关于googlechrome浏览器的一个常见问题是“为什么没有主密码?“谷歌(非正式地)采取了这样的立场:主密码提供了一种虚假的安全感,对这些敏感数据最可行的保护形式是通过整体系统安全。
那么,你在googlechrome中保存的密码数据到底有多安全呢?
Chrome自带密码管理器,可通过“选项”>“个人资料”>“管理保存的密码”进行访问。这不是什么新鲜事,如果你允许Chrome存储你的密码,你可能已经知道这个功能。
一个很好的小安全性是,您必须首先单击要查看的每个密码旁边的“显示”按钮。
虽然访问此屏幕没有限制(即,如果您可以访问安装了Chrome的桌面,则可以访问密码),但至少需要用户干预才能查看每个密码,而无法将其批量导出为纯文本文件。
保存的密码数据存储在SQLite数据库中,该数据库位于:
%UserProfile%\AppData\Local\Google\Chrome\User Data\Default\Login Data
您可以使用SQLite数据库浏览器打开此文件(文件名只是“Login Data”),并查看包含已保存密码的“logins”表。您会注意到“password\u value”字段不可读,因为该值是加密的。
为了执行加密(在Windows上),Chrome使用Windows提供的API函数,使得加密的数据只能由用于加密密码的Windows用户帐户来解密。因此,基本上,您的主密码是您的Windows帐户密码。因此,一旦您使用您的帐户登录到Windows,Chrome就可以破译这些数据。
但是,由于您的Windows帐户密码是一个常量,因此对“主密码”的访问并不是Chrome独有的,因为外部实用程序也可以访问并解密这些数据。使用NirSoft提供的免费实用程序ChromePass,您可以查看所有保存的密码数据,并轻松地将其导出为纯文本文件。
因此,如果ChromePass实用程序可以访问这些数据,那么作为相应用户运行的恶意软件也可以访问这些数据。当ChromePass.exe文件被上传到VirusTotal,超过一半的反病毒引擎将其标记为危险。虽然在本例中,该实用程序是安全的,但看到这种行为至少被许多AV软件包标记(尽管Microsoft Security Essentials不是报告它为危险的AV引擎之一)还是有点让人放心的。
假设你的电脑被偷了,小偷重置了你的Windows密码,以便本机登录到你的安装。如果他们随后试图在Chrome中查看密码或使用ChromePass实用程序,密码数据将不可用。原因很简单,因为“主密码”(这是您的Windows帐户密码之前,他们强行重置它以外的Windows)不匹配,所以解密失败。
此外,如果有人只是简单地复制Chrome密码SQLite数据库文件并尝试在另一台计算机**问它,ChromePass会显示空密码,原因与上面解释的相同。
归根结底,Chrome保存的密码的安全性完全取决于用户:
底线只是保持你的系统安全,你的Chrome密码也应该相当安全。
从NirSoft下载ChromePass
从Sourceforge下载SQLite浏览器
...保在一张纸上或密码管理器中记下密码。不要将其保存在浏览器中——Chrome的本机密码管理器不如LastPass这样的服务安全。 ...
... 尽管微软Edge在internetexplorer上有优势,但它仍在追赶其他浏览器。2016年,Edge进行了重大更新,以支持浏览器扩展。一年后,您可能会惊讶地发现扩展库只包含40个附加组件。 ...
...把它们都放在一个HTML文件中,你可以将其导入任何其他浏览器或其他Chrome配置文件。让我们通过五个简单的步骤。 ...
googlechrome是世界上最流行的浏览器,但是即使它做得很好,你仍然可以改进它。Chrome专家可能知道它的一些最佳选择是隐藏的。 ...
安全专家不鼓励在浏览器和密码管理器中使用自动填充和自动完成功能,主要是因为自动填充功能可能被黑客利用。 ...
你刚换成谷歌浏览器了吗?如果是这样的话,你首先要做的事情之一就是将你现有的密码导入Chrome。 ...
...择的密码管理器的主密码。 相关:为什么不应该使用Web浏览器的密码管理器 所有流行的密码管理器,如LastPass、1Password、Dashlane和Bitwarden,都允许您从Chrome导入密码。你所要做的就是导入Chrome生成的CSV文件。 从chrome导出保存的...
...违规列表中,它会提醒您并建议您重置密码。 启动Chrome浏览器,前往Chrome网络商店获取密码检查扩展。一旦出现,点击“添加到Chrome”开始下载。 读取扩展的权限,然后单击“添加扩展”将其添加到浏览器中。 扩展安装后,...