我刚刚被什么震惊了WebBrowserPassView可以显示——它基本上显示了我在浏览器(Chrome)中保存的每个密码。
我猜想我电脑上的其他用户也能轻易获取我的密码。我该如何保护自己的安全?
答案1
Chrome 使用 Windows 的“保护”功能来保护您保存的密码数据处理应用程序接口(数据保护 API)。DPAPI 有两种加密模式或范围:用户和机器。
受保护于计算机范围内的数据使用每台计算机的密钥进行加密。计算机上每个经过身份验证的用户都可以使用 DPAPI 取消保护此类数据,无论最初由哪个用户保护。
用户范围内受保护的数据使用每个用户的密钥进行加密。该密钥受从 Windows 密码派生的另一个密钥保护。(不过,这与 Chrome 要求您输入 Windows 密码才能查看其保存的密码这一事实无关。)幸运的是,Chrome 使用了这种模式。
每个用户 DPAPI 密钥加密的一个有趣结果是,受保护的数据无法由计算机上的其他用户解密,即使是管理员也无法解密,因为他们只能获取密码的哈希值,而无法获取原始密码。(当然,这并不能阻止他们安装键盘记录器或其他以您的身份运行的间谍程序。)如果您的 Windows 密码被强制重置(而不是正常更改),则您范围内受保护的数据实际上将被销毁。
单独的 Chrome 帐户与此无关,因为 DPAPI 仅与 Windows 用户相关联。
因此,解决方案是让计算机上的其他人使用他们自己的 Windows 帐户。
答案2
请注意,Chrome 不支持其内置密码管理器/存储的主密码。这意味着任何登录到您计算机上的用户帐户的人都可以以纯文本形式查看您的 Chrome 密码,他们甚至不需要 WebBrowserPassView。
没有主密码,没有安全机制,甚至没有“这些密码是可见的”的提示。
chrome://settings/passwords
不信的话,用 Chrome 看看吧。
来源:Chrome 的疯狂密码安全策略(有关 Chrome 密码存储机制的更多详细信息,请参阅此博客文章)
使用支持主密码的第三方密码管理器(如 KeePass 或 LastPass)来解决此问题。如果您愿意使用其他浏览器,Firefox 提供主密码支持,因此其密码在 WebBrowserPassView 中无法查看。