今天給大家?guī)磉@個專題的第三篇慨畸,你們的支持就是我們寫下去的動力!
03
秘跡同學(xué)還是想來聊一聊關(guān)于密碼的話題桃熄,
關(guān)于密碼的保存先口,相信比較普遍的一種做法是:直接用瀏覽器存儲密碼。那我們就以Chrome為例瞳收,來看看這樣做有什么不妥。
不可否認(rèn)厢汹,這是一個相當(dāng)便捷簡單的做法螟深。而且Chrome瀏覽器也是大家信賴和喜愛的產(chǎn)品。那為什么我們非要說用瀏覽器存密碼不是一個好的方案呢烫葬?
有以下幾個原因:
1.瀏覽器并沒有安全的保存密碼界弧。
除火狐瀏覽器外,一般瀏覽器并沒有為保存的密碼設(shè)置單獨的密碼搭综,而是使用操作系統(tǒng)的加密垢箕。這意味著你電腦上的其他軟件也具備獲取你瀏覽器保存密碼的能力,無需你輸入密碼兑巾。
從Chrome瀏覽器中導(dǎo)出密碼需要輸入你的window密碼条获,但這并沒有什么效果。
使用第三方軟件蒋歌,一步就能導(dǎo)出密碼帅掘,嗖的一下就把密碼顯示出來了,想截個gif都沒法截堂油。
2修档、它還會上傳你的密碼。
如果這些密碼只是在本地保存府框,那還安全一點吱窝,但很多瀏覽器為了方便我們在不同電腦上登錄,都設(shè)計了同步密碼的功能迫靖,你在這臺電腦上保存的密碼會上傳到服務(wù)器院峡,再發(fā)送給你其他電腦上的瀏覽器。Chrome69版本甚至設(shè)計了只要你登錄過谷歌項目袜香,就默認(rèn)用你的谷歌賬號登錄你的瀏覽器撕予,同步你的密碼列表。只要你的瀏覽器密碼泄露了蜈首,瀏覽器保存的所有密碼都會泄露实抡。
3.它不利于保護(hù)密碼安全欠母。
從專業(yè)角度,保護(hù)密碼安全不但要安全保存吆寨,還需要生成強密碼赏淌、避免重復(fù)密碼、更換已泄露的等功能啄清,但瀏覽器保存密碼卻讓用戶忘記了這些密碼安全策略六水,降低了我們的安全性。
上圖為生成強密碼的功能
4辣卒、填充的密碼會被惡意插件獲取掷贾。
如果我們使用密碼管理器的瀏覽器插件,每次登錄就會看到插件保存密碼的提示荣茫,其實這時插件已經(jīng)讀取了你的密碼想帅,只是在詢問你是否保存。
上圖為插件詢問你是否保存登錄信息
同樣啡莉,如果瀏覽器上安裝了惡意插件港准,惡意插件也可以通過js讀取瀏覽器自動填充的密碼。更糟糕的是咧欣,因為某些原因浅缸,國內(nèi)的小伙伴只能通過第三方平臺安裝瀏覽器插件,無法確保這些插件是出自官方而未經(jīng)修改過的魄咕。
綜上衩椒,瀏覽器存儲的密碼,并不安全蚕礼。
-END-
