如何防止他人查看您浏览器保存的密码

您是否曾在您的浏览器中保存过密码-Chrome、Firefox、Internet Explorer或其他浏览器?则在您登录时,任何有权访问您的计算机的人都可能可以查看您的密码。

Chrome和Firefox的开发者认为这很好,因为你应该从一开始就阻止人们访问你的电脑,但这可能会让许多人感到惊讶。

任何有权访问您的计算机的人如何查看您的密码

假设你让你的电脑登录,而其他人在使用它,他们可以打开Chrome的设置页面,进入密码部分,轻松查看你保存的每一个密码。

您可以将Chrome://设置/密码插入Chrome的地址栏,以方便访问此页面。单击密码字段,然后单击显示按钮-您可以看到保存在Chrome中的任何密码,没有其他提示。

使用Firefox的默认设置,您可以打开其选项窗口,选择安全窗格,然后单击保存的密码按钮。选择“显示密码”,您可以看到计算机上保存在Firefox中的所有密码的列表。

Firefox允许您设置“主密码”,在查看或使用保存的密码之前必须输入该密码,但默认情况下该功能是禁用的,Firefox不会提示用户设置主密码。

Internet Explorer没有提供查看其保存的密码的内置方式。然而,这种表面上的安全是有误导性的。使用像免费IE PassView这样的实用程序,您可以查看当前用户帐户保存的所有IE密码。你也可以在不安装任何软件的情况下查看密码-只需访问密码自动填写的网站,并使用诸如显示密码书签之类的东西来显示自动输入的密码。

这里发生了什么事?这是安全漏洞吗?

对于这是否真的是一个安全漏洞,极客们展开了激烈的辩论。Chrome的开发者(以及其他浏览器的开发者,比如Internet Explorer,甚至是默认设置的Firefox)应该改变这种行为吗?鉴于浏览器没有就此行为向用户发出警告,开发人员是否背叛了用户?

一方面,对当前的行为有一些很好的论据。

Chrome和Internet Explorer都使用您的Windows用户帐户密码保护您保存的密码。如果您未登录,则无法访问您的密码。如果攻击者更改您的Windows帐户密码,您的密码将无法访问。假设您使用强Windows密码并在不使用计算机时将其锁定,则理论上您是安全的。 如果攻击者对您的计算机有物理访问权限,或者恶意程序正在后台运行,它可能会记录您的击键,并获得用于保护您在Firefox或LastPass等专用密码管理器中密码的任何“主密码”。Chrome中的主密码会给人一种错误的安全感。 主密码是一种额外的安全方法,会给普通用户带来不便,他们无论如何都会选择禁用它。用户不希望在使用保存的密码之前必须输入主密码。 如果您的浏览器已经登录到某个网站上的帐户,并且攻击者有权访问您的浏览器,则他们可能会获得访问该网站上您的帐户的权限。

另一方面,用户在现实世界中没有遵循完美的安全实践:

许多人共享Windows用户帐户,将他们的计算机设置为自动登录,或者让来宾在整个过程中不需要回头看就可以使用他们的计算机。这使得访问保存的密码变得微不足道。任何人,即使有一点点好奇,都可以瞥一眼密码。 主密码将允许用户进一步保护他们的密码数据库,允许他们保存密码,而不必担心客人使用他们的计算机并被诱惑去看一眼。 许多Windows用户帐户密码极其薄弱,因此密码几乎没有保护作用。许多人也不会在每次离开时都锁上电脑。 Chrome提供多个用户配置文件,鼓励用户在单个用户帐户上共享Chrome配置文件,但没有提供隔离这些配置文件和阻止其他Chrome用户配置文件访问其他帐户密码的方法。 如果攻击者获得了对已登录网站的访问权限,但没有您的密码,他们将无法更改您的密码或删除您的帐户。 普通用户可能会认为他们的密码更难查看。没有任何警告通知他们,任何有权访问他们的计算机的人都可以查看他们保存的密码,或者他们应该设置一个强大的Windows密码,并在他们离开时锁定他们的计算机。

那么哪一方是正确的呢?嗯,如果你遵循理想的安全程序,Chrome确实会保护你的密码。也就是说,Chrome(以及默认配置下的IE和Firefox)也没有向用户提供关于它正在做什么的足够信息。在现实世界中,主密码可能对许多人有用。

如何保护您保存的密码

如果你担心你保存的密码,这里有一些小贴士可以用来保护它们不被窥探:

使用专用的密码管理器,如LastPass。这些密码管理器可与每个浏览器配合使用,并提供一个主密码,可在您注销时锁定对您的密码的访问。Chrome的开发者可能不想给你主密码功能,但你可以用LastPass代替Chrome的默认密码管理器来自己添加。与KeePass等其他密码管理器一样,这是一个功能全面、功能更强大的选择。

如果您使用Firefox,请启用主密码功能。这在默认情况下是关闭的,因为Firefox的开发人员不喜欢用户体验,但是主密码允许您用一个主密码“锁定”您的密码数据库。然后,您可以与其他人共享您的用户帐户,他们将无法查看您的密码。当然,他们可以在你不注意的时候安装一个按键记录器,但许多可能想要偷看你的密码的人并不想一直使用一个按键记录器。这就是我们锁门的原因--锁并不完美,但它们能让诚实的人保持诚实。

如果您使用Chrome或Internet Explorer,并希望继续使用内置密码管理器,请确保执行良好的安全实践。设置强Windows用户帐户密码,并在离开计算机时锁定计算机。当您的计算机登录时,有权访问您的计算机的人可以快速查看您的密码-特别是使用Chrome。

想要更深入地了解您保存的密码在您使用的浏览器中的安全性吗?请看我们对Chrome密码安全性和Internet Explorer密码安全性的深入研究。

相关文章