随着大家对密码安全性重视,会对不同网站使用不同的账户密码、但是这样一来,你很容易忘记密码,这时候小羿相信大多数人会使用浏览器的记住密码功能,加上浏览器支持数据同步,用起来很方便。
每次登陆网站、论坛什么的,都可以通过浏览器自动填写账户密码,一键登陆,但是你的密码已经存在被盗走的风险了!!
正常情况下,你想查看浏览器里面自动记住的密码,是需要通过 Windows 的密码来验证。这里小羿以 Edge 浏览器为例,正确输入 PIN 或者 账户密码,才能看到你保存的密码。
前几天小羿的基友才跟我说,密码记在浏览器里面不安全,当时也没在意。
然后这两天就爆出在 Github 上有个开源项目「*BrowserData」可以绕过 Windows 密码验证,直接获取浏览器里面的账户密码、以及历史记录和书签。
换句话说,就是如果有人利用这份开源项目的源码,制作成病毒程序获取你的浏览器账户密码,那么你将面临被盗号的风险。
*BrowserData体验
这个「*BrowserData」提供了多个平台版本,包括有 Windows、Linux、macOS,软件没有图形界面,运行后就会在当前目录下生成一个 results 文件夹,包含有系统安装的浏览器密码、书签、历史记录、Cookie。
小羿安装了三个浏览器,分别是 Chrome、Edge、Firefox,全部被提取出来了。相信其它使用 Chromium 核心的浏览器同样会被提取出来。
用记事本或其它编辑器打开 chrome_password.json 可以看到浏览器保存的密码完完全全都显示出来了。
打开 chrome_bookmark.json 文件,你保存的书签也全部提取出来了。
打开 chrome_cookie.json 文件,它保存了浏览器登录各种网站的数据,也就是说拿到 Cookies 是可以直接通过它来登陆网站,而无需账户密码。
chrome_history.json 是历史记录文件,可以看到你近期浏览的网站内容。
庆幸的是这个作者把源码开源了出来,期待系统、浏览器开发者可以根据这份源码来修补这个漏洞。目前尚不知有没有非法份子利用这个源码制作病毒盗取你的密码,在这个漏洞还没修补前,我们还是需要谨慎点,赶紧的把你浏览器记住的密码备份出来,然后删除。
如何保护好密码安全
1.建议使用本地高强度加密的密码管理软件,例如 KeePass 这款软件。如果你想用在线的,也可试试「LastPass」扩展插件,采用密文加密你的密码,虽然也不能保证100%。
2.对于比较敏感的网站,例如网银之类,建议用 "无痕模式" 浏览网站,也叫隐身模式 或者 InPrivate 模式,浏览器不会保存你的浏览记录、Cookie、密码等。
3.定期清理浏览器的数据,如果你是重度隐私用户,也可以设置浏览器关闭,自动清理。
总结
为避免有心人恶意获取账户密码,这里就不提供这个项目的地址了,总之大家不要为了贪方便,最终导致自己被盗号有所损失,最好是给自己定制一个密码方案,永久记在大脑里才是最安全的。
最后彩蛋,前几天小羿给大家推荐了 CCleaner Browser 浏览器,同样也是基于 Chromium 核心,写完本文,小羿才想起这个浏览器还安装在系统里,一看,并没有被「HackBrowserData」提取到密码,好评!
这款 CCleaner Browser 主打安全隐私的浏览器,虽然没有同步功能,不过提高了安全性就是了。要安全,还是要图方便,大家自己选择。