今天给大家带来这个专题的第三篇,你们的支持就是我们写下去的动力!
03
秘迹同学还是想来聊一聊关于密码的话题,
关于密码的保存,相信比较普遍的一种做法是:直接用浏览器存储密码。那我们就以Chrome为例,来看看这样做有什么不妥。
不可否认,这是一个相当便捷简单的做法。而且Chrome浏览器也是大家信赖和喜爱的产品。那为什么我们非要说用浏览器存密码不是一个好的方案呢?
有以下几个原因:
1.浏览器并没有安全的保存密码。
除火狐浏览器外,一般浏览器并没有为保存的密码设置单独的密码,而是使用操作系统的加密。这意味着你电脑上的其他软件也具备获取你浏览器保存密码的能力,无需你输入密码。
从Chrome浏览器中导出密码需要输入你的window密码,但这并没有什么效果。
使用第三方软件,一步就能导出密码,嗖的一下就把密码显示出来了,想截个gif都没法截。
2、它还会上传你的密码。
如果这些密码只是在本地保存,那还安全一点,但很多浏览器为了方便我们在不同电脑上登录,都设计了同步密码的功能,你在这台电脑上保存的密码会上传到服务器,再发送给你其他电脑上的浏览器。Chrome69版本甚至设计了只要你登录过谷歌项目,就默认用你的谷歌账号登录你的浏览器,同步你的密码列表。只要你的浏览器密码泄露了,浏览器保存的所有密码都会泄露。
3.它不利于保护密码安全。
从专业角度,保护密码安全不但要安全保存,还需要生成强密码、避免重复密码、更换已泄露的等功能,但浏览器保存密码却让用户忘记了这些密码安全策略,降低了我们的安全性。
上图为生成强密码的功能
4、填充的密码会被恶意插件获取。
如果我们使用密码管理器的浏览器插件,每次登录就会看到插件保存密码的提示,其实这时插件已经读取了你的密码,只是在询问你是否保存。
上图为插件询问你是否保存登录信息
同样,如果浏览器上安装了恶意插件,恶意插件也可以通过js读取浏览器自动填充的密码。更糟糕的是,因为某些原因,国内的小伙伴只能通过第三方平台安装浏览器插件,无法确保这些插件是出自官方而未经修改过的。
综上,浏览器存储的密码,并不安全。
-END-
