在Chrome浏览器保存密码等于裸奔！

前言

昨天在V2EX论坛有人指出“chrome 密码泄漏了，才知道用 chrome 保存密码等于裸奔”，作者说了他的经历和分析

简单说就是Chrome保存的密码存在一个数据库文件中，是加密存储的，不是明文，但是加解密的密钥是明文存在另一个文件的，因此很容易被解密提取所有密码

Chrome密码保存机制

小棉袄就经常在用Chrome浏览器记住各种网页的密码，下次无需手动输入，因此Chrome记忆的密码有几十个

要是这玩意泄露那可是个大麻烦。因此小棉袄专门去看了帖子所说的两个文件

发现这两个文件确实存在，而且第一个确实是数据库文件，第二个文件里面确实有密钥字段，根据国外大佬研究，Chrome使用AES加密，拿到密钥就能解密Chrome上保存的密码了！

为什么如此不安全

小棉袄一开始也觉得这会不会是扯淡，这么多人在用的Chrome，居然轻轻松松就能获取你保存的所有密码

仔细一想其实和Windows有关，因为Windows和Linux没有提供应用级别的读写权限隔离功能，而Mac和Android是没问题的，Mac有指纹验证，Android有应用级别读写权限隔离控制！

图源见水印

当然如果Chrome使用服务器保存密钥也没那么容易被盗，但是你得完全信任谷歌才敢让它存服务器，因此谷歌没这么做，而是存本地的，而存本地不管多复杂的逻辑，只要能被别的软件读取文件，就能被解密，因此需要依赖系统提供应用级别文件隔离机制，但是Windows没有

Chrome开发者也是知道这个问题的，那既然不安全，为什么没人被盗密码引起大家关注？

估计是大厂都有自己的客户端和APP，Chrome上保存的密码没那么重要，因此可以搞事的人没兴趣搞，搞出来也问题不大

解决办法

因为平时都在用，小棉袄看到这个消息也慌了一把，因此必须想点办法

首先最安全的就是不要在Chrome上记忆保存密码，或者使用第三方密码管理工具，比如自建Bitwarden，但是很明显不是一般的麻烦

第二个，使用火绒等杀毒软件监控隔离文件。下面以火绒为例，打开火绒的防护中心，点击高级防护，点击自定义防护

点击右下角的添加规则按钮

然后点击右下角的添加保护对象

选择下面这个路径的文件，也就是密钥文件，PC Name就是你电脑的用户名

勾选保护的动作里面的读取，然后保存即可。最后重启一下Chrome，火绒就会在右下角会提示你Chrome正在读取你的文件（这里我以notepad++为例）

勾选“记住本次操作，下次自动处理”选项，然后点击允许，这样每次打开Chrome就不用手动点允许了，而其它软件想要读取这个文件都会被拦截

总结

现在转过来一想，Android竟然还挺安全的。

本站仅提供存储服务，所有内容均由用户发布，如发现有害或侵权内容，请点击举报。