在Chrome浏览器中保存的密码有多安全？-阿里云开发者社区

在Chrome浏览器中保存的密码有多安全？

2018-04-14 2074

版权

本文内容由阿里云实名注册用户自发贡献，版权归原作者所有，阿里云开发者社区不拥有其著作权，亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容，填写侵权投诉表单进行举报，一经查实，本社区将立刻删除涉嫌侵权内容。

简介：

本文由伯乐在线 - 黄利民翻译。未经许可，禁止转载！
英文出处：howtogeek。欢迎加入翻译组。

【2013-08-09 更新】：最近又开始讨论“Chrome浏览器明文保存密码这个话题了，国外一位软件工程师 Elliott Kember 在他博客上写文提了这个问题，他认为这是一个安全漏洞。随后，Chrome 浏览器安全技术主管 Justin Schuh 在 HackerNews 发帖做了解释，他的意见和下文提到的『主密码提供了一种虚假的安全感，保护敏感数据的最可行保护方式是要取决于系统的整体安全性』相同。

导读：2012年12月3日晚上，有网友在Hacker News提交了一个关于可以在Chrome浏览器“密码管理器”查看已保存密码的帖子，可能那位提交的网友之前不了解Chrome的这个特性及其背后的机制，导致这个贴子在Hacker News首页停留的时间还不短。之后国内网友在微博上发布相关消息后，同样引起不少讨论（链接1、链接2、链接3）。很多之前不了解Chrome保存密码机制的朋友惊呼 Chrome 坑爹。伯乐在线编译了 howtogeek 网站上的一篇文章，应当可以解除这些朋友的疑问。

关于 Google Chrome 浏览器也有一个常见问题，“为什么它没有一个主密码（master password）？” Google 支持论坛中有个非官方的回复，说了Google的立场：主密码提供了一种虚假的安全感，保护敏感数据的最可行保护方式是要取决于系统的整体安全性。

那用户在Chrome浏览器上保存的密码的安全性有多高呢？请见下文。

如何查看已保存的密码

Chrome 密码管理器的进入方式：右侧扳手图标→设置→显示高级设置→密码和表单→管理已保存的密码。或者直接在地址栏中复制粘贴：chrome://chrome/settings/passwords，然后回车进入。

如果你允许Chrome保存密码，看到这个界面应该没什么稀奇，或许你早已知道这个特性了。从昨晚微博转发来看，很多用户还是并不知道这个特性。

点击密码区域，显示一个“显示”按钮，再点击“显示”按钮，可看到密码。如果其他人可以无阻碍使用你的电脑，那他就可以拿到你的这些已保存的密码。

（本文配图中的用户名和密码为测试所用）

密码数据保存在哪里了？

已保存的密码数据存储在一个 SQLite 数据库中，位置是：

[系统盘]:\Documents and Settings$$!用户名]\Local Settings\Application Data\Google\Chrome\User Data\Default\Login Data （这个路径是 Win XP 系统）

你可以用 SQLite Database Browser 打开这个文件（文件名就是“Login Data”），查看“logins”表格，该表就包含了被保存的密码。但你会看到“password_value” 域的值是不可读，因为值已加密。（PS：SQLite数据库查看器的SourceForge下载链接）

加密后的数据的安全性如何？

为了执行加密（在Windows操作系统上），Chrome使用了Windows提供的API，该API只允许用于加密密码的Windows用户账户去解密已加密的数据。所以基本上来说，你的主密码就是你的Windows账户密码。所以，只要你登录了用自己的账号Windows，Chrome就可以解密加密数据。

不过，因为你的Windows账户密码是一个常量，并不是只有Chrome才能读取“主密码”，其他外部工具也能获取加密数据，同样也可以解密加密数据。比如使用NirSoft的免费工具ChromePass（NirSoft官方下载），就可以看得你已保存的密码数据，并可以轻松导出为文本文件。

既然 ChromePass 可以读取加密的密码数据，那恶意软件也能读取的。当ChromePass.exe被上传至VirusTotal时，超过半数的反病毒（AV）引擎会标记这一行为是危险级别。不过在这个例子中，这个工具是安全的。不过有点囧，微软的Security Essentials并没有把这一行为标记为危险。