前不久，有網(wǎng)友在Hacker News提交了一個關(guān)于可以在Chrome瀏覽器“密碼管理器”查看已保存密碼的帖子，可能那位提交的網(wǎng)友之前不了解Chrome的這個特性及其背后的機(jī)制，導(dǎo)致這個貼子在Hacker News首頁停留的時間還不短。之后國內(nèi)網(wǎng)友在微博上發(fā)布相關(guān)消息后，同樣引起不少討論（@ruanyf、@程序員的那些事）。很多之前不了解Chrome保存密碼機(jī)制的朋友驚呼 Chrome 坑爹。伯樂在線編譯了 howtogeek 網(wǎng)站上的一篇文章，應(yīng)當(dāng)可以解除這些朋友的疑問。

關(guān)于 Google Chrome 瀏覽器也有一個常見問題，“為什么它沒有一個主密碼(master password)?” Google 支持論壇中有個非官方的回復(fù)，說了Google的立場：主密碼提供了一種虛假的安全感，保護(hù)敏感數(shù)據(jù)的最可行保護(hù)方式是要取決于系統(tǒng)的整體安全性。

那用戶在Chrome瀏覽器上保存的密碼的安全性有多高呢？請見下文。

如何查看已保存的密碼

Chrome 密碼管理器的進(jìn)入方式：右側(cè)扳手圖標(biāo)→設(shè)置→顯示高級設(shè)置→密碼和表單→管理已保存的密碼?；蛘咧苯釉诘刂窓谥袕?fù)制粘貼：chrome://chrome/settings/passwords，然后回車進(jìn)入。

如果你允許Chrome保存密碼，看到這個界面應(yīng)該沒什么稀奇，或許你早已知道這個特性了。從昨晚微博轉(zhuǎn)發(fā)來看，很多用戶還是并不知道這個特性。

點(diǎn)擊密碼區(qū)域，顯示一個“顯示”按鈕，再點(diǎn)擊“顯示”按鈕，可看到密碼。如果其他人可以無阻礙使用你的電腦，那他就可以拿到你的這些已保存的密碼。

(本文配圖中的用戶名和密碼為測試所用)

密碼數(shù)據(jù)保存在哪里了?

已保存的密碼數(shù)據(jù)存儲在一個 SQLite 數(shù)據(jù)庫中，位置是：

[系統(tǒng)盤]:\Documents and Settings\[用戶名]\Local Settings\Application Data\Google\Chrome\User Data\Default\Login Data (這個路徑是 Win XP 系統(tǒng))

你可以用 SQLite Database Browser 打開這個文件(文件名就是“Login Data”)，查看“logins”表格，該表就包含了被保存的密碼。但你會看到“password_value” 域的值是不可讀，因?yàn)橹狄鸭用堋?PS：SQLite數(shù)據(jù)庫查看器的SourceForge下載鏈接)

加密后的數(shù)據(jù)的安全性如何?

為了執(zhí)行加密(在Windows操作系統(tǒng)上)，Chrome使用了Windows提供的API，該API只允許用于加密密碼的Windows用戶賬戶去解密已加密的數(shù)據(jù)。所以基本上來說，你的主密碼就是你的Windows賬戶密碼。所以，只要你登錄了用自己的賬號Windows，Chrome就可以解密加密數(shù)據(jù)。

不過，因?yàn)槟愕腤indows賬戶密碼是一個常量，并不是只有Chrome才能讀取“主密碼”，其他外部工具也能獲取加密數(shù)據(jù)，同樣也可以解密加密數(shù)據(jù)。比如使用NirSoft的免費(fèi)工具ChromePass(NirSoft官方下載)，就可以看得你已保存的密碼數(shù)據(jù)，并可以輕松導(dǎo)出為文本文件。

既然 ChromePass 可以讀取加密的密碼數(shù)據(jù)，那惡意軟件也能讀取的。當(dāng)ChromePass.exe被上傳至VirusTotal時，超過半數(shù)的反病毒(AV)引擎會標(biāo)記這一行為是危險級別。不過在這個例子中，這個工具是安全的。不過有點(diǎn)囧，微軟的Security Essentials并沒有把這一行為標(biāo)記為危險。

可以繞過保護(hù)機(jī)制么?

假設(shè)你的電腦被盜，小偷重設(shè)了Windows賬號密碼。如果他們隨后嘗試在Chrome中查看你的密碼，或用ChromePass來查看，密碼數(shù)據(jù)都是不可用。原因很簡單，因?yàn)?ldquo;主密碼”并不匹配，所以解密失敗。

此外，如果有人把那個SQLite數(shù)據(jù)庫文件復(fù)制走了，并嘗試在另外一臺電腦上打開，ChromePass也將顯示空密碼，原因同上。

結(jié)論

Chrome瀏覽器中已保存密碼的安全性，完全取決于用戶本身。這里有些建議：

●使用一個極高強(qiáng)度的Windows賬號密碼。必須記住，有不少工具可以解密Windows賬號密碼。如果有人獲取了你的Windows賬號密碼，那他也就可以知道你在Chrome已保存的密碼。

●讓你自己遠(yuǎn)離各種各樣的惡意軟件吧。如果工具可以輕易獲取你已保存的密碼，那惡意軟件和那些偽安全軟件同樣可以做到。如果非得下載軟件，請到軟件官方網(wǎng)站去下載。

●把密碼保存至密碼管理軟件中(比如：KeePass)。當(dāng)然了，如此一來，瀏覽器就不能幫你自動填充密碼了。

●使用可以整合到Chrome中的第三方工具(比如：LastPass)，使用主密碼來管理你的那些密碼。

●用工具(比如：TrueCrypt)完全加密整個硬盤。

●非私人電腦上，一定不能讓瀏覽器保存密碼。(原文沒有，額外補(bǔ)充)

如果經(jīng)常用瀏覽器保存登錄用戶名和密碼，離開電腦時最好鎖定屏幕?？傊痪湓?，把家里(操作系統(tǒng))的安全工作做好，家中物件的安全性也應(yīng)當(dāng)有保障了。

補(bǔ)充信息：如果允許 Firefox 瀏覽器保存站點(diǎn)密碼，同樣可以很方便查看。

Firefox 瀏覽器雖然采用了主密碼機(jī)制，但默認(rèn)并不開啟。如果用戶啟用，以后Firefox每次讀取已保存的敏感數(shù)據(jù)時，用戶必須輸入主密碼。。用戶必須記住自己設(shè)定的主密碼，否則……

英文原文：howtogeek，編譯：伯樂在線——黃利民