浏览器中的密码管理器有多安全？

Question 1

鲍勃的回答中指出的观点都是正确的，所以我就不重复了；不过，我认为一些额外的信息可能对某些人也有帮助，因为你的问题是一个合理的关注点。

Opera 的 Wand 功能允许您指定询问主密码的频率，Preferences > Advanced > Security > Ask for password选项包括“每次会话一次”（正如 Bob 正确指出的那样，这会限制您的安全性）、“每 x 分钟/小时一次”（如果您不介意摆弄.ini文件，您可以自定义频率）和“每次需要时”（显然这是最安全的选项，因为您的密码不会在浏览会话期间存储在内存中）。我不使用 Firefox，但可以想象某个地方有类似的扩展程序可用。
Wand 数据存储在一个名为 wait for it 的文件中，wand.dat如果不使用主密码，这种格式很容易破译；如果你做使用主密码，它使用随机组件和您的主密码使用我目前无法理解的算法进行加密（但应该很容易查找）。
如果您使用的密码对于某个网站而言比一般的登录名更安全，那么您可以简单地选择不保存密码。
Opera 中的私人标签页（或其他浏览器中的等效标签页）允许您将该标签页的会话数据与“普通”标签页中的会话数据分开存储，这可以增加另一层安全性。
Chrome 及其衍生产品中使用的安全模型（即在单独的线程中对每个选项卡进行沙盒处理）为您提供了更高的安全性。
您可以通过定期进行以下操作来防范键盘记录程序等：
- 更新您的防病毒和防火墙软件；以及
- 更改您的密码。

总结：

您的浏览器和登录信息的安全级别你决定在很大程度上。
如果有人非常熟练且足智多谋，他们最终可能会获得你的数据尽管上述所有预防措施，但会使您的浏览器数据更加安全，并显著提高破解所需的复杂程度。

Answer

鲍勃的回答中指出的观点都是正确的，所以我就不重复了；不过，我认为一些额外的信息可能对某些人也有帮助，因为你的问题是一个合理的关注点。

Opera 的 Wand 功能允许您指定询问主密码的频率，Preferences > Advanced > Security > Ask for password选项包括“每次会话一次”（正如 Bob 正确指出的那样，这会限制您的安全性）、“每 x 分钟/小时一次”（如果您不介意摆弄.ini文件，您可以自定义频率）和“每次需要时”（显然这是最安全的选项，因为您的密码不会在浏览会话期间存储在内存中）。我不使用 Firefox，但可以想象某个地方有类似的扩展程序可用。
Wand 数据存储在一个名为 wait for it 的文件中，wand.dat如果不使用主密码，这种格式很容易破译；如果你做使用主密码，它使用随机组件和您的主密码使用我目前无法理解的算法进行加密（但应该很容易查找）。
如果您使用的密码对于某个网站而言比一般的登录名更安全，那么您可以简单地选择不保存密码。
Opera 中的私人标签页（或其他浏览器中的等效标签页）允许您将该标签页的会话数据与“普通”标签页中的会话数据分开存储，这可以增加另一层安全性。
Chrome 及其衍生产品中使用的安全模型（即在单独的线程中对每个选项卡进行沙盒处理）为您提供了更高的安全性。
您可以通过定期进行以下操作来防范键盘记录程序等：
- 更新您的防病毒和防火墙软件；以及
- 更改您的密码。

总结：

您的浏览器和登录信息的安全级别你决定在很大程度上。
如果有人非常熟练且足智多谋，他们最终可能会获得你的数据尽管上述所有预防措施，但会使您的浏览器数据更加安全，并显著提高破解所需的复杂程度。

Question 2

如果您的计算机上有恶意软件，则输入或存储的任何密码都不能被视为真正安全。即使是 KeyPass 数据库等加密密码，只要您输入解密所需的详细信息，攻击者就可以检索您的密码。
浏览器通常不太重视已保存密码的安全性，至少在默认设置下不会。

假设你感染了一个木马，它会窃取你电脑中的数据。该木马能否解密浏览器存储的密码并使用它们？

一句话：是的。浏览器通常不会加密记住的密码，因此很容易就能读取。使用存储的密钥进行加密无论如何都是无用的：如果浏览器能够解密，则在同一台计算机上运行的其他程序也可以解密。

我最熟悉的是 Firefox，因此我会使用它。

Firefox 允许您设置“主密码”。如果您设置了，它会使用主密码加密存储的密码。但是，为了方便起见，您只需在每个会话中使用此主密码登录一次。一旦您登录，解密已保存的密码所需的信息就会存储在内存中，并且可以访问。一种更安全、更麻烦的方法是要求每次 Firefox 需要查找已保存的密码时都输入主密码。

即使保存的密码是完美加密的并且完全无法访问，也必须在某个时候将其解密并输入到网络表单上。这意味着将密码以未加密的形式保存在内存中。实际上有相当多的“星号揭露者' 程序旨在从内存中获取这些密码，然后将其泄露。恶意软件理论上也可以做同样的事情。

恶意软件还可以记录您的键盘输入，从而允许攻击者检索您输入的任何密码。

对主流浏览器（IE、Chrome、FF）的密码安全性进行了非常深入的研究这里。总而言之，Chrome 和 IE10 都依赖于 Windows 的加密程序，这些程序被认为是强大的。然而，它们不保护同一用户下运行的其他程序也就是说，它们对恶意软件毫无用处。同样，任何正在执行的程序（以管理员身份）都可以从内存或通过键盘记录获取信息。

当您考虑到您保存的数据可能被盗用于日后分析时，加密方法就显得尤为重要，例如有人潜入您的计算机并复制或窃取您的计算机。一般来说，所有现代浏览器都能很好地防范这种形式的攻击。再次推荐使用 Firefox 和强大的密码，因为可以通过登录 Windows 用户帐户来恢复 Windows 加密数据，而 Windows 密码不再完全安全。请注意，所有这些都无法阻止非常坚定的攻击者。

Answer

如果您的计算机上有恶意软件，则输入或存储的任何密码都不能被视为真正安全。即使是 KeyPass 数据库等加密密码，只要您输入解密所需的详细信息，攻击者就可以检索您的密码。
浏览器通常不太重视已保存密码的安全性，至少在默认设置下不会。