如何查看已保存的密碼
Chrome 密碼管理器的進(jìn)入方式:右側(cè)扳手圖標(biāo)→設(shè)置→顯示高級設(shè)置→密碼和表單→管理已保存的密碼�。或者直接在地址欄中復(fù)制粘貼:chrome://chrome/settings/passwords���,然后回車進(jìn)入���。
如果你允許Chrome保存密碼����,看到這個界面應(yīng)該沒什么稀奇�,或許你早已知道這個特性了。從昨晚微博轉(zhuǎn)發(fā)來看�����,很多用戶還是并不知道這個特性����。
點(diǎn)擊密碼區(qū)域,顯示一個“顯示”按鈕���,再點(diǎn)擊“顯示”按鈕��,可看到密碼����。如果其他人可以無阻礙使用你的電腦��,那他就可以拿到你的這些已保存的密碼。
(本文配圖中的用戶名和密碼為測試所用)
密碼數(shù)據(jù)保存在哪里了?
已保存的密碼數(shù)據(jù)存儲在一個 SQLite 數(shù)據(jù)庫中�����,位置是:
[系統(tǒng)盤]:Documents and Settings[用戶名]Local SettingsApplication DataGoogleChromeUser DataDefaultLogin Data (這個路徑是 Win XP 系統(tǒng))
你可以用 SQLite Database Browser 打開這個文件(文件名就是“Login Data”)�,查看“logins”表格,該表就包含了被保存的密碼���。但你會看到“password_value” 域的值是不可讀��,因?yàn)橹狄鸭用堋?PS:SQLite數(shù)據(jù)庫查看器的SourceForge下載鏈接)
加密后的數(shù)據(jù)的安全性如何?
為了執(zhí)行加密(在Windows操作系統(tǒng)上)����,Chrome使用了Windows提供的API�,該API只允許用于加密密碼的Windows用戶賬 戶去解密已加密的數(shù)據(jù)。所以基本上來說���,你的主密碼就是你的Windows賬戶密碼���。所以���,只要你登錄了用自己的賬號Windows��,Chrome就可以 解密加密數(shù)據(jù)�����。
不過�����,因?yàn)槟愕腤indows賬戶密碼是一個常量����,并不是只有Chrome才能讀取“主密碼”,其他外部工具也能獲取加密數(shù)據(jù)�����,同樣也可以解密加密 數(shù)據(jù)��。比如使用NirSoft的免費(fèi)工具ChromePass(NirSoft官方下載)���,就可以看得你已保存的密碼數(shù)據(jù)���,并可以輕松導(dǎo)出為文本文件。
既然 ChromePass 可以讀取加密的密碼數(shù)據(jù)���,那惡意軟件也能讀取的����。當(dāng)ChromePass.exe被上傳至VirusTotal時,超過半數(shù)的反病毒(AV)引擎會標(biāo)記這 一行為是危險級別�。不過在這個例子中,這個工具是安全的�����。不過有點(diǎn)囧�,微軟的Security Essentials并沒有把這一行為標(biāo)記為危險。
可以繞過保護(hù)機(jī)制么?
假設(shè)你的電腦被盜�����,小偷重設(shè)了Windows賬號密碼�����。如果他們隨后嘗試在Chrome中查看你的密碼��,或用ChromePass來查看����,密碼數(shù)據(jù)都是不可用。原因很簡單����,因?yàn)?ldquo;主密碼”并不匹配,所以解密失敗����。
此外,如果有人把那個SQLite數(shù)據(jù)庫文件復(fù)制走了�����,并嘗試在另外一臺電腦上打開����,ChromePass也將顯示空密碼,原因同上�����。
結(jié)論
Chrome瀏覽器中已保存密碼的安全性���,完全取決于用戶本身���。這里有些建議:
●使用一個極高強(qiáng)度的Windows賬號密碼����。必須記住�����,有不少工具可以解密Windows賬號密碼���。如果有人獲取了你的Windows賬號密碼�,那他也就可以知道你在Chrome已保存的密碼����。
●讓你自己遠(yuǎn)離各種各樣的惡意軟件吧。如果工具可以輕易獲取你已保存的密碼����,那惡意軟件和那些偽安全軟件同樣可以做到。如果非得下載軟件���,請到軟件官方網(wǎng)站去下載�。
●把密碼保存至密碼管理軟件中(比如:KeePass)���。當(dāng)然了���,如此一來����,瀏覽器就不能幫你自動填充密碼了����。
●使用可以整合到Chrome中的第三方工具(比如:LastPass)��,使用主密碼來管理你的那些密碼�����。
●用工具(比如:TrueCrypt)完全加密整個硬盤�。
●非私人電腦上,一定不能讓瀏覽器保存密碼�。(原文沒有,額外補(bǔ)充)
如果經(jīng)常用瀏覽器保存登錄用戶名和密碼�,離開電腦時最好鎖定屏幕?���?傊痪湓挘鸭依?操作系統(tǒng))的安全工作做好����,家中物件的安全性也應(yīng)當(dāng)有保障了��。
補(bǔ)充信息:如果允許 Firefox 瀏覽器保存站點(diǎn)密碼�����,同樣可以很方便查看�����。
Firefox 瀏覽器雖然采用了主密碼機(jī)制�,但默認(rèn)并不開啟�����。如果用戶啟用�����,以后Firefox每次讀取已保存的敏感數(shù)據(jù)時����,用戶必須輸入主密碼。。用戶必須記住自己設(shè)定的主密碼����,否則……
果-1.jpg)
