谷歌浏览器自带了一个密码管理器功能,这个功能应该大家或多或少都应该有听说过或者使用过这个功能。
这个功能主要的内容就是,当用户在网页上输入了用户名,密码登陆或者修改密码表单提交时会触发自动保存密码这个功能。如果用户所使用的电脑不是公共电脑,就可以保存此密码。
在登陆页面表单中,谷歌浏览器会拉出自动表单,可以对页面自动填充,方便快速登陆。
可是,在有些情况下,并不想触发这个功能。主要有这两种:
1. 网站开发者不希望页面触发自动密码保存功能,可能的原因是认为自动保存密码不安全,网站提供了短信验证码等更安全的登陆方式。
2. 用户不想触发密码自动填充功能,因为有些页面被填充的实际上并不是用户名密码的表单。
目前的现状:
谷歌浏览器的开发者认为,密码管理器功能能够更方便的让用户在不同网站设置不同的密码,让浏览器来完成记住这个功能,而不需要用户主动记住这些密码,而用户的电脑一般是安全的。
网站开发者可能倾向于的观点:万一用户电脑中了病毒或者在电脑上打开了不明软件,软件是可以直接读取谷歌浏览器的密码的,所以不安全,希望禁用掉自动表单填充功能。
可能的安全隐患:
如果不让浏览器来记住密码,那么用户就需要自己来记住或者管理不同网站的密码,那么在设置密码的时候便会倾向于设置成相同或者相近的密码。在这种情况下,一旦一个网站的密码泄漏,或者这个网站的一个有恶意的维护人员获得了你的密码,就可以用同样的账号密码去试不同网站,那么你的账号信息就会泄漏。如果让浏览器记住密码,那么用户在不同网站设置的密码就可以完全不一样,甚至谷歌浏览器直接提供了右击-生成随机密码,这种选项,让密码管理器来管理密码。这种情况下,即使用户在一个网站上的密码泄漏了,在其它网站上的账户也能保证安全。
如果让浏览器来记住密码,可能的潜在风险是这样的。很大一部分用户不会对谷歌浏览器的密码管理器设置专有的密码,在这种情况下,一些软件运行之后,无需任何额外权限,就可以直接读取谷歌浏览器的密码。(想了解如何读取密码的,可以看这篇文章:渗透技巧-导出Chrome浏览器中保存的密码),那么所有浏览器管理的密码就会泄漏,给用户造成的影响可能比不记住密码大的多。
如何权衡:
如果你需要登陆的网站很多,你个人又比较注重安全这方面只是,能保证个人电脑安全的,推荐使用密码管理器保存一些相对不常用网站的密码,如果不放心,可以对密码管理器设置一个专有密码进行加密,来保证密码管理器本身的安全。
如果你需要登陆的网站不多,你个人相对不注重个人电脑安全的,或者个人电脑常常需要运行不明来源软件的,又或者会有无法确定是否安全的用户使用你的电脑的,推荐不要使用密码管理器来保存密码。
讲了这么多,好像都在普及谷歌浏览器的密码管理器这个功能。
暂无评论内容