Chrome保存密码很不安全

Posted 2021-04-28 鱼在云中游

我一直都在用Chrome，最主要是因为Chrome页面简洁和一些个人信息同步很方便，比如书签和常用网站的账号密码。

 

但是前几天发现用Chrome存储常用网站的账号和密码也很不安全，因为如果你的电脑被别人或者同事借用了，你保存在Chrome里的账号和密码就面临着泄露的危险。

 

具体是怎样的呢？

 

打开Chrome，我用的版本是Windows 64位上的最新版（版本 65.0.3325.181），进入到设置页面，点击“高级”->“密码和表单”->“管理密码”之后就会进入你保存在Chrome里的各种网站的账号和密码，当然这个时候密码是看不见的，见下图。

 

 

 

但是当你点击密码右边的“眼睛图标”查看明文密码时，这个时候就弹出了验证框让你输入电脑的用户密码以查看，请注意，这里是指输入你的电脑账户密码就可以明文查看Chrome里保存的各种密码了，是不是很危险？见下图。

 

 

 

更甚的是，如果你的电脑恰好没有设置个人密码，这一步不用输入电脑密码就可以直接查看Chrome里保存的各种密码了，这样的设计是不是有点蠢到家了？

 

如果你的电脑刚好没有设置个人密码，然后借给同事用一下，又或者是跟我们一样，公司里的开发小伙子基本都共享自己的电脑密码以方便有时帮忙改bug，这样岂不是也很容易泄露自己的各种网站密码？

 

安全合理的设计不应该是以电脑账户的密码来作为验证来查看Chrome里保存的各种密码的，而应该是以Chrome里登录的谷歌账户的密码来作为验证，而且每查看一次明文密码都必须输入一次谷歌账户密码，在没有登录谷歌账户的情况下，不应该提供查看明文密码的功能，这样的设计才是安全的，不应该让自己保存在谷歌账户里的各种密码可以通过电脑的账户密码来查看，希望Chrome能重视这个问题并早日解决掉这个隐患。

 

经过测试，Mac上的Chrome也是这种情况。

 

写于2018年3月27日。