关于Google Chrome浏览器的一个常见问题是“为什么没有主密码？”谷歌(非正式地)的立场是，主密码提供了一种错误的安全感，对这些敏感数据最可行的保护形式是通过整体系统安全。

那么，您保存在Google Chrome中的密码数据到底有多安全呢？

查看保存的密码

Chrome包括自己的密码管理器，可以通过选项>个人资料>管理保存的密码进行访问。这并不是什么新鲜事，如果你允许Chrome存储你的密码，你可能已经知道这个功能了。

一个不错的小安全措施是，您必须首先单击每个要查看的密码旁边的显示按钮。

虽然访问此屏幕没有任何限制(即，如果您有权访问安装Chrome的桌面，则可以获得密码)，但至少需要用户干预才能查看每个密码，并且无法将其批量导出到纯文本文件。

密码数据存储在哪里？

保存的密码数据存储在位于以下位置的SQLite数据库中：

您可以使用SQLite数据库浏览器打开此文件(文件名仅为“Login Data”)，并查看包含保存的密码的“Logins”表。您会注意到“PASSWORD_VALUE”字段是不可读的，因为该值是加密的。

加密数据的安全性如何？

为了(在Windows上)执行加密，Chrome使用Windows提供的API函数，该函数使加密的数据只能由用于加密密码的Windows用户帐户破译。因此，从本质上讲，您的主密码就是您的Windows帐户密码。因此，一旦你使用你的账户登录Windows，这些数据就可以被Chrome破译了。

然而，因为你的Windows账户密码是一个常量，访问“主密码”并不是Chrome独有的，因为外部工具也可以获取并解密这些数据。使用NirSoft提供的免费实用程序ChromePass，您可以查看所有保存的密码数据，并轻松将其导出为纯文本文件。

因此，如果ChromePass实用程序可以访问这些数据，那么以相应用户身份运行的恶意软件也可以访问这些数据。当ChromePass.exe上载到VirusTotal时，刚刚超过一半的防病毒引擎将其标记为危险。虽然在这种情况下该实用程序是安全的，但看到许多AV包至少标记了此行为(尽管Microsoft Security Essentials不是报告它为危险的AV引擎之一)，还是有点让人放心的。

这种保护可以规避吗？

假设您的计算机被盗，窃贼重新设置了您的Windows密码，以便以本机方式登录到您的安装。如果他们随后试图在Chrome中查看密码或使用ChromePass实用程序，密码数据将不可用。原因很简单，因为“主密码”(在Windows外部强制重置之前是您的Windows帐户密码)不匹配，因此解密失败。

此外，如果有人简单地复制Chrome密码SQLite数据库文件并试图在另一台计算机上访问它，ChromePass将显示空密码，原因与上面解释的相同。

结束 / 结尾 / 结论 / 推论

最终，Chrome保存密码的安全性完全取决于用户：

使用非常强的Windows帐户密码。请记住，有一些实用程序可以破译Windows密码。如果有人获得了您的Windows帐户密码，则他们可以访问您保存的浏览器密码。 保护您自己免受恶意软件的侵害。如果实用程序可以轻松访问您保存的密码，为什么恶意软件不能？ 将密码保存在密码管理系统(如KeePass)中。当然，您失去了让浏览器自动填写您的密码的便利性。 使用与Chrome集成的第三方实用程序，并使用主密码来管理您的密码。 使用TrueCrypt加密您的整个硬盘。这是完全可选的，对于超级保护来说，但是如果有人不能解密你的驱动器，他们肯定不会从中得到任何东西。

底线很简单，就是要保证你的系统安全，你的Chrome密码也应该相当安全。

从NirSoft下载ChromePass

从Sourceforge下载SQLite浏览器