你「浏览器」保存的密码将有被盗走的风险!!!

随着大家对密码安全性重视,会对不同网站使用不同的账户密码、但是这样一来,你很容易忘记密码,这时候雷锋哥相信大多数人会使用浏览器的记住密码功能,加上浏览器支持数据同步,用起来很方便。

每次登陆网站、论坛什么的,都可以通过浏览器自动填写账户密码,一键登陆,但是你的密码已经存在被盗走的风险了!!

20201110

正常情况下,你想查看浏览器里面自动记住的密码,是需要通过 Windows 的密码来验证。这里雷锋哥以 Edge 浏览器为例,正确输入 PIN 或者 账户密码,才能看到你保存的密码。

20201110-1

前几天雷锋哥的基友才跟我说,密码记在浏览器里面不安全,当时也没在意。

20201110-2

然后这两天就爆出在 Github 上有个开源项目「*BrowserData」可以绕过 Windows 密码验证,直接获取浏览器里面的账户密码、以及历史记录和书签。

换句话说,就是如果有人利用这份开源项目的源码,制作成病毒程序获取你的浏览器账户密码,那么你将面临被盗号的风险。

*BrowserData体验

这个「*BrowserData」提供了多个平台版本,包括有 Windows、Linux、macOS,软件没有图形界面,运行后就会在当前目录下生成一个 results 文件夹,包含有系统安装的浏览器密码、书签、历史记录、Cookie。

雷锋哥安装了三个浏览器,分别是 Chrome、Edge、Firefox,全部被提取出来了。相信其它使用 Chromium 核心的浏览器同样会被提取出来。

20201110-3

用记事本或其它编辑器打开 chrome_password.json 可以看到浏览器保存的密码完完全全都显示出来了。

20201110-4
打开 chrome_bookmark.json 文件,你保存的书签也全部提取出来了。

20201110-5

打开 chrome_cookie.json 文件,它保存了浏览器登录各种网站的数据,也就是说拿到 Cookies 是可以直接通过它来登陆网站,而无需账户密码。

20201110-6

chrome_history.json 是历史记录文件,可以看到你近期浏览的网站内容。

20201110-7

庆幸的是这个作者把源码开源了出来,期待系统、浏览器开发者可以根据这份源码来修补这个漏洞。目前尚不知有没有非法份子利用这个源码制作病毒盗取你的密码,在这个漏洞还没修补前,我们还是需要谨慎点,赶紧的把你浏览器记住的密码备份出来,然后删除。

如何保护好密码安全

1.建议使用本地高强度加密的密码管理软件,例如 KeePass 这款软件。如果你想用在线的,也可试试「LastPass」扩展插件,采用密文加密你的密码,虽然也不能保证100%。

20201110-8

2.对于比较敏感的网站,例如网银之类,建议用 "无痕模式" 浏览网站,也叫隐身模式 或者 InPrivate 模式,浏览器不会保存你的浏览记录、Cookie、密码等。

20201110-9

3.定期清理浏览器的数据,如果你是重度隐私用户,也可以设置浏览器关闭,自动清理。

20201110-10

总结

为避免有心人恶意获取账户密码,这里就不提供这个项目的地址了,总之大家不要为了贪方便,最终导致自己被盗号有所损失,最好是给自己定制一个密码方案,永久记在大脑里才是最安全的。

最后彩蛋,前几天雷锋哥给大家推荐了 CCleaner Browser 浏览器,同样也是基于 Chromium 核心,写完本文,雷锋哥才想起这个浏览器还安装在系统里,一看,并没有被「HackBrowserData」提取到密码,好评!

20201110-11

这款 CCleaner Browser 主打安全隐私的浏览器,虽然没有同步功能,不过提高了安全性就是了。要安全,还是要图方便,大家自己选择。

相关文章

点赞
  1. null说道:

    只有绕过windows密码验证就能访问密码是重大安全问题。
    其他的书签、Cookie、历史记录之类的 你都能接触到电脑了,直接打开浏览器看就是的了,没什么加密的实际意义,能直接查看正常,还不是有Chrome,edge 之间能互相导入书签历史纪录的么。

发表评论

电子邮件地址不会被公开。必填项已用 * 标注