快去看看你浏览器上存了多少密码！赶紧删掉！#3

今天给大家带来这个专题的第三篇，你们的支持就是我们写下去的动力！

03

秘迹同学还是想来聊一聊关于密码的话题，

关于密码的保存，相信比较普遍的一种做法是：直接用浏览器存储密码。那我们就以Chrome为例，来看看这样做有什么不妥。

不可否认，这是一个相当便捷简单的做法。而且Chrome浏览器也是大家信赖和喜爱的产品。那为什么我们非要说用浏览器存密码不是一个好的方案呢？

有以下几个原因：

1.浏览器并没有安全的保存密码。

除火狐浏览器外，一般浏览器并没有为保存的密码设置单独的密码，而是使用操作系统的加密。这意味着你电脑上的其他软件也具备获取你浏览器保存密码的能力，无需你输入密码。

从Chrome浏览器中导出密码需要输入你的window密码，但这并没有什么效果。

使用第三方软件，一步就能导出密码，嗖的一下就把密码显示出来了，想截个gif都没法截。

2、它还会上传你的密码。

如果这些密码只是在本地保存，那还安全一点，但很多浏览器为了方便我们在不同电脑上登录，都设计了同步密码的功能，你在这台电脑上保存的密码会上传到服务器，再发送给你其他电脑上的浏览器。Chrome69版本甚至设计了只要你登录过谷歌项目，就默认用你的谷歌账号登录你的浏览器，同步你的密码列表。只要你的浏览器密码泄露了，浏览器保存的所有密码都会泄露。

3.它不利于保护密码安全。

从专业角度，保护密码安全不但要安全保存，还需要生成强密码、避免重复密码、更换已泄露的等功能，但浏览器保存密码却让用户忘记了这些密码安全策略，降低了我们的安全性。

上图为生成强密码的功能

4、填充的密码会被恶意插件获取。

如果我们使用密码管理器的浏览器插件，每次登录就会看到插件保存密码的提示，其实这时插件已经读取了你的密码，只是在询问你是否保存。

上图为插件询问你是否保存登录信息

同样，如果浏览器上安装了恶意插件，恶意插件也可以通过js读取浏览器自动填充的密码。更糟糕的是，因为某些原因，国内的小伙伴只能通过第三方平台安装浏览器插件，无法确保这些插件是出自官方而未经修改过的。

综上，浏览器存储的密码，并不安全。

-END-