Chrome密码自动填充真的安全吗？已保存密码的实际风险

这是Chrome密码黑客系列的第1部分。

Chrome浏览器的密码自动填充功能非常方便。
但越是方便的功能,越需要重视安全管理。

让我们来看看Chrome中保存的密码有多容易泄露。
这种黑客攻击不是远程攻击,而是身边的人对你进行的本地攻击(Local Attack)。

Chrome密码自动填充功能

Chrome浏览器会将用户输入的登录信息保存在内部存储中。
之后访问网站时,会自动填写预先保存的用户名和密码,
使登录过程变得简单,在多个网站之间切换时工作流程也非常流畅。

如今为了安全起见,每个网站都需要设置不同的密码。
这种方式虽然安全,但实际上用户很难记住所有密码。

因此很多用户都依赖自动填充功能,
而这个功能带来的便利也减轻了设置多样化密码的负担。

此外,由于与Google账号同步,
可以在PC、手机、笔记本电脑等多个设备上使用相同的登录信息。

正因为便利性如此之高,一旦开始使用,
就会觉得没有密码自动填充的互联网使用体验非常不便。

自动填充的安全性与风险

Chrome为了防止保存的密码直接暴露,
在查看密码原文时会要求输入Windows账户密码的保护机制。
表面上看起来很安全,但这个结构需要一个前提,那就是Windows账户密码不被其他人知道。

但实际上我们常常会共享PC登录信息。
在家庭中,家人之间共享账户密码的情况很常见,
在职场上,有时在紧急情况下也会告诉别人自己PC的密码。

在这样的环境中,账户密码泄露并不是什么难事。

令人惊讶的是,即使在像开着屏幕就离开座位这样
非常日常的工作场景中,Chrome中保存的密码也可能被泄露。

如果知道Windows账户的密码,密码会瞬间泄露,
即使不知道账户密码,也有办法泄露。很惊人吧?

归根结底,自动填充功能只是为了用户便利而存在,
并不能提供与专用密码管理工具相同水平的保护功能。

反复使用后很容易将这个功能误认为是安全的密码管理方式,
但在账户共享或可以物理接触的环境中,这些都可能直接导致安全漏洞。

Chrome保存密码的泄露方法

本文旨在说明Chrome密码自动填充为什么可能成为风险因素,
以及其结构性原因。
下一篇文章将逐步确认在实际环境中保存的密码如何被泄露。
实际上因为太容易泄露,你一定会大吃一惊。

你会惊讶于密码可能被泄露,更会惊讶于泄露是如此简单。

便利固然好,但不要过分相信。
便利性和安全性成反比。如果追求便利,就会出现安全问题。
了解了Chrome密码自动填充的脆弱性后,一定要查看最后一篇文章,了解如何更安全地管理密码。

有方法可以在保护信息安全的同时兼顾便利性。

系列文章列表: