浏览器提供的最方便的工具之一是保存并自动在登录表单上预先填充密码。因为如此多的网站需要帐户，而且众所周知（或者至少应该是这样）使用共享密码是一个很大的禁忌，所以密码管理器几乎是必不可少的。

因此，如果您是IE用户并回答“是”以允许浏览器记住您的密码，那么此信息的安全性如何？

他们在哪里得救？

从Internet Explorer 7开始，密码存储在系统注册表中（密钥\u CURRENT\USER\Software\Microsoft\Internet Explorer\IntelliForms\Storage2），并使用使用三重DES加密的数据保护API加密Windows用户的登录密码。

这些数据有多安全？

在本文撰写时，三重DES实际上是不可通过暴力方法无法破解的。但是，当您登录到Windows帐户时，您就不需要强制加密，因为Windows存储密码数据时，假设一旦登录，应用程序访问此数据是安全的。由于IE没有使用主密码（如Firefox提供的）来保护其保存的密码，因此相应的Windows帐户密码是三重DES解密密钥。

简单地说，如果您可以使用帐户和密码登录到Windows，就可以看到保存的浏览器密码。使用免费提供的工具，如NirSoft的IE PassView，您可以查看和导出每个保存的IE密码。

那么恶意软件可以访问这个吗？

在看到获取这些数据有多么容易之后，下一个逻辑问题是恶意软件能否轻松获取这些数据。我不是一个恶意软件开发人员，但我不认为有任何理由它不能。如果我用Virus Total扫描IE PassView实用程序，你可以看到55%的扫描程序检测到它是恶意软件（其中之一是Security Essentials）。

在我们的例子中，结果是假阳性，这表明即使系统运行反病毒，一个恶意软件也有可能访问未被检测到的数据。此外，由于加密数据是用户特定的，因此尝试访问此数据的应用程序不会触发UAC提示。在认为这是操作系统中的缺陷之前，这实际上就是它必须是IE的方式，而使用受保护存储的其他Windows应用程序的主机每次打开时都会触发UAC提示。

如果我的电脑被偷了怎么办？

简单的答案是，这些数据与您的Windows帐户密码一样安全。如上所示，当您使用适当的密码登录到帐户时，所有这些数据都很容易访问。如果你没有使用密码，你就没有保护。

为了更进一步，我重置了帐户密码，以查看在Windows之外强制更改密码时会发生什么情况。重置后，我保存了一个新的Gmail地址密码（blah@），并运行IE PassView。我可以看到以前的用户名（myemail@），它是在重置密码之前保存的，但是由于用于保存数据的帐户密码（即“主密码”）不同，因此无法解密以前的Windows帐户密码下保存的IE密码。这绝对是件好事。

结论

最后，IE保存的密码的安全性完全取决于用户：

• 使用非常强的Windows帐户密码。请记住，有些实用程序可以破译Windows密码。如果有人得到你的Windows帐户密码，那么他们可以访问你保存的IE密码。
• 保护自己免受恶意软件攻击。如果实用程序能够轻松访问您保存的密码，为什么恶意软件不能呢？
• 将密码保存在密码管理系统（如KeePass）中。当然，你失去了让浏览器自动填充密码的便利。
• 使用与IE集成的第三方实用程序，并使用主密码管理您的密码。
• 使用TrueCrypt加密整个硬盘。这是完全可选的，而且保护性很强，但是如果有人不能解密你的驱动器，他们肯定可以从中得到任何东西。

当然这两个都不用说，但这只是加强了采取措施来保持系统安全的重要性。

从NirSoft下载IE PassView