如何保护浏览器存储的密码？

你曾经使用过浏览器保存密码功能吗？ Chrome / Firefox / Internet Explorer / 或是其他浏览器？如果你的电脑处于登录状态，并且其他用户可以访问这台电脑，他们就能够轻易查看浏览器保存的密码。 Chrome 和 Firefox 的开发者认为用户应该防止他人访问个人电脑，所以查看浏览器存储的密码是正常功能；可是，该功能却也留下了一些安全隐患。

其他用户如何才能查看你的密码呢？

假设你登录电脑系统后有事离开，而其他人使用了电脑，他们可以打开 Chrome 浏览器的设置页面，进入“密码”部分，然后就可以轻松查看保存的每个密码。 用户可以在 Chrome 浏览器的地址栏输入“ chrome://settings/passwords ”，然后访问该页面。点击某个密码项，并单击“显示”按钮 —— 你可以查看所有的存储密码，不需要任何额外操作。 关于 Firefox 浏览器的默认设置，你可以打开选项窗口，选择“安全”页，单击“保存的密码”按钮。选择显示密码之后，你可以看到 Firefox 浏览器保存的密码列表。 Firefox 允许用户设置一个“主密码”进行保护。如果设置了“主密码”，用户想要查看或使用已保存的密码，浏览器将要求输入“主密码”。不过，默认情况下， Firefox 不会提示用户设置“主密码”。 微软的 Internet Explorer 没有提供任何查看保存密码的内置功能。看上去似乎比较安全，其实不然。

• 方法一：其他用户可以使用诸如 IE PassView 免费程序查看当前用户下浏览器保存的所有密码。
• 方法二：无需安装任何软件，访问网站时如果是浏览器自动填写存储的密码，使用类似“ Reveal Passwords bookmarklet ”的网站脚本就能还原显示输入的密码。

JavaScript 源码如下： javascript:Array.prototype.slice.call(document.querySelectorAll(“input[type='password']“)) .map(function(el){el.setAttribute(‘type’,'text’)}) 该脚本将获取所有的密码输入，并将其类型转换为文本。只要浏览器支持“ querySelectorAll() ”语句，该脚本就能还原显示密码，例如 Safari 、 FF4 和 Chrome 等浏览器。

怎么回事，这算是安全漏洞吗？

其他人可以查看浏览器保存的密码，极客们一直在争论能否将其看作真正的安全漏洞。各浏览器的开发人员是否应该做出改变呢？浏览器并未提示用户这一安全问题，开发者是否背离了用户至上的准则？ 正方：支持浏览器保持现状

• Chrome 和 Internet Explorer 保护用户密码主要是依靠系统帐户和密码。如果你没有登录，其他人无法查看浏览器保存的密码。如果攻击者修改了 Windows 帐户的密码，也不能查看这些保存的密码。假设你使用了足够强的 Windows 系统密码，只要不使用该计算机，就将其锁定，那么理论上浏览器保存的密码将很安全。
• 如果攻击者可以访问你的计算机，或是后台运行了恶意程序，它可以记录你的键盘操作，并获取 Firefox 浏览器的“主密码”或专用密码管理器（ LastPass ）的密码。如果 Chrome 浏览器也配置主密码保护，也只是给用户一个不可靠的安全感。
• 此外，设置“主密码”将给普通用户带来不便，一般他们会选择禁用。用户通常不会希望在使用保存的密码之前，必须再输入一个主密码。
• 如果你已经使用浏览器登录了一个网站帐户，其他人可以如果可以接触你的浏览器，他完全可以在该网站上做手脚，取得该帐户的访问权。

反方：现实用户不会严格遵循安全规则

• 许多人与他人共享 Windows 用户帐户，将电脑设置自动登录，或允许客人自由使用自己的电脑。这将使保存的密码很容易被其他人查看，甚至有时出于好奇都能看到密码。
• 主密码将允许用户进一步强化个人密码数据库，当客人使用自己的电脑时，能够防止客人窥视密码，主人也不必担心他们查看浏览器保存的密码。
• 许多 Windows 系统用户的密码设置的非常弱，所以系统密码将难以提供安全保护。许多人在离开电脑前还没有养成锁定系统的习惯。
• Chrome 浏览器提供了多个用户配置文件，鼓励同一系统用户上的多个浏览器用户共享浏览器配置文件，但却没有提供隔离配置文件的保护措施，也未提供防止查看其他浏览器用户密码的保护措施。
• 如果用户已经登录了某个网站，攻击者然后获得了访问权。但是，在不知道密码的情况下，攻击者无法修改你的密码或删除该帐户，例如，我们登录邮箱帐户后，如果要修改密码，服务器会要求你输入原密码。
• 一般用户可能认为保存的密码很难被查看。没人任何警告，告诉用户其他人可以查看自己保存的密码，或者说，用户应该设置一个足够强的 Windows 系统密码，一旦离开，就将其锁定。

到底哪一方是正确的呢？其实，如果用户遵循理想的安全程序， Chrome 将为存储的密码提供保护。只是，浏览器并没有向用户提供足够的信息。现实世界中，也许主密码能帮助很多人。

如何保护那些保存的密码

如果你担心那些保存的密码，这里有一些防窥技巧： 使 用专用密码管理器，如 LastPass 。这些密码管理器将分别管理每个浏览器，当你退出网站登录状态时，将通过主密码锁定保存的密码。 Chrome 浏览器的开发人员可能不会提供主密码功能，但你可以使用 LastPass 来代替 Chrome 的默认密码管理。非常安全的选择，用户还可以尝试另一个密码管理器 KeePass。 如 果你使用 Firefox 浏览器，启用主密码功能。该功能默认处于关闭状态，因为 Firefox 的开发人员并不喜欢这样的用户体验。不过，用户可以使用“主密码”锁定密码数据库。然后，用户可以放心与他人共享系统帐户，且无须担心他人窥视浏览器保存 的密码。当然，他们还可以趁你不注意，安装键盘记录，但很多人因为麻烦，不会这样做。这就是我们要锁门的原因 —— 锁并不完美，防君子不防小人。 如 果你使用 Chrome 或 Internet Explorer ，并希望继续使用内置的密码管理器，一定要养成良好的安全习惯。设置一个足够强的 Windows 系统用户密码，一旦离开计算机，请务必将其锁定。记住，如果你的电脑处于登录状态，其他人使用时，将很容易看到你的密码，特别是 Chrome 浏览器。 原文链接 中文编译ofgeek

标签:密码浏览器相关