您是否曾在您的浏览器中保存过密码-Chrome、Firefox、Internet Explorer或其他浏览器？则在您登录时，任何有权访问您的计算机的人都可能可以查看您的密码。

Chrome和Firefox的开发者认为这很好，因为你应该从一开始就阻止人们访问你的电脑，但这可能会让许多人感到惊讶。

任何有权访问您的计算机的人如何查看您的密码

假设你让你的电脑登录，而其他人在使用它，他们可以打开Chrome的设置页面，进入密码部分，轻松查看你保存的每一个密码。

您可以将Chrome：//设置/密码插入Chrome的地址栏，以方便访问此页面。单击密码字段，然后单击显示按钮-您可以看到保存在Chrome中的任何密码，没有其他提示。

使用Firefox的默认设置，您可以打开其选项窗口，选择安全窗格，然后单击保存的密码按钮。选择“显示密码”，您可以看到计算机上保存在Firefox中的所有密码的列表。

Firefox允许您设置“主密码”，在查看或使用保存的密码之前必须输入该密码，但默认情况下该功能是禁用的，Firefox不会提示用户设置主密码。

Internet Explorer没有提供查看其保存的密码的内置方式。然而，这种表面上的安全是有误导性的。使用像免费IE PassView这样的实用程序，您可以查看当前用户帐户保存的所有IE密码。你也可以在不安装任何软件的情况下查看密码-只需访问密码自动填写的网站，并使用诸如显示密码书签之类的东西来显示自动输入的密码。

这里发生了什么事？这是安全漏洞吗？

对于这是否真的是一个安全漏洞，极客们展开了激烈的辩论。Chrome的开发者(以及其他浏览器的开发者，比如Internet Explorer，甚至是默认设置的Firefox)应该改变这种行为吗？鉴于浏览器没有就此行为向用户发出警告，开发人员是否背叛了用户？

一方面，对当前的行为有一些很好的论据。

Chrome和Internet Explorer都使用您的Windows用户帐户密码保护您保存的密码。如果您未登录，则无法访问您的密码。如果攻击者更改您的Windows帐户密码，您的密码将无法访问。假设您使用强Windows密码并在不使用计算机时将其锁定，则理论上您是安全的。 如果攻击者对您的计算机有物理访问权限，或者恶意程序正在后台运行，它可能会记录您的击键，并获得用于保护您在Firefox或LastPass等专用密码管理器中密码的任何“主密码”。Chrome中的主密码会给人一种错误的安全感。 主密码是一种额外的安全方法，会给普通用户带来不便，他们无论如何都会选择禁用它。用户不希望在使用保存的密码之前必须输入主密码。 如果您的浏览器已经登录到某个网站上的帐户，并且攻击者有权访问您的浏览器，则他们可能会获得访问该网站上您的帐户的权限。

另一方面，用户在现实世界中没有遵循完美的安全实践：

许多人共享Windows用户帐户，将他们的计算机设置为自动登录，或者让来宾在整个过程中不需要回头看就可以使用他们的计算机。这使得访问保存的密码变得微不足道。任何人，即使有一点点好奇，都可以瞥一眼密码。 主密码将允许用户进一步保护他们的密码数据库，允许他们保存密码，而不必担心客人使用他们的计算机并被诱惑去看一眼。 许多Windows用户帐户密码极其薄弱，因此密码几乎没有保护作用。许多人也不会在每次离开时都锁上电脑。 Chrome提供多个用户配置文件，鼓励用户在单个用户帐户上共享Chrome配置文件，但没有提供隔离这些配置文件和阻止其他Chrome用户配置文件访问其他帐户密码的方法。 如果攻击者获得了对已登录网站的访问权限，但没有您的密码，他们将无法更改您的密码或删除您的帐户。 普通用户可能会认为他们的密码更难查看。没有任何警告通知他们，任何有权访问他们的计算机的人都可以查看他们保存的密码，或者他们应该设置一个强大的Windows密码，并在他们离开时锁定他们的计算机。

那么哪一方是正确的呢？嗯，如果你遵循理想的安全程序，Chrome确实会保护你的密码。也就是说，Chrome(以及默认配置下的IE和Firefox)也没有向用户提供关于它正在做什么的足够信息。在现实世界中，主密码可能对许多人有用。

如何保护您保存的密码

如果你担心你保存的密码，这里有一些小贴士可以用来保护它们不被窥探：

使用专用的密码管理器，如LastPass。这些密码管理器可与每个浏览器配合使用，并提供一个主密码，可在您注销时锁定对您的密码的访问。Chrome的开发者可能不想给你主密码功能，但你可以用LastPass代替Chrome的默认密码管理器来自己添加。与KeePass等其他密码管理器一样，这是一个功能全面、功能更强大的选择。

如果您使用Firefox，请启用主密码功能。这在默认情况下是关闭的，因为Firefox的开发人员不喜欢用户体验，但是主密码允许您用一个主密码“锁定”您的密码数据库。然后，您可以与其他人共享您的用户帐户，他们将无法查看您的密码。当然，他们可以在你不注意的时候安装一个按键记录器，但许多可能想要偷看你的密码的人并不想一直使用一个按键记录器。这就是我们锁门的原因--锁并不完美，但它们能让诚实的人保持诚实。

如果您使用Chrome或Internet Explorer，并希望继续使用内置密码管理器，请确保执行良好的安全实践。设置强Windows用户帐户密码，并在离开计算机时锁定计算机。当您的计算机登录时，有权访问您的计算机的人可以快速查看您的密码-特别是使用Chrome。

想要更深入地了解您保存的密码在您使用的浏览器中的安全性吗？请看我们对Chrome密码安全性和Internet Explorer密码安全性的深入研究。