熟悉小黑的小夥伴多半知道,小黑做事特別注重效率,常常通過軟體工具提高工作便捷度。然而,小黑最近卻意外翻車了。
這是發生在谷歌Chrome瀏覽器中的「不幸」事故:小黑平時有個習慣,喜歡在谷歌瀏覽器上保存密碼,這樣在打開網站就不用輸入密碼,系統會自動填充密碼。由於每次註冊一個帳號,都會在谷歌Chrome瀏覽器上「記住」密碼,久而久之小黑在瀏覽器上已經保存了94個密碼。
▲ 自動填充密碼
本來,「記住密碼」功能並沒有什麼大礙,直到一次偶然的機會,小黑突然發現自己有5個密碼已遭洩露。在溫暖的空調房裡,小黑嚇出一身冷汗,要知道小黑在瀏覽器裡保存了大量隱私信息,密碼一旦洩露,後果不堪設想。
▲ 密碼洩露
在仔細檢查洩露密碼時,小黑髮現5個網站洩露的密碼都是同一個,暫時還沒有重大隱私消息洩露。
▲ 洩露的都是同樣的密碼
經歷密碼洩露事故之後,小黑決定好好檢查一下谷歌瀏覽器的密碼,結果再次驚出一身冷汗。想知道小黑保存的帳號密碼,不需要複雜的黑客技術,不需要外接破解工具,只需要知道開機密碼即可。
進入設置,查看 「密碼」項目,點擊 帳號左邊的「眼睛」按鈕,系統會自動彈出一個窗口,請求輸入電腦開機密碼,輸完之後所有的帳號密碼都能一鍵查看。也就是說,任何人只要知道開機密碼,都能在本人不在的情況下查看已保存的密碼。
原本,小黑以為Chrome瀏覽器會將密碼保存在雲端,想盡辦法層層保護,沒想到Chrome瀏覽器密碼保護如同紙糊的窗紙,一捅就破。一氣之下,小黑下載了獵豹瀏覽器跟360瀏覽器,想看看這些競品跟Chrome瀏覽器在密碼保護上有何不同!
瀏覽器密碼保護,沒一個能打的
打開電腦中的獵豹瀏覽器,密碼功能與Chrome瀏覽器大不相同。不需要在「設置」中苦苦尋找,點擊瀏覽器右上角「鎖鑰」按鈕,就可以直接打開獵豹安全帳戶管家。
點進去一看,只見小黑保存的帳號一行行排列在頁面中。點擊單個帳號,可以選擇查看密碼、編輯、刪除等操作。在密碼保護層面,獵豹瀏覽器比Chrome瀏覽器稍強,它有一個用戶安全鎖,需要輸入正確的解鎖圖案才能查看密碼。
小黑找同事嘗試了一下,在不知道小黑解鎖密碼的情況下,同事花了五六分鐘也解不開帳號安全鎖。
在安全鎖界面,小黑還注意到有個重置安全鎖功能。記得兩三年前獵豹瀏覽器爆出一個bug,在不需要輸入任何身份驗證信息的情況下就可以重置安全鎖。今天小黑又嘗試了一下,發現bug已經修復,用戶只有輸入帳戶名稱與密碼才能實現重置安全鎖。總之,在密碼保護層面,獵豹瀏覽器確實做得還行。
再看360瀏覽器,小黑此前沒有使用過這款產品,為了測試密碼自動填充功能,特意登錄微博保存帳號密碼。360瀏覽器在記住密碼時會自動彈出一個選項,用戶可以自由選擇保存密碼或者不再提示。
360瀏覽器密碼管理功能藏得比較深,小黑在設置、用戶中心裡都沒找到,最後在右上角管理按鈕中發現,登錄管家與截圖、翻譯等功能並列,屬於瀏覽器附加功能。
在密碼保護上,360瀏覽器並不提供查看密碼功能,只能添加、管理帳號,除了用戶本人以外,其他人根本無法得知帳號密碼。
從谷歌Chrome瀏覽器、獵豹瀏覽器再到360瀏覽器,密碼保護一個比一個嚴密。不管現在遠不能說瀏覽器密碼很安全,因為以上這些只能在物理層面防止身邊的人竊取密碼。事實上,身邊親人朋友很少會主動竊取帳號密碼,密碼洩露一般都是由於病毒或黑客攻擊。
▲ XSS 測試工具
小黑諮詢了一位從事軟體開發的朋友H君,他告訴小黑:「這種瀏覽器密碼太好破解了,通過跨站腳本攻擊就能搞定。瀏覽器記住密碼機制與表單自動填充一樣,攻擊者可以在自己的域放一個頁面,你的瀏覽器訪問後,會自動填充這個頁面的表單,比如Email、家庭地址、手機號等等,然後這個頁面的JavaScript就可以獲取到這些值了。」
▲ 測試頁面
H君還告訴小黑:「普通的病毒木馬通過提高安全意識,安裝殺毒軟體就能解決,但是這種密碼自動填充都是明文密碼,殺毒軟體也幫不了。」
▲ 解析JS 腳本
預防小技巧:如何關閉自動填充
既然瀏覽器自動填充密碼這麼不安全,那我們就要想辦法去解決。最簡單直接的辦法就是關閉自動填充,在Chrome瀏覽器地址欄輸入「chrome://settings/」即可進入管理界面,點擊關閉提示自動保存密碼與自動登錄功能。
▲ Chrome瀏覽器關閉提示保存密碼
接著,可以將已經保存的密碼一個個刪除,這樣就能保證密碼萬無一失。刪除密碼雖好,但是小黑將近100個網站密碼,一時間根本記不住。好在小黑即使發現瀏覽器有密碼導出功能,可以一鍵將所有密碼導出到桌面,保存為csv 表格格式。以後,雖然在輸入網站密碼時麻煩不少,可總算可以保證密碼不會丟失。
▲ 谷歌Chrome瀏覽器可以導出密碼
在刪除密碼時,小黑還總結出一些經驗,在部分涉及隱私與工作相關的帳號,小黑選擇刪除自動填充密碼,在其他無關緊要的網站,比如虎嗅、36氪、IT之家這些科技娛樂類網站,小黑還是選擇自動記住密碼,只不過將密碼改成平時不常用的罷了。
▲ 獵豹瀏覽器關閉選項
Chrome瀏覽器可以輕鬆關閉密碼自動填充功能,獵豹與360瀏覽器也不難。獵豹在安全鎖管理頁面可以選擇關閉提示保存帳號密碼功能,360瀏覽器也可以在高級設置裡停止勾選開啟彈條提示保存帳號密碼。不過在導出密碼方面,小黑在兩個瀏覽器中均沒有發現這項功能,好在小黑在獵豹、360瀏覽器上的密碼都有備份,暫時不需要導出功能。若是將這兩個瀏覽器作為主力瀏覽器的小夥伴,估計要費一番功夫用來找回、導出密碼了。
▲ 360瀏覽器關閉選項
安全的密碼管理器
正所謂魚和熊掌不可兼得,在關閉自動填充密碼半天后,小黑就切身體會到不方便之處。每次登錄一些常用網站,都需要頻繁輸入密碼,簡直愁死人。而且,小黑還意識到一個問題,就是小黑在導出密碼之後,為了方便直接放置密碼文檔在桌面上。如此一來,密碼安全不是更得不到保障嗎?
▲ 表格明文密碼更加不安全
對此,小黑的解決方案是使用密碼管理器。目前市場上有很多密碼管理器,其中1Password 最為著名。這款軟體工具在 2006 年起就開始提供密碼管理服務,支持多個主流移動和電腦端平臺,主要提供生成高強度密碼、自動填充以及密碼文件同步的功能。
▲ 1Password需要付費
可惜,1Password在國內並不能有效發揮其實力。首先它是付費應用,每個月需要支付2.99美元,其次它的功能屬性需要在國外才能發揮,比如自動填充密碼功能,需要特殊條件才能實現。小黑正常上網,使用自動填充密碼功能,結果只會顯示「無法訪問該網站」。
除了國外常用的密碼保護網站,其實國內也有替代方案,比如花密。這款工具原理是通過原始密碼生成新的密碼,本身並不提供任何密碼保存功能,也不需要付費。使用過程也非常簡單,輸入一個便於記憶的初始密碼,在輸入區分代號,系統自動生成複雜的16位密碼,這樣就避免因密碼簡單而被破解。
花密擁有網頁版、MAC版、ios版等多終端,在Chrome瀏覽器上也有擴展程序。小黑首先嘗試在網頁版輸入豆瓣密碼「XXXXXX」(具體密碼不能透露),再輸入區分代號douban,結果顯示一個複雜的密碼。
接著通過Chrome瀏覽器擴展程序,在登錄頁面輸入記憶密碼區分代號,系統就自動填充了複雜的16位密碼。
1Password與花密這些密碼管理器,通過一個主密碼或密鑰文件加密,資料庫都是使用當今已知最安全的加密算法 AES 和 Twofish 來加密的。有了這些密碼管理器的幫助,完全不用擔心密碼洩露問題。據小黑所知,其他類似密碼管理器工具還有 Dashlane、Bitwarden、Keeper、Enpass、KeePass,有興趣的小夥伴可以一一嘗試,從中找出最合適的密碼。
密碼設置小攻略
密碼管理器可以有效提高安全性與便捷性,可這些管理器並不是萬能的,也不是所有人都願意使用密碼管理器。如果我們的密碼設置過於簡單,還是非常容易被破解。2019 年 12 月,密碼安全服務公司 SplashData 發布了第 9 個年度最爛密碼百強榜單,結果顯示十分之一的用戶都在使用極其簡單的「通用密碼」,比如123456、11111、qwerty等等。
▲ 傻瓜密碼排名
使用如此簡單的密碼,自然很容易被破解,黑客甚至不需要使用複雜的工具,只需用上最簡單的撞庫軟體,就能在幾分鐘之內迅速解出密碼。因此,在密碼設置時,我們也要非常小心,儘量注意不同帳號之間的密碼區別,切記不要將同一個密碼反覆使用。
▲ 密碼長度與安全性
同時,鑑於密碼管理器的經驗,小黑意識到密碼越長越好。小黑在一款測試密碼安全性的網站中先後輸入三種常用密碼,第一種8位數,數字與字母結合;第二種十位數,比第一種多了四位字母;第三種十六位數,由數字、字母加符號組成。結果顯示,密碼安全等級會隨著密碼長度而增加,特別是第三種密碼,安全等級甚至達到滿分。因此,我們平時在設置密碼時,最好是數字、字母與符號結合,儘可能將密碼長度設置得長一點。這樣,才能最大程度保證密碼安全。
在這個網際網路大發展的時代,APP、網站越來越多,幾乎每個人都會註冊幾十個帳號。出於方便,自動填充密碼功能已經漸漸普及。無論是PC 瀏覽器還是手機瀏覽器,自動登錄已經被大眾所接受。但是不能為了圖方便,就忽略了安全問題,小黑建議最好還是使用密碼管理器,最大程度保證安全。即使不用密碼管理器自動填充功能,也要使用加密功能,生成16位複雜密碼,讓自己的密碼安全程度始終處於最高強度!