开局我们先来回答一个小问题,你注册了多少的账号密码?设置了多少不同的密码?又有多少密码是相同的?讲道理,这很难回答。不知道你们平常会不会把一些账号密码让浏览器自动保存,下次直接点击就可以登入了,非常方便。但是这也会造成很大的安全问题。
接下来进行测试:
测试一:
浏览器本机保留密码功能是非常不安全的,不推荐大家使用,不过如果你想找回密码用这种方式倒是不错。
- 首先,在需要登录的页面上选择浏览器自动保留用户名和密码,并提交登录。
- 接着,退出重新登录,Chrome浏览器审查元素,定位密码位置。
- 最后,将输入框input元素的type属性,从“password”修改为“text”,显示结果如下所示。
所以,大家在登陆网站时尽量不要选择保存用户名和密码,该行为带来了极大的密码泄露风向,而且很难规避,尤其是重要的密码或超级管理员账户。除非增加手机验证码、异常登录提醒、QQ验证等。
个人建议:
- 电脑不用轻易借给他人使用,除非身边非常信任的人
- 非私人电脑一定不能让浏览器保存密码
- 设定一些易于记住的密码,浏览器里登录时重要账户选择不要保存密码,每次登录手动输入
- 离开电脑务必记得随时锁屏或者关机,登录系统一定要设定密码
- 整合到Chrome第三方工具如LastPass,使用主密码来管理那些密码
测试二:
我们来看下Chrome是如何存储账号密码的呢,它是否安全呢。
首先,打开密码管理器,输入 设置->密码
或者输入 chrome://settings/passwords。
可以看懂存储的网址对应的账号密码(加密)
所幸,Chrome浏览器对显示的密码进行了一道验证,需要输入正确的电脑账户密码才能查看,如下图所示。
为了执行加密(在Windows操作系统上),Chrome使用了Windows提供的API,该API只允许用于加密密码的Windows用户账户去解密已加密的数据。所以基本上来说,你的主密码就是你的Windows账户密码。所以,只要你登录了用自己的账号Windows,Chrome就可以解密加密数据。
可以看到只需要输入,windows的密码即可,解密出数据。
穿插一个windows的小问题:
- 用管理员权限打开 cmd终端
- 输入 net user [用户名] [新密码]
可以看到并没有验证密码就进行了密码的修改,结合上面的问题,和有些人在公司,学校短暂离开不随手关闭电脑的习惯
很容易造成我们的账号密码的泄露。
个人建议:
- 使用一个极高强度的Windows账号密码。必须记住,有不少工具可以解密Windows账号密码。如果有人获取了你的Windows账号密码,那他也就可以知道你在Chrome已保存的密码。
- 远离各种各样的恶意软件。如果工具可以轻易获取你已保存的密码,那恶意软件和那些伪安全软件同样可以做到。如果非得下载软件,请到软件官方网站去下载。
- 把密码保存至密码管理软件中(如KeePass),或使用可以整合到Chrome中的第三方工具(如LastPass),使用主密码来管理你的那些密码。
- 用工具(如TrueCrypt)完全加密整个硬盘,并且非私人电脑一定不能让浏览器保存密码。
- 若电脑离开你的视线一定要将电脑锁上 可以使用 win+ L 组合键。
测试三:
继续修改input密码的属性,看看能不能显示密码。如下图所示:
看来这还是安全的,显示空白。
四:如果我们的电脑中病毒后,也可以将我们浏览器保存的账号密码导出,这里就不再进行测试。
ok,就讲解到这里,想要更深入的了解可以看下这篇文章:
https://blog.csdn.net/Eastmount/article/details/98340074
点个赞 吧!