Chrome 保存的密码安全问题

Question

如果我在谷歌浏览器中保存密码，其他人可以很容易地看到密码

Setting -> Advance Settings -> Manage saved passwords -> Show (in required password field)

并从另一台计算机使用它。这不是造成安全问题吗？我想如果它只显示条目和所有点或密码的东西（而不是实际密码），它会非常安全。

有没有可以这么容易地向任何人显示密码的可接受的想法？

注意：Firefox 也显示了实际密码，我没有在 IE 中检查。

铬合金

Answer 1

我认为有两点需要明确：

1. Firefox 允许设置主密码以确保所有密码的安全（您必须先输入主密码，然后它才会显示密码，或放入密码框中）。
2. Chrome 使用用户的 Windows 登录密码对密码进行加密。

为什么谷歌做某事不是任何人（谷歌除外）都可以回答的。以下是他们到目前为止所说的：

“我们决定不实施主密码功能是基于我们的信念，即它会产生一种虚假的安全感，而不是真正提供强大的安全优势”

我不明白，很多人也不明白，但这就是事情的现状。如果您不喜欢 chrome 的这一部分，请使用LastPass 之类的东西。

Answer 2

这是安全权衡而不是安全弱点。由于密码的本质，如果它们以可以使用的方式存储（即填写表格），那么它们将以可以检索的方式存储，无论使用什么方案来存储或对它们进行加密。隐藏显示密码的选项并不会改变应用程序本身在某些时候必须检索密码的事实 - 并且当它这样做时，它会受到各种提取密码的方法的影响。

这听起来像是一个相当大的漏洞，除非你考虑到其他起作用的因素。

• 为了检索密码，攻击者必须访问存储密码的系统上的用户帐户或管理员帐户，通常通过恶意软件、肩窥、无人值守但未锁定的 PC，或者在某些情况下通过物理访问，通过恢复工具。
• 如果攻击者可以执行上述任何操作，他们就可以通过其他方式篡改系统，包括安装键盘记录器、远程控制软件、嗅探器和桌面记录软件，因此输入的密码不一定比密码更安全。存了一张。
• 存储密码的用户更有可能在站点之间使用唯一的密码，并且更有可能使用强密码。
• 存储的密码可能比键盘下的便利贴更安全，因为有人实际上必须登录您的用户帐户才能看到它，而他们可以记住、窃取、手写或拍摄便利贴。

事实上，保存的密码与针对坚定的攻击者输入的密码的风险大致相同，因为坚定的攻击者会为诸如未锁定的 PC 或未锁定的办公室等机会做好准备。通过一些练习和提前准备，USB 驱动器或网站可以在 15 秒内安装 Rootkit，比喝一杯咖啡的时间还短。如果您担心有人坐下来显示保存的密码，那么您的电脑不安全且无人值守，就会遇到更大的问题。

至于主密码，它们是一个很好的工具，但不要对它们抱有太大的信心。一个有机会攻击您的主密码的严重攻击者已经足以安装键盘记录器。虽然它对系统关闭时对数据库的抓取和运行攻击提供了适度的保护，并且对偶然窥探提供了良好的保护，但它不会阻止那些认真想要获取您的密码的人利用未锁定的电脑。

总之：

• 在计算机上保存密码本身并不是一个严重的安全风险，但它是一个加剧因素，如果您未锁定计算机或让其他人在使用计算机时，坏人更容易利用您的粗心。您已登录。（如果您不保存密码，他们仍然可以造成相同的损害 - 保存的密码只会让他们更容易。）
• 将密码保存在计算机上可以更轻松地使用安全、唯一的密码。
• 基本的安全纪律，例如在未锁定计算机的情况下不离开计算机、不共享您的密码、不为了计算机上其他用户的利益而保存您的密码以及不让其他人在您的登录名下工作，这些安全考虑因素比是否考虑安全性要重要得多或不保存密码。
• 如果您可以选择（深度防御），主密码仍然是一个好主意，但不要让它给您带来错误的安全感。这是一个额外的因素，而不是在其他地方粗心大意的借口。