您保存的Chrome浏览器密码安全程度如何?

图片

关于谷歌Chrome浏览器的一个常见的问题是“为什么没有一个主密码?” 谷歌已经(非正式)采取这种敏感的数据是一个主密码安全性提供了虚假的安全感和保护的最可行的形式位置通过整体系统安全。

那么,您在Google Chrome中保存的密码数据究竟有多安全?

查看保存的密码

Chrome包含自己的密码管理器,可通过选项>个人资料>管理已保存的密码访问。 这不是什么新鲜事,如果您允许Chrome存储您的密码,您可能已经知道这个功能。

一个小小的安全性的好处是,您必须首先单击您要查看的每个密码旁边的显示按钮。

图片

图片

虽然没有访问此屏幕的限制(即,如果您可以访问安装了Chrome的桌面,您可以获取密码),至少需要用户干预才能查看每个密码,无法批量导出到纯文本文件。

密码数据存储在哪里?

保存的密码数据存储在位于此处的SQLite数据库中:

%UserProfile%\ AppData \ Local \ Google \ Chrome \ User Data \ Default \ Login Data

您可以使用SQLite数据库浏览器打开此文件(文件名称只是“登录数据”),并查看包含已保存密码的“登录名”表。 您会注意到“password_value”字段是不可读的,因为值是加密的。

图片

加密数据如何安全?

要执行加密(在Windows上),Chrome使用Windows提供的API函数,使加密数据只能通过用于加密密码的Windows用户帐户进行解密。 因此,主密码是您的Windows帐户密码。 因此,一旦您使用您的帐户登录Windows,该数据可以通过Chrome解密。

但是,由于您的Windows帐户密码是一个常量,所以访问“主密码”不是专用于Chrome,因为外部实用程序可以获取此数据并解密。 使用NirSoft免费提供的实用程序ChromePass,您可以看到所有保存的密码数据,并轻松导出到纯文本文件。

图片

因此,有意义的是,如果ChromePass实用程序可以访问此数据,则作为相应用户运行的恶意软件也可以访问它。 ChromePass.exe上传到VirusTotal ,刚刚超过反病毒引擎的一半将其标记为危险的。 虽然在这种情况下,实用程序是安全的,但有点放心,看到这种行为是至少被许多AV包(虽然Microsoft安全基础不是一个AV报告它是危险的AV引擎)。

图片

保护可以避免吗?

假设你的计算机被盗和贼重置您的Windows密码以本地登录到您的安装。 如果他们随后尝试在Chrome中查看密码或使用ChromePass实用程序,则密码数据将不可用。 原因很简单,因为“主密码”(这是在Windows强制重置之前的Windows帐户密码)不匹配,因此解密失败。

图片

此外,如果有人只是复制Chrome密码SQLite数据库文件,并尝试在另一台计算机上访问它,ChromePass将显示空密码与上述相同的原因。

图片

结论

在一天结束时,Chrome保存的密码的安全性完全取决于用户:

  • 使用非常强的Windows帐户密码。 请记住,有可破解Windows密码的实用程序 如果有人获取您的Windows帐户密码,那么他们可以访问您保存的浏览器密码。
  • 保护自己免受恶意软件。 如果实用程序能够轻松访问您保存的密码,为什么不能恶意软件?
  • 将密码保存在密码管理系统(如KeePass)中。 当然,您失去了让浏览器自动填充您的密码的方便。
  • 使用与Chrome集成并使用主密码管理密码的第三方实用程序。
  • 使用TrueCrypt加密您的整个硬盘驱动器。 这是完全可选的,为超级保护,但如果有人不能解密你的驱动器,他们肯定不能得到任何东西。

底线是为了确保您的系统安全,您的Chrome密码也应该相当安全。

从NirSoft下载ChromePass

从Sourceforge下载SQLite Browser

赞 (0)
分享到:更多 ()