本文由阿刚同学原创,首发在乐软博客(www.isharepc.com)
密码安全是个老生常谈的话题,掌握一定的密码生成规则创建属于自己具有个性的密码创建规律极为重要,阿刚曾经《密码太多记不住?你可以建立一套属于自己的密码体系》有详细聊过这个话题,可以说最安全的方式便是永久记忆在大脑中,不需借助任何工具。
不过,事实上情况是即便像阿刚这样几乎记忆了所有网站密码的极端者,日常使用过程中还是要借助浏览器自带的功能帮助自动填充密码,久而久之便形成了依赖,对于一些非重要的密码早已忘却。那么,存储在浏览器中的密码是否是安全的呢。
关于这个问题,阿刚确实有过一阵的研究,从早些年猎豹浏览器、火狐浏览器再到现在的Chrome谷歌浏览器,确实存了不少网站的密码,大多数浏览器将密码保存在本地的数据库文件中,并且采取了一定的加密手段,其中火狐的安全性最差,因为明文密码可直接查看。
Chrome浏览器加密最为严谨,要在浏览中查看或者导出明文密码需要验证Windows登录信息,本地存储的密码数据库文件也是经过加密的,无法被轻易破解。
HackBrowserdata,一款全平台可获取浏览器保存的密码和历史记录的工具
逛github时偶然发现的一款的工具,说实在的在github中所谓的获取浏览器密码的工具不在少数,我也尝试过几款,对于新版的Chrome或者要绕过Windows验证的密码几乎是无能为力的,初次看到hack-browser-data的介绍,也是不以为意的。
HackBrowserdata使用非常简单,在Windows中直接双击运行,程序会自动获取系统中已安装并受支持的浏览器的相关数据,主要包括书签、浏览记录、cookies、保存的密码,所生成的结果保存在results文件夹中。
除了密码外,Cookies也是即为重要的数据,它保存了浏览器登录各种网站的状态,也就是说拿到cookies是可以直接通过它来登陆目标网站的,这个大家在用各种第三方百度网盘工具时应该多少有些了解,原理是相同的。
至于浏览器的书签和历史记录,此本身就是公开的数据,所导出的文件十分准确的还原了这些数据,尤其是历史记录详细列出了访问的网站以及访问次数。
小结:
浏览器的明文密码本身就可以直接通过浏览器查看的,关键的关键是必须拥有用户密码,而hack-browser-data强就强在可以直接绕过验证直接导出明文密码,这个真是非常厉害了。
LastPass,安全的密码管理工具
不知道大家在了解过这款工具后作何感想,可能有些同学不以为然。细想下,假设有人能接触到你的电脑,可能插个U盘或者不良之人重编译此工具后加入后门程序通过邮件散发出去,后台偷偷发送用户的浏览数据,这到底是怎样可怕的一件事,要知道为了图省事,不少人都是直接将密码保存在浏览中的。
为了应对此种问题,解决办法说来也简单,重要密码不要保存在浏览器中,一定要学会为自己建立个个性的密码创建规则,方便你记忆重要的密码。除此之外,如果图方便要用自动填充,一些专业的密码保存工具或插件也可以考虑,比如1Pasword、LastPass等,阿刚主要说下LastPass
LastPass 是一款全平台的密码管理器,它支持Win Linux Mac ios Android,在桌面端通过浏览器插件,可一键保存你的各种重要密码,使用时能够智能识别表单,快速填充密码。
作为一款在国际上屡获殊荣的密码工具,LastPass采用了AES256 与 PBKDF2「哈希算法」加密技术加密并存储你的密码信息,无论是本地还是在云端,最大程度上保障你的密码安全,你所需的仅是注册一个用于身份验证的主密码。
LastPass拥有一个密码数据库,相当于你的密码仓库,在这里存储了你各个网站保存的账号密码,你也可以手动添加各种类型的密码信息,例如信用卡、数据库、服务器密码等。
LastPass提供免费和收费版插件,一般免费版也是足够使用的,阿刚一直用着免费版,这些年大部分密码均保存在了LastPass中,收费版则提供了诸如桌面指纹识别、家庭共享文件夹、硬件验证、1GB 加密文件储存等更多的高级功能。
最后总结
密码安全相当重要,日常工作学习中,切勿一条密码走天下,稍微花点心思为自己创建一个个性的密码生成规则,永远记忆在大脑中才是王道。
不建议图方便将重要密码存在浏览器中,至少HackBrowserdata这样的工具可轻松获取,应该引起我们的警惕。
相关下载