熟悉小黑的小伙伴多半知道�,小黑做事特別注重效率,常常通過(guò)軟件工具提高工作便捷度�����。然而���,小黑最近卻意外翻車了。
這是發(fā)生在谷歌Chrome瀏覽器中的“不幸”事故:小黑平時(shí)有個(gè)習(xí)慣����,喜歡在谷歌瀏覽器上保存密碼,這樣在打開(kāi)網(wǎng)站就不用輸入密碼�,系統(tǒng)會(huì)自動(dòng)填充密碼。由于每次注冊(cè)一個(gè)賬號(hào)���,都會(huì)在谷歌Chrome瀏覽器上“記住”密碼����,久而久之小黑在瀏覽器上已經(jīng)保存了94個(gè)密碼����。
▲ 自動(dòng)填充密碼
本來(lái),“記住密碼”功能并沒(méi)有什么大礙,直到一次偶然的機(jī)會(huì)����,小黑突然發(fā)現(xiàn)自己有5個(gè)密碼已遭泄露。在溫暖的空調(diào)房里�,小黑嚇出一身冷汗,要知道小黑在瀏覽器里保存了大量隱私信息�����,密碼一旦泄露�,后果不堪設(shè)想。
▲ 密碼泄露
在仔細(xì)檢查泄露密碼時(shí)����,小黑發(fā)現(xiàn)5個(gè)網(wǎng)站泄露的密碼都是同一個(gè),暫時(shí)還沒(méi)有重大隱私消息泄露����。
▲ 泄露的都是同樣的密碼
經(jīng)歷密碼泄露事故之后,小黑決定好好檢查一下谷歌瀏覽器的密碼����,結(jié)果再次驚出一身冷汗。想知道小黑保存的賬號(hào)密碼�����,不需要復(fù)雜的黑客技術(shù),不需要外接破解工具�,只需要知道開(kāi)機(jī)密碼即可。
進(jìn)入設(shè)置��,查看 “密碼”項(xiàng)目���,點(diǎn)擊 賬號(hào)左邊的“眼睛”按鈕���,系統(tǒng)會(huì)自動(dòng)彈出一個(gè)窗口�����,請(qǐng)求輸入電腦開(kāi)機(jī)密碼����,輸完之后所有的賬號(hào)密碼都能一鍵查看。也就是說(shuō)�,任何人只要知道開(kāi)機(jī)密碼,都能在本人不在的情況下查看已保存的密碼��。
原本���,小黑以為Chrome瀏覽器會(huì)將密碼保存在云端�,想盡辦法層層保護(hù),沒(méi)想到Chrome瀏覽器密碼保護(hù)如同紙糊的窗紙�����,一捅就破���。一氣之下����,小黑下載了獵豹瀏覽器跟360瀏覽器����,想看看這些競(jìng)品跟Chrome瀏覽器在密碼保護(hù)上有何不同!
瀏覽器密碼保護(hù)����,沒(méi)一個(gè)能打的
打開(kāi)電腦中的獵豹瀏覽器,密碼功能與Chrome瀏覽器大不相同�。不需要在“設(shè)置”中苦苦尋找,點(diǎn)擊瀏覽器右上角“鎖鑰”按鈕����,就可以直接打開(kāi)獵豹安全賬戶管家�����。
點(diǎn)進(jìn)去一看�,只見(jiàn)小黑保存的賬號(hào)一行行排列在頁(yè)面中�����。點(diǎn)擊單個(gè)賬號(hào)�,可以選擇查看密碼、編輯��、刪除等操作��。在密碼保護(hù)層面��,獵豹瀏覽器比Chrome瀏覽器稍強(qiáng)����,它有一個(gè)用戶安全鎖�����,需要輸入正確的解鎖圖案才能查看密碼�����。
小黑找同事嘗試了一下,在不知道小黑解鎖密碼的情況下�,同事花了五六分鐘也解不開(kāi)賬號(hào)安全鎖。
在安全鎖界面����,小黑還注意到有個(gè)重置安全鎖功能。記得兩三年前獵豹瀏覽器爆出一個(gè)bug��,在不需要輸入任何身份驗(yàn)證信息的情況下就可以重置安全鎖�。今天小黑又嘗試了一下,發(fā)現(xiàn)bug已經(jīng)修復(fù)����,用戶只有輸入賬戶名稱與密碼才能實(shí)現(xiàn)重置安全鎖�?傊诿艽a保護(hù)層面��,獵豹瀏覽器確實(shí)做得還行��。
再看360瀏覽器��,小黑此前沒(méi)有使用過(guò)這款產(chǎn)品�����,為了測(cè)試密碼自動(dòng)填充功能,特意登錄微博保存賬號(hào)密碼��。360瀏覽器在記住密碼時(shí)會(huì)自動(dòng)彈出一個(gè)選項(xiàng)���,用戶可以自由選擇保存密碼或者不再提示���。
360瀏覽器密碼管理功能藏得比較深,小黑在設(shè)置�����、用戶中心里都沒(méi)找到����,最后在右上角管理按鈕中發(fā)現(xiàn),登錄管家與截圖���、翻譯等功能并列,屬于瀏覽器附加功能�����。
在密碼保護(hù)上,360瀏覽器并不提供查看密碼功能�,只能添加、管理賬號(hào)���,除了用戶本人以外���,其他人根本無(wú)法得知賬號(hào)密碼。
從谷歌Chrome瀏覽器�����、獵豹瀏覽器再到360瀏覽器��,密碼保護(hù)一個(gè)比一個(gè)嚴(yán)密�����。不管現(xiàn)在遠(yuǎn)不能說(shuō)瀏覽器密碼很安全�,因?yàn)橐陨线@些只能在物理層面防止身邊的人竊取密碼。事實(shí)上����,身邊親人朋友很少會(huì)主動(dòng)竊取賬號(hào)密碼,密碼泄露一般都是由于病毒或黑客攻擊。
▲ XSS 測(cè)試工具
小黑咨詢了一位從事軟件開(kāi)發(fā)的朋友H君�,他告訴小黑:“這種瀏覽器密碼太好破解了,通過(guò)跨站腳本攻擊就能搞定���。瀏覽器記住密碼機(jī)制與表單自動(dòng)填充一樣�����,攻擊者可以在自己的域放一個(gè)頁(yè)面����,你的瀏覽器訪問(wèn)后�����,會(huì)自動(dòng)填充這個(gè)頁(yè)面的表單�����,比如Email����、家庭地址、手機(jī)號(hào)等等��,然后這個(gè)頁(yè)面的java script就可以獲取到這些值了����!
▲ 測(cè)試頁(yè)面
H君還告訴小黑:“普通的病毒木馬通過(guò)提高安全意識(shí)�,安裝殺毒軟件就能解決,但是這種密碼自動(dòng)填充都是明文密碼���,殺毒軟件也幫不了���!
▲ 解析JS 腳本
預(yù)防小技巧:如何關(guān)閉自動(dòng)填充
既然瀏覽器自動(dòng)填充密碼這么不安全�,那我們就要想辦法去解決。最簡(jiǎn)單直接的辦法就是關(guān)閉自動(dòng)填充�,在Chrome瀏覽器地址欄輸入“chrome://settings/”即可進(jìn)入管理界面,點(diǎn)擊關(guān)閉提示自動(dòng)保存密碼與自動(dòng)登錄功能�。
▲ Chrome瀏覽器關(guān)閉提示保存密碼
接著,可以將已經(jīng)保存的密碼一個(gè)個(gè)刪除����,這樣就能保證密碼萬(wàn)無(wú)一失。刪除密碼雖好�����,但是小黑將近100個(gè)網(wǎng)站密碼,一時(shí)間根本記不住�����。好在小黑即使發(fā)現(xiàn)瀏覽器有密碼導(dǎo)出功能��,可以一鍵將所有密碼導(dǎo)出到桌面��,保存為csv 表格格式�����。以后�����,雖然在輸入網(wǎng)站密碼時(shí)麻煩不少����,可總算可以保證密碼不會(huì)丟失。
▲ 谷歌Chrome瀏覽器可以導(dǎo)出密碼
在刪除密碼時(shí)��,小黑還總結(jié)出一些經(jīng)驗(yàn)����,在部分涉及隱私與工作相關(guān)的賬號(hào)��,小黑選擇刪除自動(dòng)填充密碼����,在其他無(wú)關(guān)緊要的網(wǎng)站����,比如虎嗅��、36氪���、IT之家這些科技娛樂(lè)類網(wǎng)站�,小黑還是選擇自動(dòng)記住密碼��,只不過(guò)將密碼改成平時(shí)不常用的罷了�����。
▲ 獵豹瀏覽器關(guān)閉選項(xiàng)
Chrome瀏覽器可以輕松關(guān)閉密碼自動(dòng)填充功能��,獵豹與360瀏覽器也不難�����。獵豹在安全鎖管理頁(yè)面可以選擇關(guān)閉提示保存賬號(hào)密碼功能,360瀏覽器也可以在高級(jí)設(shè)置里停止勾選開(kāi)啟彈條提示保存賬號(hào)密碼�����。不過(guò)在導(dǎo)出密碼方面�,小黑在兩個(gè)瀏覽器中均沒(méi)有發(fā)現(xiàn)這項(xiàng)功能,好在小黑在獵豹�、360瀏覽器上的密碼都有備份,暫時(shí)不需要導(dǎo)出功能��。若是將這兩個(gè)瀏覽器作為主力瀏覽器的小伙伴����,估計(jì)要費(fèi)一番功夫用來(lái)找回、導(dǎo)出密碼了�����。
▲ 360瀏覽器關(guān)閉選項(xiàng)
安全的密碼管理器
正所謂魚(yú)和熊掌不可兼得���,在關(guān)閉自動(dòng)填充密碼半天后���,小黑就切身體會(huì)到不方便之處。每次登錄一些常用網(wǎng)站��,都需要頻繁輸入密碼,簡(jiǎn)直愁死人����。而且,小黑還意識(shí)到一個(gè)問(wèn)題����,就是小黑在導(dǎo)出密碼之后���,為了方便直接放置密碼文檔在桌面上��。如此一來(lái)���,密碼安全不是更得不到保障嗎?
▲ 表格明文密碼更加不安全
對(duì)此�����,小黑的解決方案是使用密碼管理器���。目前市場(chǎng)上有很多密碼管理器���,其中1Password 最為著名���。這款軟件工具在 2006 年起就開(kāi)始提供密碼管理服務(wù),支持多個(gè)主流移動(dòng)和電腦端平臺(tái)����,主要提供生成高強(qiáng)度密碼、自動(dòng)填充以及密碼文件同步的功能���。
▲ 1Password需要付費(fèi)
可惜����,1Password在國(guó)內(nèi)并不能有效發(fā)揮其實(shí)力����。首先它是付費(fèi)應(yīng)用,每個(gè)月需要支付2.99美元��,其次它的功能屬性需要在國(guó)外才能發(fā)揮��,比如自動(dòng)填充密碼功能���,需要特殊條件才能實(shí)現(xiàn)���。小黑正常上網(wǎng)��,使用自動(dòng)填充密碼功能���,結(jié)果只會(huì)顯示“無(wú)法訪問(wèn)該網(wǎng)站”。
除了國(guó)外常用的密碼保護(hù)網(wǎng)站��,其實(shí)國(guó)內(nèi)也有替代方案���,比如花密����。這款工具原理是通過(guò)原始密碼生成新的密碼�,本身并不提供任何密碼保存功能�����,也不需要付費(fèi)����。使用過(guò)程也非常簡(jiǎn)單,輸入一個(gè)便于記憶的初始密碼�,在輸入?yún)^(qū)分代號(hào),系統(tǒng)自動(dòng)生成復(fù)雜的16位密碼��,這樣就避免因密碼簡(jiǎn)單而被破解。
花密擁有網(wǎng)頁(yè)版��、MAC版��、ios版等多終端�,在Chrome瀏覽器上也有擴(kuò)展程序。小黑首先嘗試在網(wǎng)頁(yè)版輸入豆瓣密碼“XXXXXX”(具體密碼不能透露)��,再輸入?yún)^(qū)分代號(hào)douban�,結(jié)果顯示一個(gè)復(fù)雜的密碼。
接著通過(guò)Chrome瀏覽器擴(kuò)展程序�,在登錄頁(yè)面輸入記憶密碼區(qū)分代號(hào),系統(tǒng)就自動(dòng)填充了復(fù)雜的16位密碼�。
1Password與花密這些密碼管理器,通過(guò)一個(gè)主密碼或密鑰文件加密����,數(shù)據(jù)庫(kù)都是使用當(dāng)今已知最安全的加密算法 AES 和 Twofish 來(lái)加密的。有了這些密碼管理器的幫助�����,完全不用擔(dān)心密碼泄露問(wèn)題���。據(jù)小黑所知����,其他類似密碼管理器工具還有 Dashlane、Bitwarden���、Keeper���、Enpass、KeePass�,有興趣的小伙伴可以一一嘗試,從中找出最合適的密碼�。
密碼設(shè)置小攻略
密碼管理器可以有效提高安全性與便捷性,可這些管理器并不是萬(wàn)能的��,也不是所有人都愿意使用密碼管理器���。如果我們的密碼設(shè)置過(guò)于簡(jiǎn)單,還是非常容易被破解�����。2019 年 12 月��,密碼安全服務(wù)公司 SplashData 發(fā)布了第 9 個(gè)年度最爛密碼百?gòu)?qiáng)榜單,結(jié)果顯示十分之一的用戶都在使用極其簡(jiǎn)單的“通用密碼”��,比如123456�、11111、qwerty等等�����。
▲ 傻瓜密碼排名
使用如此簡(jiǎn)單的密碼����,自然很容易被破解,黑客甚至不需要使用復(fù)雜的工具���,只需用上最簡(jiǎn)單的撞庫(kù)軟件�����,就能在幾分鐘之內(nèi)迅速解出密碼���。因此,在密碼設(shè)置時(shí)����,我們也要非常小心,盡量注意不同賬號(hào)之間的密碼區(qū)別,切記不要將同一個(gè)密碼反復(fù)使用����。
▲ 密碼長(zhǎng)度與安全性
同時(shí),鑒于密碼管理器的經(jīng)驗(yàn)����,小黑意識(shí)到密碼越長(zhǎng)越好。小黑在一款測(cè)試密碼安全性的網(wǎng)站中先后輸入三種常用密碼�,第一種8位數(shù),數(shù)字與字母結(jié)合����;第二種十位數(shù),比第一種多了四位字母��;第三種十六位數(shù)�,由數(shù)字、字母加符號(hào)組成�����。結(jié)果顯示�,密碼安全等級(jí)會(huì)隨著密碼長(zhǎng)度而增加���,特別是第三種密碼��,安全等級(jí)甚至達(dá)到滿分����。因此,我們平時(shí)在設(shè)置密碼時(shí)����,最好是數(shù)字、字母與符號(hào)結(jié)合��,盡可能將密碼長(zhǎng)度設(shè)置得長(zhǎng)一點(diǎn)���。這樣��,才能最大程度保證密碼安全����。
在這個(gè)互聯(lián)網(wǎng)大發(fā)展的時(shí)代���,APP����、網(wǎng)站越來(lái)越多,幾乎每個(gè)人都會(huì)注冊(cè)幾十個(gè)賬號(hào)�。出于方便,自動(dòng)填充密碼功能已經(jīng)漸漸普及�����。無(wú)論是PC 瀏覽器還是手機(jī)瀏覽器�����,自動(dòng)登錄已經(jīng)被大眾所接受���。但是不能為了圖方便���,就忽略了安全問(wèn)題,小黑建議最好還是使用密碼管理器����,最大程度保證安全。即使不用密碼管理器自動(dòng)填充功能�����,也要使用加密功能�����,生成16位復(fù)雜密碼�����,讓自己的密碼安全程度始終處于最高強(qiáng)度���!
經(jīng)營(yíng)性網(wǎng)站備案信息
可信網(wǎng)站信用評(píng)價(jià)
網(wǎng)絡(luò)警察提醒您
誠(chéng)信網(wǎng)站
中國(guó)互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
