|
开头先问小伙伴们一个问题。
你们平常使用浏览器的时候会一键保存帐号密码吗?
现在市面上主流的Chrome、火狐、Edge和各种Chromium内核的浏览器基本都支持帐号密码同步保存功能。
和记性好不好没啥关系,主要是照顾到我们用户偷懒的需求。
即使是像小雷这样把所有密码都印在脑海的人,还是懒得登陆的时候输入帐号密码。
毕竟需要登录的网站实在太多,让浏览器自动填充帐号密码更方便省事。
但是有得必有失。
让工具帮记录帐号密码得到的便捷性,其实是用安全性换来的。
你以为浏览器拥有足够的安全手段,实则不堪一击,一捅就破。
几大主流浏览器的密码安全性对比
首先是Chrome浏览器,作为世界上用户量最多的浏览器,它的安全性关乎着几十亿的隐私。
小雷进入浏览器的密码管理界面,点击查看明文密码,这时候Windows安全中心要求小雷输入Windows的登录密码。
这是为了验证你是本人在使用电脑而设置的步骤。
接下来是微软的Edge,无论是显示明文密码还是导出密码都需要先通过上面的【输入Windows密码】步骤。
说明Chrome和Edge的安全性还是有一定保证滴。
而火狐浏览器在密码安全性方面就比较差了,不需要任何验证步骤。
只要打开浏览器进入密码管理界面就能直接查看帐号密码,简直是打开门等着贼进来偷东西啊......
国产浏览器这边,小雷分别测试了QQ浏览器和360极速浏览器。
360浏览器的密码界面不允许显示明文密码,而QQ浏览器的保护策略跟Chrome一样。
简单小结一下,除了火狐浏览器能直接查看明文密码,其他几款浏览器都有不错的安全保密手段。
所以这就算得上安全了吗?
要知道浏览器保存的帐号密码除了存储在云端,也会存在本地的加密数据库中,有时候最容易被趁虚而入的反而是本地文件。
HackBrowserData:解密浏览器所有数据
程序员的智慧无穷无尽,最近小雷闲得无聊去逛全国最大的同性交友网站(Github)。
没想到收获了这个强大得可怕的小工具。
只要你已经进入了电脑桌面,运行HackBrowserdata。
它就能将浏览器的密码、历史记录、Cookies和书签等数据导出到本地。
并且它通吃Windows+MacOS+Linux三大桌面平台。
支持Chrome、Firefox、Edge、360极速浏览器、QQ浏览器、Brave等主流浏览器。
用人话说就是:通过该软件,可以获得你的浏览器密码、上网记录等敏感隐私。
话不多说,赶紧上手看看效果。
从压缩包解压下来有几个文件,咱们双击打开红圈里的.exe文件。
打开后我们不需要做任何操作。
等个一秒,咱们电脑所有浏览器的帐号密码、历史记录、书签已经被解密导出到本地。
导出完成后,你会发现HackBrowserdata目录多了个「results」文件夹。
小工具解密导出的帐号密码都在这儿。
虽然是json文件,但只需要在打开方式选择「记事本」就能查看。
打开导出的浏览器帐号密码数据文件,小雷在浏览器上保存的帐号密码,都被一五一十地导出保存了下来。
甚至连帐号密码对应的登录网址,保存账号密码的时间都清晰展示在文本里面。
太恐怖了...
还有导出的书签,这里显示了书签的ID,网站名字、网站类型、网站地址和创建时间。
再者就是浏览器的历史浏览记录,分别是网站标题、网址和最后访问的时间。
浏览器历史记录应该是小伙伴们最见不得光的部分了。
毕竟你们上过什么网,小雷也猜得出来。
最后是浏览器的Cookies。
Cookies看上去只是一串简单的代码,它可是保存了我们登录网站的状态。
比如我们在浏览器登录了微博或百度网盘,即使关掉浏览器重新打开,登录状态依然还在,不需要再次登录。
虽然Cookies能给我们带来方便,但也很容易被利用。
最常见的是被用于网站追踪精准投放广告,最近你是不是到处都能看到植发广告?肯定是Cookies被追踪了。
或者被别人盗用Cookies登录网站。
用过第三方度盘工具的应该都知道,只需要在工具输入度盘的Cookies,不需要帐号密码也能登录。
当然,历史记录和书签本来就是公开可看的。
能绕过Windows验证限制,获取浏览器保存的帐号密码才是HackBrowserdata最强大的地方。
Bitwarden,开源安全的密码管理器
了解完HackBrowserdata这个工具,是不是有种细思极恐的感觉?
你想想嚯,要是有人接触到你的电脑,把HackBrowserdata放进U盘里。
两秒就把你的浏览器保存的帐号密码、书签和历史记录全盗走,那得多可怕啊。
如果小伙伴们想安全方便地让浏览器自动填帐号密码,大可舍弃自带的保存功能,转而使用第三方密码管理插件。
比如小雷推荐的Bitwarden。
相比浏览器自带的帐号密码保存功能,Bitwarden的安全性要强得多。
因为它是真正的全面开源,插件、应用程序、网站前后端、甚至连加密算法都是开源的。
要是有一行后门代码,早就被举报,消失在网络之中咯。
使用起来也很简单,Bitwarden支持全平台,小雷用电脑浏览器插件作为演示。
先去Bitwarden官网注册一个帐号,注册过程10秒就能完成。
注册地址:http://vault.bitwarden.com/#/register
然后在浏览器安装插件,在各大浏览器的插件商店都能直接搜到这个插件。
最后就是在插件上登录帐号使用啦,以后在任何网站登录的帐号都可以保存到Bitwarden。
访问Bitwarden保存过帐号的网站,点击插件里的帐号即可把帐号信息自动填到输入框。
相比各个浏览器独立的密码同步服务,Bitwarden的全平台同步优势更大,更安全更便利。
最后
看完这篇文章,小伙伴们一定要重视浏览器的隐私,为了图方便随便用浏览器保存帐号密码是很不划算的。
想起隐私泄露事件,小雷总会回想起当年陈老师...
扯远了,反正大家要保护好自己隐私就对啦。
|
|