【51CTO快译】目前大多数主流浏览器都具备一定程度的密码管理机制,但把密码交给它们真能高枕无忧吗?让我们一起探个究竟。
让网络浏览器保存自己的密码以及信用卡账号信息当然很方便,不过其中也潜伏着极大的安全风险。风险的严峻程度取决于我们所使用的浏览器的种类、我们是否将内容同步至其它设备以及我们有没有使用浏览器提供的额外安全功能。在本文中,我将带大家一同看看目前人气最高的数款主流浏览器--包括IE、谷歌Chrome以及Mozilla火狐--中的一系列安全漏洞,并探寻如何弥补这些薄弱环节。
常见安全风险
把密码保存在浏览器中的最大问题在于窥探私密信息的眼睛无处不在,除了其他能够登录我们电脑账户并查看密码或者信用卡数据的用户之外,还有很多恶意人士正潜藏在暗处、打算一举盗走我们计算机、智能手机或者平板设备中的敏感信息。另外,如果我们在丢弃陈旧计算机是没有及时清除磁盘中的内容,同样的风险总会再度出现;无论是这些设备落在谁的手中,一旦信息被恢复原状,我们的安全必将遭到威胁。与此同时,某些病毒及恶意软件也会以无孔不入之势占领我们的设备,并将密码或者信用卡信息劫持而去。
相信大家一定注意到了,很多银行网站及其它一些处理高度敏感信息的站点都会建议我们千万不要把密码保存在浏览器当中。然而这还远远不够,如果我们为了省事而在各个账户中使用相同或者相似的密码,那么其它非关键性账户在高危网站上的登录同样会威胁到数据甚至是经济安全。举例来说,如果我们的社交平台账号与银行密码一致,那么一旦前者被盗,相信信用卡中的款项也会很快被转走。
某些浏览器允许用户(当然也包括潜在的罪犯)查看我们在其中保存的登录信息列表,包括目标网站、用户名及密码等。即使大家使用的浏览器不支持这项功能,类似WebBroswerPassView这样的工具也能轻松根据cookie数据汇总出这样一份列表。当然,如果我们意外忘记了密码或者打算对所有账户密码进行系统整理,那么这类功能还是很有意义的。不过一旦入侵者在我们的计算机上使用这些软件,大麻烦就真的要来了。另外,我们(以及罪犯)可以利用BulletsPassView这类工具将浏览器登录界面或窗口中原本以"星号"或者"圆点"显示的隐藏密码字符内容显示出来,希望大家同样保持高度警惕。
在接下来的章节中,我们一起来看看目前装机量最大的三种主流浏览器--IE 9、Chrome以及火狐--并在评估其信息保存功能之余,讨论如何改善数据的安全性。
IE 9
在我们所提到的三款主流浏览器当中,IE 9所提供的只是最基本的密码保存功能。它能够自动保存我们的用户名、网址以及其它我们在网页或者搜索栏中输入过的内容。浏览器本身并不允许用户查看所有已经保存下来的密码,我们只有变更主设置及删除自动完成历史记录的权限。
由于IE 9禁止用户随意查看保存在其中的密码列表,所以能够在一定程度上防止恶意人士的窥探。即便如此,我们仍然能够在不必再次输入密码的情况下登录各类账户,惟一的区别在于登录过程不会显示密码内容。然而正如前面提到的,恶意人士完全可以利用某些工具来强迫浏览器显示密码列表或者将保护机制下的隐藏密码还原成可读字符。
遗憾的是,IE 9并没有提供本地数据同步功能,也就是说我们无法将浏览器设置及保存的数据同步到多台计算机或移动设备当中。但话说回来,虽然在便利性方面有所缺失,但这种局限倒不失为降低安全风险的好办法。
将与Windows 8携手登场的IE 10则带来了全新的密码保存及同步功能,不过新浏览器上的改动能否正确作用于Windows 7目前还不得而知。在对IE 10及Windows 8的发行预览版进行测试时,我发现用户可以利用控制面板中进化版的证书管理器功能显示并管理浏览器中保存的密码。而在安全性方面,我发现要想查看浏览器中密码的内容,用户必须重新输入Windows系统账户的密码,这能够有效防止恶意人士利用木马窥探隐私信息。
Windows 8同时还提供一项新的同步功能,允许我们将应用程序、网站以及网络端的密码同步至其它环境--Windows设定及偏好设置信息除外--例如其它Windows 8计算机或者平板设备。出于安全考虑,在将密码同步到其它计算机或平板设备之前,我们必须先登录到微软网站并通过新设备审核。如果之前已经为微软账户绑定了手机号码,我们会收到一条确认代码,正确输入手机上的短信代码才能完成权限核准、进而完成密码同步工作。
谷歌Chrome 21
与IE相比,谷歌Chrome浏览器拥有的密码保存功能则显得丰富许多,不过输入内容自动记录功能还是会令信用卡账户等信息面临威胁。没错,这样能够极大节约处理时间、提高执行效率,但也把个人资金推向了风险之中。
Chrome浏览器允许我们--或者恶意人士--查阅已经保存下来的用户名及密码(按字母顺序排列网站名称),同时可以通过在搜索栏中输入站点名称快速筛选目标站点。
为了保护隐私,Chrome浏览器通过星号将密码内容隐藏起来,但我们可以单击对应条目并选择"显示"按钮来查看其实际字符。我们当然会定期变更这些密码,不过遗憾的是Chrome无法检测到密码变动,因此我们在访问对应网站时浏览器仍然会尝试用错误的旧密码登录。要解决这一问题,我们必须点击密码保存选项并手动进行更新。
用户可以查看所有保存下来的网址及信用卡信息,包括卡上的姓名、账户号码以及有效日期等。Chrome会把部分信用卡号码以星号加以遮蔽,但我们仍然能够通过单击该条目并选择"编辑"项来获得完整的号码内容。信用卡中惟一不会保存的信息是安全代码,这也算是最后一道屏障,毕竟很多网上交易(并不是所有)需要输入该代码。
再来说说缺点,Chrome浏览器没有提供像火狐那样的主密码功能,这样我们就无法利用主密码严密控制保存中的密码及信用卡信息。因此,任何能够登录我们Windows账户的家伙都可以轻松查看上述全部敏感数据。
Chrome浏览器提供了一项同步功能,用于在多台计算机及设备上保存用户的大部分设置及保存数据(包括密码,但不会记录信用卡信息),然而这又带来了另一项安全漏洞。在默认情况下,我们只要登录谷歌账户,就能在其它计算机或移动设备上完成Chrome浏览器中的数据同步工作。这当然非常方便,不过万一我们的谷歌账户密码被恶意人士搞到手,这帮入侵者很可能会访问列表中保存的所有密码。要解决这个问题,我们必须额外设定同步口令,这正是接下来要讨论的重点话题。
Chrome浏览器中的同步设定
为了在同步过程中保证密码信息不受窥探,Chrome浏览器会对所有从谷歌服务器传输至计算机或其它设备(反之亦然)的数据进行加密。我们还可以通过变更浏览器设置来加密所有可能会被同步的数据。
在默认情况下,Chrome会通过我们的谷歌账户密码对同步数据进行加密及解密,不过大家如果觉得这还不够保险,也可以再输入另一套密码以策万全。在建立Chrome向新计算机或其它设备的数据同步任务之后,我们还需要登录自己的谷歌账户并额外设置加密密码。
火狐 14
在今天的比拼中,火狐无疑笑得最灿烂,其密码保存功能既使在当前人气最盛的Chrome面前依然堪称独步。而且虽然火狐不支持将信用卡信息保存至本地,但这也在无形中减少了安全问题发生的机率。与Chrome浏览器一样,我们可以通过设置在火狐中查看、搜索并删除已经保存的密码。
Firefox中保存的密码
尽管我们无法在浏览器设置中变更密码,但火狐会自动检测到目标网站端密码与本地计算机中所保存密码的差异,并在我们尝试登录该网站时询问是否需要更改口令。
与Chrome不同,火狐浏览器会要求用户设定一条主密码,并借以加密并保护保存在本地的密码列表。
火狐允许用户设定一条"主密码",借以进一步提高安全性
在每一次浏览器会话中,我们都需要在首次使用本地保存密码时输入一遍主密码。此外,既使我们已经正确输入过主密码,也可以在火狐浏览器选项中进行设置,确保之后每一次与本地保存密码有关的操作都会强制要求用户再输入一遍。这是一项堪称伟大的功能,能够有效帮助用户避免恶意人士对密码的窥探,甚至能够逃过第三方工具的步步紧逼。
火狐浏览器同样能够将我们的密码、设置以及其它已保存数据同步到多台计算机及其它设备当中。
这与Chrome浏览器的功能相似,但火狐在默认状态下就会加密全部而不仅是密码类同步数据。除此之外,通过火狐同步账户也能让信息在向计算机或其它设备的传输过程中更加安全。大家既可以在新设备上输入已经设定好的密码,也可以从某台旧设备中提取恢复密码并在登录火狐同步账户之后将其输入新设备当中。
总结
IE 9的特性有助于防止恶意人士的恣意侵袭--设置中根本就没有已保存密码列表这项--但它同时也没能提供任何足够先进的安全功能。在这种情况下,攻击者完全有机会利用我们的Windows账户及第三方工具来获得密码。
谷歌Chrome 21允许任何通过登录Windows账户的人查看我们的已保存密码列表及信用卡信息,因此各位一定要小心再小心。如果我们不得不在多台计算机及其它设备上同步浏览数据,请务必对这些信息进行严格加密,并通过设置自定义密码进行双重防护。
火狐14在默认状态下允许任何能够登录Windows账户的人查看我们的已保存密码列表,但用户可以通过创建主密码来加密并保护这些敏感信息。另外,如果大家需要使用浏览器中的数据同步功能,那么火狐无疑是安全性最理想的选择。
在本文所评测的三款主流浏览器当中,我个人选择密码安全性最好的火狐,它的主密码控制机制值得称道。不过我也渴望在Windows 7和Windows 8系统上看到IE 10的最终版本,希望届时一切能变得更加严谨。
在文章的最后,我准备了一些额外的小提示,希望能够帮助各位提高自己的密码安全性:
- 绝不要在其他人的电脑上保存密码或同步浏览器数据。
- 尝试在每个网站上使用不同的密码内容--至少网银及其它涉及敏感信息的账户得做到这一点。
- 使用密码保护自己的Windows账户。
- 为每位用户创建独立的Windows账户--如果不能,至少要给那些你不信任的家伙设定限制。
- 如果家人或朋友要使用我们的电脑,让他们通过来宾账户登录。
- 选择一款优秀的杀毒软件并保持及时更新。
- 一定要对自己的笔记本电脑、上网本以及移动设备进行全方位加密。
- 在日常工作中引入第三方密码管理服务,例如LastPass或者KeePass等。
原文链接:
http://www.pcworld.com/article/261259/can_you_trust_your_browser_with_your_passwords.html#tk.hp_fv