浏览器提供的最方便的工具之一是能够在登录表单上保存并自动预填密码。因为有如此多的站点需要帐户，而且众所周知(或者至少应该是)使用共享密码是一个大禁忌，所以密码管理器几乎是必不可少的。

因此，如果您是IE用户并回答“是”以允许浏览器记住您的密码，那么此信息的安全性如何？

他们被保存在哪里？

从Internet Explorer 7开始，密码存储在系统注册表(KEY_CURRENT_USER\Software\Microsoft\Internet Explorer\IntelliForms\Storage2)中，并使用采用三重DES加密的数据保护API对Windows用户的登录密码进行加密。

这些数据有多安全？

在撰写本文时，Triple DES几乎无法通过暴力方法破解。但是，一旦登录到存储密码数据的Windows帐户，确实没有必要强行加密，因为Windows假设一旦登录，应用程序就可以安全地访问这些数据。由于IE没有使用主密码(如Firefox提供的密码)来保护其保存的密码，因此相应的Windows帐户密码是Triple DES解密密钥。

简单地说，如果你可以用账号和密码登录Windows，你就可以看到保存的浏览器密码。使用免费提供的实用程序，如NirSoft的IE PassView，您可以查看和导出每个保存的IE密码。

那么恶意软件可以访问这个吗？

在看到获取这些数据是多么容易之后，下一个合乎逻辑的问题是恶意软件是否能够轻松地获取这些数据。我不是恶意软件开发人员，但我看不出有什么理由不能。如果我使用Virus Total扫描IE PassView实用程序，您可以看到他们使用的55%的扫描仪检测到它是恶意软件(其中之一是Security Essentials)。

虽然在我们的案例中，结果是误报，但这表明即使在系统运行防病毒的情况下，恶意软件也有可能在未被检测到的情况下访问此数据。此外，由于加密数据是特定于用户的，因此尝试访问此数据的应用程序不会触发UAC提示。在认为这是操作系统的缺陷之前，这确实是必须的方式，否则IE和其他许多使用受保护存储的Windows应用程序在每次打开时都会触发UAC提示。

如果我的电脑被偷了怎么办？

简单的答案是，这些数据和您的Windows帐户密码一样安全。如上所述，当您使用适当的密码登录到帐户时，所有这些数据都很容易访问。如果您不使用密码，则没有任何保护。

为了更进一步，我重置了帐户密码，以查看在Windows之外强制更改密码时会发生什么情况。重置后，我保存了一个新的Gmail地址密码(blah@)并运行IE PassView。我可以看到重置密码之前保存的以前的用户名(myemail@)，但因为用于保存数据的帐户密码(即“主密码”)不同，所以无法解密在以前的Windows帐户密码下保存的IE密码。这绝对是一件好事。

结束 / 结尾 / 结论 / 推论

归根结底，IE保存的密码的安全性完全取决于用户：

使用非常强的Windows帐户密码。请记住，有一些实用程序可以破译Windows密码。如果有人获得了您的Windows帐户密码，则他们可以访问您保存的IE密码。 保护您自己免受恶意软件的侵害。如果实用程序可以轻松访问您保存的密码，为什么恶意软件不能？ 将密码保存在密码管理系统(如KeePass)中。当然，您失去了让浏览器自动填写您的密码的便利性。 使用与IE集成的第三方实用程序，并使用主密码来管理您的密码。 使用TrueCrypt加密您的整个硬盘。这是完全可选的，对于超级保护来说，但如果有人无法解密您的驱动器，他们肯定可以从中获得任何东西。

当然，这两点都是不言而喻的，但这只是强化了采取措施确保系统安全的重要性。

从NirSoft下载IE PassView