淺析Chrome瀏覽器中保存密碼那些事兒

作者：黃利民 2012-12-06 14:34:16

前不久，有網友在Hacker News提交了一個關于可以在Chrome瀏覽器“密碼管理器”查看已保存密碼的帖子，可能那位提交的網友之前不了解Chrome的這個特性及其背后的機制，導致這個貼子在Hacker News首頁停留的時間還不短。那用戶在Chrome瀏覽器上保存的密碼的安全性有多高呢？請見下文。

前不久，有網友在Hacker News提交了一個關于可以在Chrome瀏覽器“密碼管理器”查看已保存密碼的帖子，可能那位提交的網友之前不了解Chrome的這個特性及其背后的機制，導致這個貼子在Hacker News首頁停留的時間還不短。之后國內網友在微博上發布相關消息后，同樣引起不少討論（@ruanyf、@程序員的那些事）。很多之前不了解Chrome保存密碼機制的朋友驚呼 Chrome 坑爹。伯樂在線編譯了 howtogeek 網站上的一篇文章，應當可以解除這些朋友的疑問。

關于 Google Chrome 瀏覽器也有一個常見問題，“為什么它沒有一個主密碼(master password)?” Google 支持論壇中有個非官方的回復，說了Google的立場：主密碼提供了一種虛假的安全感，保護敏感數據的最可行保護方式是要取決于系統的整體安全性。

那用戶在Chrome瀏覽器上保存的密碼的安全性有多高呢？請見下文。

如何查看已保存的密碼

Chrome 密碼管理器的進入方式：右側扳手圖標→設置→顯示高級設置→密碼和表單→管理已保存的密碼。或者直接在地址欄中復制粘貼：chrome://chrome/settings/passwords，然后回車進入。

如果你允許Chrome保存密碼，看到這個界面應該沒什么稀奇，或許你早已知道這個特性了。從昨晚微博轉發來看，很多用戶還是并不知道這個特性。

點擊密碼區域，顯示一個“顯示”按鈕，再點擊“顯示”按鈕，可看到密碼。如果其他人可以無阻礙使用你的電腦，那他就可以拿到你的這些已保存的密碼。

How Secure are Your Saved Chrome Browser Passwords

(本文配圖中的用戶名和密碼為測試所用)

密碼數據保存在哪里了?

已保存的密碼數據存儲在一個 SQLite 數據庫中，位置是：

[系統盤]:\Documents and Settings\[用戶名]\Local Settings\Application Data\Google\Chrome\User Data\Default\Login Data (這個路徑是 Win XP 系統)

你可以用 SQLite Database Browser 打開這個文件(文件名就是“Login Data”)，查看“logins”表格，該表就包含了被保存的密碼。但你會看到“password_value” 域的值是不可讀，因為值已加密。(PS：SQLite數據庫查看器的SourceForge下載鏈接)

加密后的數據的安全性如何?

為了執行加密(在Windows操作系統上)，Chrome使用了Windows提供的API，該API只允許用于加密密碼的Windows用戶賬戶去解密已加密的數據。所以基本上來說，你的主密碼就是你的Windows賬戶密碼。所以，只要你登錄了用自己的賬號Windows，Chrome就可以解密加密數據。

不過，因為你的Windows賬戶密碼是一個常量，并不是只有Chrome才能讀取“主密碼”，其他外部工具也能獲取加密數據，同樣也可以解密加密數據。比如使用NirSoft的免費工具ChromePass(NirSoft官方下載)，就可以看得你已保存的密碼數據，并可以輕松導出為文本文件。

How Secure are Your Saved Chrome Browser Passwords

既然 ChromePass 可以讀取加密的密碼數據，那惡意軟件也能讀取的。當ChromePass.exe被上傳至VirusTotal時，超過半數的反病毒(AV)引擎會標記這一行為是危險級別。不過在這個例子中，這個工具是安全的。不過有點囧，微軟的Security Essentials并沒有把這一行為標記為危險。