如果我在 Google Chrome 中保存了密码,其他人就可以轻松地从
Setting -> Advance Settings -> Manage saved passwords -> Show (in required password field)
并从另一台计算机使用它。这不会造成安全问题吗?我猜如果它只显示输入内容和所有点或密码之类的东西(而不是实际密码),那就更安全了。
如此轻易地向任何人透露密码是可接受的想法吗?
注意:Firefox 也显示实际密码,我没有在 IE 中检查。
铬合金
答案1
这是一种安全权衡,而不是安全漏洞。由于密码的本质,如果以可以使用的方式存储它们(例如,填写表格),则无论使用何种方案存储或加密它们,它们都会以可以检索的方式存储。隐藏显示密码的选项不会改变应用程序本身在某个时候必须检索密码的事实 - 并且当它这样做时,它会受到各种提取密码的方法的影响。
这听起来像是一个相当大的漏洞,直到你考虑到其他因素。
- 为了检索密码,攻击者必须访问存储密码的系统上的用户帐户或管理员帐户,通常是通过恶意软件、肩窥、无人值守但未锁定的 PC,或者在某些情况下通过恢复工具进行物理访问。
- 如果攻击者可以执行上述任何操作,他们就可以通过其他方式篡改系统,包括安装键盘记录器、远程控制软件、嗅探器和桌面录音软件,因此输入的密码并不一定比存储的密码更安全。
- 存储密码的用户更有可能在网站之间使用唯一的密码,也更有可能使用强密码。
- 存储的密码可能比键盘下的便条更安全,因为有人实际上必须登录到您的用户帐户才能看到它,同时他们可以记住、窃取、手工复制或拍摄便条。
实际上,对于坚定的攻击者来说,保存的密码与输入的密码的风险大致相同,因为坚定的攻击者会为未锁定的 PC 或未锁定的办公室等机会做好准备。只要稍加练习和提前准备,USB 驱动器或网站就可以在 15 秒内准备好安装 rootkit - 比喝杯咖啡的时间还短。如果您担心有人坐下来显示保存的密码,那么拥有一台不安全且无人看管的 PC 会给您带来更大的问题。
至于主密码,它们是一个很好的工具,但不要太过相信它们。有机会破解您的主密码的严重攻击者已经足够深入地植入键盘记录器。虽然它可以在系统关闭时对数据库进行适度的保护,以防止抓取和运行攻击,并且可以很好地防止随意窥探,但它无法阻止那些真正想获取您的密码的人利用未锁定的 PC。
总之:
- 在计算机上保存密码本身并不是一个严重的安全风险,但如果您忘记锁上计算机或在您登录时让其他人使用计算机,则这是一个更严重的因素,它会让坏人更容易利用您的粗心大意。(即使您没有保存密码,他们仍然可以造成同样的损害 - 保存的密码只会让他们更容易得手。)
- 将密码保存在计算机上可以更轻松地使用安全、独特的密码。
- 基本的安全原则,例如不要在未锁定计算机的情况下离开计算机、不要共享您的密码、不要为其他用户的电脑保存您的密码、不要让其他人以您的登录名工作等,都是比是否保存密码更为重要的安全考虑。
- 如果您有选择(纵深防御),主密码仍然是一个好主意,但不要让它给您一种虚假的安全感。这是一个额外的因素,而不是在其他方面粗心大意的借口。
答案2
我认为有两点需要明确:
- Firefox 允许设置主密码来保证您的所有密码的安全(您必须先输入主密码,然后它才会显示密码,或者将其输入到密码框中)。
- Chrome 使用用户的 Windows 登录密码加密密码。
谷歌为什么会这样做,除了谷歌之外,没有人能够回答。以下是他们目前的说法:
“我们决定不实施主密码功能,是因为我们认为它会产生一种虚假的安全感,而不是真正提供强大的安全优势”
我不明白,很多人也不明白,但这就是现状。如果你不喜欢 chrome 的这一部分,可以使用类似最后通行证。
答案3
密码不会轻易显示给任何人。有人可以访问您的 Windows 用户帐户,否则您的密码就不会显示。由于除了您之外没有人可以访问您的帐户(通过知道您的密码),我看不出 Chrome 的行为会造成安全问题。
虽然 Internet Explorer 没有显示存储密码的原生方式,但任何有权访问您帐户的用户仍可以使用它们,例如使用以下工具http://www.nirsoft.net/utils/internet_explorer_password.html不提供本地方式可能会被视为一种伪安全。