Chrome保存密码的泄露方法 - 知道PC账户密码的情况
这是Chrome密码黑客系列的第2部分。
Chrome浏览器的密码自动填充功能非常方便,
但却可能非常容易被泄露。
如果知道PC账户的密码,就等于共享了全部Chrome密码。
这种黑客攻击不是远程攻击,而是身边的人对你进行的本地攻击(Local Attack)。
Chrome密码自动填充的漏洞
Chrome浏览器的密码自动填充功能大大减少了登录的不便。
但如果仔细观察这个功能的运作结构,就会发现它存在相当大的安全漏洞。
本文将说明在知道PC账户密码的情况下,
Chrome中保存的密码有多容易查看,
又能多快地泄露到外部。
为了理解Chrome自动填充功能有多危险,
首先让我们从基本的操作方法开始逐步了解。
PC账户密码的重要性
Chrome为了保护保存的密码,在显示密码明文时会要求再次输入Windows账户密码。
表面上看像是有额外的认证程序,但实际上这个结构完全依赖于PC账户密码。
也就是说,如果知道PC账户密码,
不需要任何黑客工具或技术,就能以明文查看Chrome中保存的所有密码。
如果在家庭中家人之间共享账户密码,
或者在职场上有时会告诉其他员工自己PC的密码,
那么就必须认为Chrome中保存的所有密码都可能泄露。
方法1:查看单个密码
这是以明文查看Chrome中保存的密码的方法。
非常简单,任何人都可以做到。
- 在Chrome中点击右上角的三个点(更多图标)。
- 菜单打开后,点击**
设置**。 - 在设置中查看左侧菜单,会有
自动填充和密码或自动填充项目。
Chrome版本不同名称可能略有不同,选择该项目即可。 - 点击**
Google密码管理器或密码**菜单。
会显示到目前为止在Chrome中保存的所有网站列表。 - 在列表中找到要查看的网站。
会同时显示域名地址和用户名。 - 点击该项目会打开详细信息界面。
这里会显示网站地址、用户名、密码等项目。 - 点击密码右侧的眼睛图标。
此时密码还是被星号遮挡的状态。 - Windows会弹出要求输入PC账户密码的窗口。
然后输入PC的账户密码。 - 完成密码输入后,
刚才还显示为星号的密码就会以明文显示。
方法2:一次性提取所有密码
Chrome提供将保存的所有密码导出为CSV文件的功能。
利用这个功能,几十、几百个密码只需几秒钟就能泄露出去。
而且如果将这个文件复制到U盘或通过网络传输,
悄悄复制后可以在其他地方慢慢查看全部密码。
因此,如果有人知道PC账户密码,密码随时都可能泄露。
现在让我们来看看如何泄露全部密码。
- 按如下方式进入Chrome设置的密码管理界面:
设置→自动填充和密码→Google密码管理器 - 在密码列表界面,
点击右上角的齿轮图标(设置图标)。 - 在设置菜单中,
选择导出密码或Export passwords项目。 - 可能会显示一次警告消息。
这只是提示导出功能涉及敏感信息。
选择继续。 - Windows会再次
弹出要求输入PC账户密码的窗口。
输入PC的账户密码。 - 完成输入后,
会下载类似passwords.csv这样的CSV文件。
在这个CSV文件中,每个网站的地址、用户名、密码都以明文保存。
用Excel或记事本打开,所有账户信息都会清晰地显示出来。
只需将这个文件复制到U盘或通过邮件发送,
就能将PC中保存的全部密码带到外部。
Chrome便利功能的局限性
查看Chrome密码的过程不需要任何专业黑客工具。
只使用Chrome提供的基本功能,普通用户探索设置的操作水平,
就能以明文查看所有保存的密码。
因为这也是Chrome的基本功能而且看起来太简单,可能有人会问这算黑客吗。
但实际上黑客或信息泄露本来就是从最亲近的人那里发生的。
总之,如果有人知道PC账户密码,Chrome中保存的全部账户信息就能一次性泄露到外部,
从实际损害的角度来看,这与典型的账户窃取没有什么不同。
在共享账户密码的家庭环境或物理接触容易的办公室环境中,
可以认为Chrome的密码保存功能实际上起不到保护作用。
这是为了登录便利而制作的功能,非常有用,
但我们必须清楚地认识到,从安全角度来看它无法提供充分的保护。
下一篇文章将更进一步,告诉您即使在不知道PC账户密码的情况下,
当满足特定条件时密码如何被泄露。
系列文章列表: