关于googlechrome浏览器的一个常见问题是“为什么没有主密码？“谷歌（非正式地）采取了这样的立场：主密码提供了一种虚假的安全感，对这些敏感数据最可行的保护形式是通过整体系统安全。

那么，你在googlechrome中保存的密码数据到底有多安全呢？

查看保存的密码

Chrome自带密码管理器，可通过“选项”>“个人资料”>“管理保存的密码”进行访问。这不是什么新鲜事，如果你允许Chrome存储你的密码，你可能已经知道这个功能。

一个很好的小安全性是，您必须首先单击要查看的每个密码旁边的“显示”按钮。

虽然访问此屏幕没有限制（即，如果您可以访问安装了Chrome的桌面，则可以访问密码），但至少需要用户干预才能查看每个密码，而无法将其批量导出为纯文本文件。

密码数据存储在哪里？

保存的密码数据存储在SQLite数据库中，该数据库位于：

%UserProfile%\AppData\Local\Google\Chrome\User Data\Default\Login Data

您可以使用SQLite数据库浏览器打开此文件（文件名只是“Login Data”），并查看包含已保存密码的“logins”表。您会注意到“password\u value”字段不可读，因为该值是加密的。

加密的数据有多安全？

为了执行加密（在Windows上），Chrome使用Windows提供的API函数，使得加密的数据只能由用于加密密码的Windows用户帐户来解密。因此，基本上，您的主密码是您的Windows帐户密码。因此，一旦您使用您的帐户登录到Windows，Chrome就可以破译这些数据。

但是，由于您的Windows帐户密码是一个常量，因此对“主密码”的访问并不是Chrome独有的，因为外部实用程序也可以访问并解密这些数据。使用NirSoft提供的免费实用程序ChromePass，您可以查看所有保存的密码数据，并轻松地将其导出为纯文本文件。

因此，如果ChromePass实用程序可以访问这些数据，那么作为相应用户运行的恶意软件也可以访问这些数据。当ChromePass.exe文件被上传到VirusTotal，超过一半的反病毒引擎将其标记为危险。虽然在本例中，该实用程序是安全的，但看到这种行为至少被许多AV软件包标记（尽管Microsoft Security Essentials不是报告它为危险的AV引擎之一）还是有点让人放心的。

能否规避保护？

假设你的电脑被偷了，小偷重置了你的Windows密码，以便本机登录到你的安装。如果他们随后试图在Chrome中查看密码或使用ChromePass实用程序，密码数据将不可用。原因很简单，因为“主密码”（这是您的Windows帐户密码之前，他们强行重置它以外的Windows）不匹配，所以解密失败。

此外，如果有人只是简单地复制Chrome密码SQLite数据库文件并尝试在另一台计算机**问它，ChromePass会显示空密码，原因与上面解释的相同。

结论

归根结底，Chrome保存的密码的安全性完全取决于用户：

• 使用非常强的Windows帐户密码。请记住，有些实用程序可以破译Windows密码。如果有人获得你的Windows帐户密码，那么他们可以访问你保存的浏览器密码。
• 保护自己免受恶意软件攻击。如果实用程序能够轻松访问您保存的密码，为什么恶意软件不能呢？
• 将密码保存在密码管理系统（如KeePass）中。当然，你失去了让浏览器自动填充密码的便利。
• 使用与Chrome集成的第三方实用程序，并使用主密码来管理您的密码。
• 使用TrueCrypt加密整个硬盘。这是完全可选的，而且保护性很强，但是如果有人不能解密你的驱动器，他们肯定不能从中得到任何东西。

底线只是保持你的系统安全，你的Chrome密码也应该相当安全。

从NirSoft下载ChromePass

从Sourceforge下载SQLite浏览器