如果我在 Google Chrome 中儲存密碼,其他人可以輕鬆查看該密碼
Setting -> Advance Settings -> Manage saved passwords -> Show (in required password field)
並從另一台計算機上使用它。這不會造成安全問題嗎?我想如果它只顯示條目和所有點或密碼的某些內容(而不是實際的密碼),那麼它會非常安全。
是否有任何可以接受的想法可以如此輕鬆地向任何人顯示密碼?
注意:Firefox 也顯示了實際密碼,我沒有在 IE 中檢查。
鉻合金
答案1
這是安全權衡而不是安全弱點。由於密碼的本質,如果它們以可以使用的方式存儲(即填寫表格),那麼它們將以可以檢索的方式存儲,無論使用什麼方案來存儲或對它們進行加密。隱藏顯示密碼的選項並不會改變應用程式本身在某些時候必須檢索密碼的事實 - 當它這樣做時,它會受到各種提取密碼的方法的影響。
這聽起來像是一個相當大的漏洞,除非你考慮到其他起作用的因素。
- 為了檢索密碼,攻擊者必須訪問儲存密碼的系統上的使用者帳戶或管理員帳戶,通常透過惡意軟體、肩窺、無人值守但未鎖定的 PC,或在某些情況下透過實體訪問,透過恢復工具。
- 如果攻擊者可以執行上述任何操作,他們就可以透過其他方式篡改系統,包括安裝鍵盤記錄器、遠端控制軟體、嗅探器和桌面記錄軟體,因此輸入的密碼不一定比密碼更安全。張。
- 儲存密碼的使用者更有可能在網站之間使用唯一的密碼,並且更有可能使用強密碼。
- 儲存的密碼可能比鍵盤下的便利貼更安全,因為有人實際上必須登入您的使用者帳戶才能看到它,而他們可以記住、竊取、手寫或拍攝便利貼。
事實上,保存的密碼與針對堅定的攻擊者輸入的密碼的風險大致相同,因為堅定的攻擊者會為諸如未鎖定的 PC 或未鎖定的辦公室等機會做好準備。透過一些練習和提前準備,USB 驅動器或網站可以在 15 秒內安裝 Rootkit,比喝一杯咖啡的時間還短。如果您擔心有人坐下來顯示已儲存的密碼,那麼您的電腦不安全且無人值守,就會遇到更大的問題。
至於主密碼,它們是一個很好的工具,但不要對它們抱有太大的信心。一個有機會攻擊您的主密碼的嚴重攻擊者已經足以安裝鍵盤記錄器。雖然它可以在系統關閉時防止對資料庫的抓取和運行攻擊,並且可以很好地防止偶然窺探,但它不會阻止那些認真想獲取您的密碼的人利用未鎖定的電腦。
總之:
- 在電腦上儲存密碼本身並不是一個嚴重的安全風險,但它是一個加劇因素,如果您未鎖定電腦或讓其他人在使用電腦時,壞人會更容易利用您的粗心。您不保存密碼,他們仍然可以造成相同的損害- 保存的密碼只會讓他們更容易。
- 將密碼保存在電腦上可以更輕鬆地使用安全、唯一的密碼。
- 基本的安全紀律,例如在未鎖定電腦的情況下不離開電腦、不共享您的密碼、不為了PC 上其他用戶的利益而保存您的密碼以及不讓其他人在您的登錄名下工作,這些安全考慮因素比是否考慮安全性重要得多或不保存密碼。
- 如果您可以選擇(深度防禦),主密碼仍然是一個好主意,但不要讓它給您錯誤的安全感。這是一個額外的因素,而不是在其他地方粗心大意的藉口。
答案2
我認為有兩點需要澄清:
- Firefox 允許設定主密碼以確保您所有密碼的安全(您必須先輸入主密碼,然後它才會顯示密碼,或將其放入密碼框中)。
- Chrome 使用使用者的 Windows 登入密碼對密碼進行加密。
谷歌為什麼要做某件事不是任何人(除了Google)都能回答的。以下是他們迄今為止所說的話:
“我們決定不實施主密碼功能是因為我們相信它會產生一種錯誤的安全感,而不是真正提供強大的安全優勢”
我不明白,很多人也不明白,但這就是事情的現狀。如果你不喜歡 chrome 的這一部分,請使用類似的東西最後通行證。
答案3
密碼不會輕易向任何人透露。人們可以存取您的 Windows 使用者帳戶,否則無法顯示您的密碼。由於除了您之外沒有人可以存取您的帳戶(透過知道您的密碼),因此我看不出 Chrome 的行為如何成為安全問題。
雖然 Internet Explorer 沒有本機方式來顯示儲存的密碼,但任何有權存取您帳戶的使用者仍然可以使用它們,例如透過使用諸如http://www.nirsoft.net/utils/internet_explorer_password.html。不提供本地方式可能被視為一種偽安全。