【51CTO快譯】目前大多數(shù)主流瀏覽器都具備一定程度的密碼管理機制，但把密碼交給它們真能高枕無憂嗎？讓我們一起探個究竟。

　　讓網(wǎng)絡(luò)瀏覽器保存自己的密碼以及信用卡賬號信息當(dāng)然很方便，不過其中也潛伏著極大的安全風(fēng)險。風(fēng)險的嚴(yán)峻程度取決于我們所使用的瀏覽器的種類、我們是否將內(nèi)容同步至其它設(shè)備以及我們有沒有使用瀏覽器提供的額外安全功能。在本文中，我將帶大家一同看看目前人氣最高的數(shù)款主流瀏覽器--包括IE、谷歌Chrome以及Mozilla火狐--中的一系列安全漏洞，并探尋如何彌補這些薄弱環(huán)節(jié)。

　　常見安全風(fēng)險

　　把密碼保存在瀏覽器中的最大問題在于窺探私密信息的眼睛無處不在，除了其他能夠登錄我們電腦賬戶并查看密碼或者信用卡數(shù)據(jù)的用戶之外，還有很多惡意人士正潛藏在暗處、打算一舉盜走我們計算機、智能手機或者平板設(shè)備中的敏感信息。另外，如果我們在丟棄陳舊計算機是沒有及時清除磁盤中的內(nèi)容，同樣的風(fēng)險總會再度出現(xiàn)；無論是這些設(shè)備落在誰的手中，一旦信息被恢復(fù)原狀，我們的安全必將遭到威脅。與此同時，某些病毒及惡意軟件也會以無孔不入之勢占領(lǐng)我們的設(shè)備，并將密碼或者信用卡信息劫持而去。

　　相信大家一定注意到了，很多銀行網(wǎng)站及其它一些處理高度敏感信息的站點都會建議我們千萬不要把密碼保存在瀏覽器當(dāng)中。然而這還遠遠不夠，如果我們?yōu)榱耸∈露诟鱾€賬戶中使用相同或者相似的密碼，那么其它非關(guān)鍵性賬戶在高危網(wǎng)站上的登錄同樣會威脅到數(shù)據(jù)甚至是經(jīng)濟安全。舉例來說，如果我們的社交平臺賬號與銀行密碼一致，那么一旦前者被盜，相信信用卡中的款項也會很快被轉(zhuǎn)走。

　　某些瀏覽器允許用戶（當(dāng)然也包括潛在的罪犯）查看我們在其中保存的登錄信息列表，包括目標(biāo)網(wǎng)站、用戶名及密碼等。即使大家使用的瀏覽器不支持這項功能，類似WebBroswerPassView這樣的工具也能輕松根據(jù)cookie數(shù)據(jù)匯總出這樣一份列表。當(dāng)然，如果我們意外忘記了密碼或者打算對所有賬戶密碼進行系統(tǒng)整理，那么這類功能還是很有意義的。不過一旦入侵者在我們的計算機上使用這些軟件，大麻煩就真的要來了。另外，我們（以及罪犯）可以利用BulletsPassView這類工具將瀏覽器登錄界面或窗口中原本以"星號"或者"圓點"顯示的隱藏密碼字符內(nèi)容顯示出來，希望大家同樣保持高度警惕。

　　在接下來的章節(jié)中，我們一起來看看目前裝機量最大的三種主流瀏覽器--IE 9、Chrome以及火狐--并在評估其信息保存功能之余，討論如何改善數(shù)據(jù)的安全性。

　　IE 9

　　在我們所提到的三款主流瀏覽器當(dāng)中，IE 9所提供的只是最基本的密碼保存功能。它能夠自動保存我們的用戶名、網(wǎng)址以及其它我們在網(wǎng)頁或者搜索欄中輸入過的內(nèi)容。瀏覽器本身并不允許用戶查看所有已經(jīng)保存下來的密碼，我們只有變更主設(shè)置及刪除自動完成歷史記錄的權(quán)限。

　　由于IE 9禁止用戶隨意查看保存在其中的密碼列表，所以能夠在一定程度上防止惡意人士的窺探。即便如此，我們?nèi)匀荒軌蛟诓槐卦俅屋斎朊艽a的情況下登錄各類賬戶，惟一的區(qū)別在于登錄過程不會顯示密碼內(nèi)容。然而正如前面提到的，惡意人士完全可以利用某些工具來強迫瀏覽器顯示密碼列表或者將保護機制下的隱藏密碼還原成可讀字符。

　　遺憾的是，IE 9并沒有提供本地數(shù)據(jù)同步功能，也就是說我們無法將瀏覽器設(shè)置及保存的數(shù)據(jù)同步到多臺計算機或移動設(shè)備當(dāng)中。但話說回來，雖然在便利性方面有所缺失，但這種局限倒不失為降低安全風(fēng)險的好辦法。

　　將與Windows 8攜手登場的IE 10則帶來了全新的密碼保存及同步功能，不過新瀏覽器上的改動能否正確作用于Windows 7目前還不得而知。在對IE 10及Windows 8的發(fā)行預(yù)覽版進行測試時，我發(fā)現(xiàn)用戶可以利用控制面板中進化版的證書管理器功能顯示并管理瀏覽器中保存的密碼。而在安全性方面，我發(fā)現(xiàn)要想查看瀏覽器中密碼的內(nèi)容，用戶必須重新輸入Windows系統(tǒng)賬戶的密碼，這能夠有效防止惡意人士利用木馬窺探隱私信息。

　　Windows 8同時還提供一項新的同步功能，允許我們將應(yīng)用程序、網(wǎng)站以及網(wǎng)絡(luò)端的密碼同步至其它環(huán)境--Windows設(shè)定及偏好設(shè)置信息除外--例如其它Windows 8計算機或者平板設(shè)備。出于安全考慮，在將密碼同步到其它計算機或平板設(shè)備之前，我們必須先登錄到微軟網(wǎng)站并通過新設(shè)備審核。如果之前已經(jīng)為微軟賬戶綁定了手機號碼，我們會收到一條確認(rèn)代碼，正確輸入手機上的短信代碼才能完成權(quán)限核準(zhǔn)、進而完成密碼同步工作。

　　谷歌Chrome 21

　　與IE相比，谷歌Chrome瀏覽器擁有的密碼保存功能則顯得豐富許多，不過輸入內(nèi)容自動記錄功能還是會令信用卡賬戶等信息面臨威脅。沒錯，這樣能夠極大節(jié)約處理時間、提高執(zhí)行效率，但也把個人資金推向了風(fēng)險之中。

　　Chrome瀏覽器允許我們--或者惡意人士--查閱已經(jīng)保存下來的用戶名及密碼（按字母順序排列網(wǎng)站名稱），同時可以通過在搜索欄中輸入站點名稱快速篩選目標(biāo)站點。

　　為了保護隱私，Chrome瀏覽器通過星號將密碼內(nèi)容隱藏起來，但我們可以單擊對應(yīng)條目并選擇"顯示"按鈕來查看其實際字符。我們當(dāng)然會定期變更這些密碼，不過遺憾的是Chrome無法檢測到密碼變動，因此我們在訪問對應(yīng)網(wǎng)站時瀏覽器仍然會嘗試用錯誤的舊密碼登錄。要解決這一問題，我們必須點擊密碼保存選項并手動進行更新。

　　用戶可以查看所有保存下來的網(wǎng)址及信用卡信息，包括卡上的姓名、賬戶號碼以及有效日期等。Chrome會把部分信用卡號碼以星號加以遮蔽，但我們?nèi)匀荒軌蛲ㄟ^單擊該條目并選擇"編輯"項來獲得完整的號碼內(nèi)容。信用卡中惟一不會保存的信息是安全代碼，這也算是最后一道屏障，畢竟很多網(wǎng)上交易（并不是所有）需要輸入該代碼。

　　再來說說缺點，Chrome瀏覽器沒有提供像火狐那樣的主密碼功能，這樣我們就無法利用主密碼嚴(yán)密控制保存中的密碼及信用卡信息。因此，任何能夠登錄我們Windows賬戶的家伙都可以輕松查看上述全部敏感數(shù)據(jù)。

　　Chrome瀏覽器提供了一項同步功能，用于在多臺計算機及設(shè)備上保存用戶的大部分設(shè)置及保存數(shù)據(jù)（包括密碼，但不會記錄信用卡信息），然而這又帶來了另一項安全漏洞。在默認(rèn)情況下，我們只要登錄谷歌賬戶，就能在其它計算機或移動設(shè)備上完成Chrome瀏覽器中的數(shù)據(jù)同步工作。這當(dāng)然非常方便，不過萬一我們的谷歌賬戶密碼被惡意人士搞到手，這幫入侵者很可能會訪問列表中保存的所有密碼。要解決這個問題，我們必須額外設(shè)定同步口令，這正是接下來要討論的重點話題。

　　Chrome瀏覽器中的同步設(shè)定

　　為了在同步過程中保證密碼信息不受窺探，Chrome瀏覽器會對所有從谷歌服務(wù)器傳輸至計算機或其它設(shè)備（反之亦然）的數(shù)據(jù)進行加密。我們還可以通過變更瀏覽器設(shè)置來加密所有可能會被同步的數(shù)據(jù)。

　　在默認(rèn)情況下，Chrome會通過我們的谷歌賬戶密碼對同步數(shù)據(jù)進行加密及解密，不過大家如果覺得這還不夠保險，也可以再輸入另一套密碼以策萬全。在建立Chrome向新計算機或其它設(shè)備的數(shù)據(jù)同步任務(wù)之后，我們還需要登錄自己的谷歌賬戶并額外設(shè)置加密密碼。

　　火狐 14

　　在今天的比拼中，火狐無疑笑得最燦爛，其密碼保存功能既使在當(dāng)前人氣最盛的Chrome面前依然堪稱獨步。而且雖然火狐不支持將信用卡信息保存至本地，但這也在無形中減少了安全問題發(fā)生的機率。與Chrome瀏覽器一樣，我們可以通過設(shè)置在火狐中查看、搜索并刪除已經(jīng)保存的密碼。

　　Firefox中保存的密碼

　　盡管我們無法在瀏覽器設(shè)置中變更密碼，但火狐會自動檢測到目標(biāo)網(wǎng)站端密碼與本地計算機中所保存密碼的差異，并在我們嘗試登錄該網(wǎng)站時詢問是否需要更改口令。

　　與Chrome不同，火狐瀏覽器會要求用戶設(shè)定一條主密碼，并借以加密并保護保存在本地的密碼列表。

　　火狐允許用戶設(shè)定一條"主密碼"，借以進一步提高安全性

　　在每一次瀏覽器會話中，我們都需要在首次使用本地保存密碼時輸入一遍主密碼。此外，既使我們已經(jīng)正確輸入過主密碼，也可以在火狐瀏覽器選項中進行設(shè)置，確保之后每一次與本地保存密碼有關(guān)的操作都會強制要求用戶再輸入一遍。這是一項堪稱偉大的功能，能夠有效幫助用戶避免惡意人士對密碼的窺探，甚至能夠逃過第三方工具的步步緊逼。

　　火狐瀏覽器同樣能夠?qū)⑽覀兊拿艽a、設(shè)置以及其它已保存數(shù)據(jù)同步到多臺計算機及其它設(shè)備當(dāng)中。

　　這與Chrome瀏覽器的功能相似，但火狐在默認(rèn)狀態(tài)下就會加密全部而不僅是密碼類同步數(shù)據(jù)。除此之外，通過火狐同步賬戶也能讓信息在向計算機或其它設(shè)備的傳輸過程中更加安全。大家既可以在新設(shè)備上輸入已經(jīng)設(shè)定好的密碼，也可以從某臺舊設(shè)備中提取恢復(fù)密碼并在登錄火狐同步賬戶之后將其輸入新設(shè)備當(dāng)中。

　　總結(jié)

　　IE 9的特性有助于防止惡意人士的恣意侵襲--設(shè)置中根本就沒有已保存密碼列表這項--但它同時也沒能提供任何足夠先進的安全功能。在這種情況下，攻擊者完全有機會利用我們的Windows賬戶及第三方工具來獲得密碼。

　　谷歌Chrome 21允許任何通過登錄Windows賬戶的人查看我們的已保存密碼列表及信用卡信息，因此各位一定要小心再小心。如果我們不得不在多臺計算機及其它設(shè)備上同步瀏覽數(shù)據(jù)，請務(wù)必對這些信息進行嚴(yán)格加密，并通過設(shè)置自定義密碼進行雙重防護。

　　火狐14在默認(rèn)狀態(tài)下允許任何能夠登錄Windows賬戶的人查看我們的已保存密碼列表，但用戶可以通過創(chuàng)建主密碼來加密并保護這些敏感信息。另外，如果大家需要使用瀏覽器中的數(shù)據(jù)同步功能，那么火狐無疑是安全性最理想的選擇。

　　在本文所評測的三款主流瀏覽器當(dāng)中，我個人選擇密碼安全性最好的火狐，它的主密碼控制機制值得稱道。不過我也渴望在Windows 7和Windows 8系統(tǒng)上看到IE 10的最終版本，希望屆時一切能變得更加嚴(yán)謹(jǐn)。

　　在文章的最后，我準(zhǔn)備了一些額外的小提示，希望能夠幫助各位提高自己的密碼安全性：

• 　　絕不要在其他人的電腦上保存密碼或同步瀏覽器數(shù)據(jù)。
• 　　嘗試在每個網(wǎng)站上使用不同的密碼內(nèi)容--至少網(wǎng)銀及其它涉及敏感信息的賬戶得做到這一點。
• 　　使用密碼保護自己的Windows賬戶。
• 　　為每位用戶創(chuàng)建獨立的Windows賬戶--如果不能，至少要給那些你不信任的家伙設(shè)定限制。
• 　　如果家人或朋友要使用我們的電腦，讓他們通過來賓賬戶登錄。
• 　　選擇一款優(yōu)秀的殺毒軟件并保持及時更新。
•  一定要對自己的筆記本電腦、上網(wǎng)本以及移動設(shè)備進行全方位加密。
• 　　在日常工作中引入第三方密碼管理服務(wù)，例如LastPass或者KeePass等。

　　原文鏈接：
http://www.pcworld.com/article/261259/can_you_trust_your_browser_with_your_passwords.html#tk.hp_fv