记录您的击键并获取任何“master password” used to secure your passwords in Firefox or a dedicated password manager like 最后通行证 . A 主密码 in 铬 would provide a false sense of security.
  • A 主密码 is an additional security method that would inconvenience average users, who would opt to disable it anyway. Users wouldn’t want to have to enter a 主密码 before using their saved passwords.
  • 如果您的浏览器已经登录到网站上的帐户,则攻击者可以访问您的浏览器,从而可以访问该网站上的帐户。

另一方面,用户不’遵循现实世界中的完美安全实践:

  • 许多人共享Windows用户帐户,将其计算机设置为自动登录,或者让来宾使用计算机而不必全程监视。这使得访问已保存的密码变得很简单。任何人甚至好奇的人都可以浏览密码。
  • A 主密码 would allow users to further secure their password database, allowing them to save passwords without worrying about guests using their computer 和 being tempted to glance at them.
  • 许多Windows用户帐户密码都非常弱,因此这些密码几乎没有保护。很多人也没有’t 锁 their computers every time they step away.
  • 铬 提供了多个用户个人资料,鼓励用户在一个用户帐户上共享Chrome个人资料,但没有提供隔离这些个人资料并阻止其他Chrome用户个人资料访问其他帐户密码的方法
  • 如果攻击者可以访问已经登录的网站但没有’没有您的密码,他们不会’不能更改密码或删除帐户。
  • 一般用户可能希望他们的密码更难查看。那里’s no warning informing them that anyone with access to their computers can view their saved passwords, or that they should set a strong 视窗 password 和 锁 their computers when they step away from them.

那么哪一边是对的?好吧,如果您遵循理想的安全程序,Chrome就会保护您的密码。也就是说,Chrome(以及默认配置的IE和Firefox)也没有’向用户提供足够的信息’s doing. In the real world, a 主密码 could be useful to many people.

如何保护您保存的密码

如果你’再次担心您保存的密码,可以使用以下提示来保护它们免遭窥视:

  • 使用专用的密码管理器 , 喜欢 最后通行证 . These password managers work with every browser 和 provide a 主密码 that 锁s access to your passwords when you’重新登出。铬’的开发人员可能不想为您提供主密码功能,但是您可以使用LastPass代替Chrome自行添加它’的默认密码管理器。它’是一个更全面的更强大的选项,其他密码管理器(例如KeePass)也是如此。

  • 如果使用Firefox,请启用主密码功能。默认情况下此功能处于关闭状态,因为Firefox’s developers don’类似于用户体验,但是主密码可让您“lock”您的密码数据库和一个主密码。然后,您可以与其他人共享您的用户帐户,他们赢得了’不能浏览您的密码。当然,他们可以在您不在时安装按键记录器’看,但是很多人可能会偷看您的密码’t want to go all the way with a key logger. This is why we 锁 our doors — the 锁s aren’完美,但他们让诚实的人诚实。

  • 如果你 use 铬 or IE浏览器 和 want to keep using the built-in password manager, ensure you exercise good security practices. Set a strong 视窗 user account password 和 锁 your computer whenever you step away from it. Someone with access to your computer while it’登录后可以快速浏览您的密码—特别是Chrome浏览器

是否需要更多有关您使用的浏览器中保存的密码的安全性的深入信息?查看我们的深入研究 铬 ’s password securityIE浏览器’s password security.

 克里斯·霍夫曼 克里斯·霍夫曼
克里斯·霍夫曼(Chris Hoffman)是《 极客 》首席编辑。他撰写了近十年的技术文章,并担任PCWorld专栏作家两年。克里斯(Chris)为《纽约时报》撰稿,曾在迈阿密NBC 6等电视台接受过技术专家的采访,其工作被BBC等新闻媒体报道。自2011年以来,克里斯撰写了2,000多篇文章,被阅读了超过5亿次-而这就是How-To Geek的内容。
阅读完整的传记»

x

最好的技术通讯随处可见

加入 350,000位订阅者 并每天获取新闻,漫画,琐事,评论等的摘要。