熟悉小黑的小伙伴多半知道,小黑做事特别注重效率,常常通过软件工具提高工作便捷度。然而,小黑最近却意外翻车了。
这是发生在谷歌Chrome浏览器中的“不幸”事故:小黑平时有个习惯,喜欢在谷歌浏览器上保存密码,这样在打开网站就不用输入密码,系统会自动填充密码。由于每次注册一个账号,都会在谷歌Chrome浏览器上“记住”密码,久而久之小黑在浏览器上已经保存了94个密码。
▲ 自动填充密码
本来,“记住密码”功能并没有什么大碍,直到一次偶然的机会,小黑突然发现自己有5个密码已遭泄露。在温暖的空调房里,小黑吓出一身冷汗,要知道小黑在浏览器里保存了大量隐私信息,密码一旦泄露,后果不堪设想。
▲ 密码泄露
在仔细检查泄露密码时,小黑发现5个网站泄露的密码都是同一个,暂时还没有重大隐私消息泄露。
▲ 泄露的都是同样的密码
经历密码泄露事故之后,小黑决定好好检查一下谷歌浏览器的密码,结果再次惊出一身冷汗。想知道小黑保存的账号密码,不需要复杂的黑客技术,不需要外接破解工具,只需要知道开机密码即可。
进入设置,查看 “密码”项目,点击 账号左边的“眼睛”按钮,系统会自动弹出一个窗口,请求输入电脑开机密码,输完之后所有的账号密码都能一键查看。也就是说,任何人只要知道开机密码,都能在本人不在的情况下查看已保存的密码。
原本,小黑以为Chrome浏览器会将密码保存在云端,想尽办法层层保护,没想到Chrome浏览器密码保护如同纸糊的窗纸,一捅就破。一气之下,小黑下载了猎豹浏览器跟360浏览器,想看看这些竞品跟Chrome浏览器在密码保护上有何不同!
浏览器密码保护,没一个能打的
打开电脑中的猎豹浏览器,密码功能与Chrome浏览器大不相同。不需要在“设置”中苦苦寻找,点击浏览器右上角“锁钥”按钮,就可以直接打开猎豹安全账户管家。
点进去一看,只见小黑保存的账号一行行排列在页面中。点击单个账号,可以选择查看密码、编辑、删除等操作。在密码保护层面,猎豹浏览器比Chrome浏览器稍强,它有一个用户安全锁,需要输入正确的解锁图案才能查看密码。
小黑找同事尝试了一下,在不知道小黑解锁密码的情况下,同事花了五六分钟也解不开账号安全锁。
在安全锁界面,小黑还注意到有个重置安全锁功能。记得两三年前猎豹浏览器爆出一个bug,在不需要输入任何身份验证信息的情况下就可以重置安全锁。今天小黑又尝试了一下,发现bug已经修复,用户只有输入账户名称与密码才能实现重置安全锁。总之,在密码保护层面,猎豹浏览器确实做得还行。
再看360浏览器,小黑此前没有使用过这款产品,为了测试密码自动填充功能,特意登录微博保存账号密码。360浏览器在记住密码时会自动弹出一个选项,用户可以自由选择保存密码或者不再提示。
360浏览器密码管理功能藏得比较深,小黑在设置、用户中心里都没找到,最后在右上角管理按钮中发现,登录管家与截图、翻译等功能并列,属于浏览器附加功能。
在密码保护上,360浏览器并不提供查看密码功能,只能添加、管理账号,除了用户本人以外,其他人根本无法得知账号密码。
从谷歌Chrome浏览器、猎豹浏览器再到360浏览器,密码保护一个比一个严密。不管现在远不能说浏览器密码很安全,因为以上这些只能在物理层面防止身边的人窃取密码。事实上,身边亲人朋友很少会主动窃取账号密码,密码泄露一般都是由于病毒或黑客攻击。
▲ XSS 测试工具
小黑咨询了一位从事软件开发的朋友H君,他告诉小黑:“这种浏览器密码太好破解了,通过跨站脚本攻击就能搞定。浏览器记住密码机制与表单自动填充一样,攻击者可以在自己的域放一个页面,你的浏览器访问后,会自动填充这个页面的表单,比如Email、家庭地址、手机号等等,然后这个页面的java script就可以获取到这些值了。”
▲ 测试页面
H君还告诉小黑:“普通的病毒木马通过提高安全意识,安装杀毒软件就能解决,但是这种密码自动填充都是明文密码,杀毒软件也帮不了。”
▲ 解析JS 脚本
预防小技巧:如何关闭自动填充
既然浏览器自动填充密码这么不安全,那我们就要想办法去解决。最简单直接的办法就是关闭自动填充,在Chrome浏览器地址栏输入“chrome://settings/”即可进入管理界面,点击关闭提示自动保存密码与自动登录功能。
▲ Chrome浏览器关闭提示保存密码
接着,可以将已经保存的密码一个个删除,这样就能保证密码万无一失。删除密码虽好,但是小黑将近100个网站密码,一时间根本记不住。好在小黑即使发现浏览器有密码导出功能,可以一键将所有密码导出到桌面,保存为csv 表格格式。以后,虽然在输入网站密码时麻烦不少,可总算可以保证密码不会丢失。
▲ 谷歌Chrome浏览器可以导出密码
在删除密码时,小黑还总结出一些经验,在部分涉及隐私与工作相关的账号,小黑选择删除自动填充密码,在其他无关紧要的网站,比如虎嗅、36氪、IT之家这些科技娱乐类网站,小黑还是选择自动记住密码,只不过将密码改成平时不常用的罢了。
▲ 猎豹浏览器关闭选项
Chrome浏览器可以轻松关闭密码自动填充功能,猎豹与360浏览器也不难。猎豹在安全锁管理页面可以选择关闭提示保存账号密码功能,360浏览器也可以在高级设置里停止勾选开启弹条提示保存账号密码。不过在导出密码方面,小黑在两个浏览器中均没有发现这项功能,好在小黑在猎豹、360浏览器上的密码都有备份,暂时不需要导出功能。若是将这两个浏览器作为主力浏览器的小伙伴,估计要费一番功夫用来找回、导出密码了。
▲ 360浏览器关闭选项
安全的密码管理器
正所谓鱼和熊掌不可兼得,在关闭自动填充密码半天后,小黑就切身体会到不方便之处。每次登录一些常用网站,都需要频繁输入密码,简直愁死人。而且,小黑还意识到一个问题,就是小黑在导出密码之后,为了方便直接放置密码文档在桌面上。如此一来,密码安全不是更得不到保障吗?
▲ 表格明文密码更加不安全
对此,小黑的解决方案是使用密码管理器。目前市场上有很多密码管理器,其中1Password 最为著名。这款软件工具在 2006 年起就开始提供密码管理服务,支持多个主流移动和电脑端平台,主要提供生成高强度密码、自动填充以及密码文件同步的功能。
▲ 1Password需要付费
可惜,1Password在国内并不能有效发挥其实力。首先它是付费应用,每个月需要支付2.99美元,其次它的功能属性需要在国外才能发挥,比如自动填充密码功能,需要特殊条件才能实现。小黑正常上网,使用自动填充密码功能,结果只会显示“无法访问该网站”。
除了国外常用的密码保护网站,其实国内也有替代方案,比如花密。这款工具原理是通过原始密码生成新的密码,本身并不提供任何密码保存功能,也不需要付费。使用过程也非常简单,输入一个便于记忆的初始密码,在输入区分代号,系统自动生成复杂的16位密码,这样就避免因密码简单而被破解。
花密拥有网页版、MAC版、ios版等多终端,在Chrome浏览器上也有扩展程序。小黑首先尝试在网页版输入豆瓣密码“XXXXXX”(具体密码不能透露),再输入区分代号douban,结果显示一个复杂的密码。
接着通过Chrome浏览器扩展程序,在登录页面输入记忆密码区分代号,系统就自动填充了复杂的16位密码。
1Password与花密这些密码管理器,通过一个主密码或密钥文件加密,数据库都是使用当今已知最安全的加密算法 AES 和 Twofish 来加密的。有了这些密码管理器的帮助,完全不用担心密码泄露问题。据小黑所知,其他类似密码管理器工具还有 Dashlane、Bitwarden、Keeper、Enpass、KeePass,有兴趣的小伙伴可以一一尝试,从中找出最合适的密码。
密码设置小攻略
密码管理器可以有效提高安全性与便捷性,可这些管理器并不是万能的,也不是所有人都愿意使用密码管理器。如果我们的密码设置过于简单,还是非常容易被破解。2019 年 12 月,密码安全服务公司 SplashData 发布了第 9 个年度最烂密码百强榜单,结果显示十分之一的用户都在使用极其简单的“通用密码”,比如123456、11111、qwerty等等。
▲ 傻瓜密码排名
使用如此简单的密码,自然很容易被破解,黑客甚至不需要使用复杂的工具,只需用上最简单的撞库软件,就能在几分钟之内迅速解出密码。因此,在密码设置时,我们也要非常小心,尽量注意不同账号之间的密码区别,切记不要将同一个密码反复使用。
▲ 密码长度与安全性
同时,鉴于密码管理器的经验,小黑意识到密码越长越好。小黑在一款测试密码安全性的网站中先后输入三种常用密码,第一种8位数,数字与字母结合;第二种十位数,比第一种多了四位字母;第三种十六位数,由数字、字母加符号组成。结果显示,密码安全等级会随着密码长度而增加,特别是第三种密码,安全等级甚至达到满分。因此,我们平时在设置密码时,最好是数字、字母与符号结合,尽可能将密码长度设置得长一点。这样,才能最大程度保证密码安全。
在这个互联网大发展的时代,APP、网站越来越多,几乎每个人都会注册几十个账号。出于方便,自动填充密码功能已经渐渐普及。无论是PC 浏览器还是手机浏览器,自动登录已经被大众所接受。但是不能为了图方便,就忽略了安全问题,小黑建议最好还是使用密码管理器,最大程度保证安全。即使不用密码管理器自动填充功能,也要使用加密功能,生成16位复杂密码,让自己的密码安全程度始终处于最高强度!