秘跡來聊一聊瀏覽器存密碼這件事。
關於密碼的儲存,相信比較普遍的一種做法是:直接用瀏覽器儲存密碼。那我們就以Chrome為例,來看看這樣做有什麼不妥。
不可否認,這是一個相當便捷簡單的做法。而且Chrome瀏覽器也是大家信賴和喜愛的產品。那為什麼我們非要說用瀏覽器存密碼不是一個好的方案呢?
有以下幾個原因:
除火狐瀏覽器外,一般瀏覽器並沒有為儲存的密碼設定單獨的密碼,而是使用作業系統的加密。這意味著你電腦上的其他軟體也具備獲取你瀏覽器儲存密碼的能力,無需你輸入密碼。
從Chrome瀏覽器中匯出密碼需要輸入你的window密碼,但這並沒有什麼效果。
使用第三方軟體,一步就能匯出密碼,嗖的一下就把密碼顯示出來了,想截個gif都沒法截。
如果這些密碼只是在本地儲存,那還安全一點,但很多瀏覽器為了方便我們在不同電腦上登入,都設計了同步密碼的功能,你在這臺電腦上儲存的密碼會上傳到伺服器,再發送給你其他電腦上的瀏覽器。Chrome69版本甚至設計了只要你登入過谷歌專案,就預設用你的谷歌賬號登入你的瀏覽器,同步你的密碼列表。只要你的瀏覽器密碼洩露了,瀏覽器儲存的所有密碼都會洩露。
從專業角度,保護密碼安全不但要安全儲存,還需要生成強密碼、避免重複密碼、更換已洩露的等功能,但瀏覽器儲存密碼卻讓使用者忘記了這些密碼安全策略,降低了我們的安全性。
上圖為生成強密碼的功能
如果我們使用密碼管理器的瀏覽器外掛,每次登入就會看到外掛儲存密碼的提示,其實這時外掛已經讀取了你的密碼,只是在詢問你是否儲存。
上圖為外掛詢問你是否儲存登入資訊
同樣,如果瀏覽器上安裝了惡意外掛,惡意外掛也可以透過js讀取瀏覽器自動填充的密碼。更糟糕的是,因為某些原因,國內的小夥伴只能透過第三方平臺安裝瀏覽器外掛,無法確保這些外掛是出自官方而未經修改過的。
綜上,瀏覽器儲存的密碼,並不安全。
還是選擇一款專業的密碼管理器吧。這裡推薦秘跡app - 保險箱功能,配合Chrome外掛可以實現跨屏登入,你的瀏覽器完全不會接觸到你的密碼,非常安全。
秘跡來聊一聊瀏覽器存密碼這件事。
關於密碼的儲存,相信比較普遍的一種做法是:直接用瀏覽器儲存密碼。那我們就以Chrome為例,來看看這樣做有什麼不妥。
不可否認,這是一個相當便捷簡單的做法。而且Chrome瀏覽器也是大家信賴和喜愛的產品。那為什麼我們非要說用瀏覽器存密碼不是一個好的方案呢?
有以下幾個原因:
1.瀏覽器並沒有安全的儲存密碼。除火狐瀏覽器外,一般瀏覽器並沒有為儲存的密碼設定單獨的密碼,而是使用作業系統的加密。這意味著你電腦上的其他軟體也具備獲取你瀏覽器儲存密碼的能力,無需你輸入密碼。
從Chrome瀏覽器中匯出密碼需要輸入你的window密碼,但這並沒有什麼效果。
使用第三方軟體,一步就能匯出密碼,嗖的一下就把密碼顯示出來了,想截個gif都沒法截。
2、它還會上傳你的密碼。如果這些密碼只是在本地儲存,那還安全一點,但很多瀏覽器為了方便我們在不同電腦上登入,都設計了同步密碼的功能,你在這臺電腦上儲存的密碼會上傳到伺服器,再發送給你其他電腦上的瀏覽器。Chrome69版本甚至設計了只要你登入過谷歌專案,就預設用你的谷歌賬號登入你的瀏覽器,同步你的密碼列表。只要你的瀏覽器密碼洩露了,瀏覽器儲存的所有密碼都會洩露。
3.它不利於保護密碼安全。從專業角度,保護密碼安全不但要安全儲存,還需要生成強密碼、避免重複密碼、更換已洩露的等功能,但瀏覽器儲存密碼卻讓使用者忘記了這些密碼安全策略,降低了我們的安全性。
上圖為生成強密碼的功能
4、填充的密碼會被惡意外掛獲取。如果我們使用密碼管理器的瀏覽器外掛,每次登入就會看到外掛儲存密碼的提示,其實這時外掛已經讀取了你的密碼,只是在詢問你是否儲存。
上圖為外掛詢問你是否儲存登入資訊
同樣,如果瀏覽器上安裝了惡意外掛,惡意外掛也可以透過js讀取瀏覽器自動填充的密碼。更糟糕的是,因為某些原因,國內的小夥伴只能透過第三方平臺安裝瀏覽器外掛,無法確保這些外掛是出自官方而未經修改過的。
綜上,瀏覽器儲存的密碼,並不安全。
還是選擇一款專業的密碼管理器吧。這裡推薦秘跡app - 保險箱功能,配合Chrome外掛可以實現跨屏登入,你的瀏覽器完全不會接觸到你的密碼,非常安全。