谷歌瀏覽器保存密碼獲取(ChromePass)

chromepass是一個(gè)很小的查看密碼軟件，讓您查看的用戶名和密碼存儲(chǔ)google chrome web瀏覽器。對(duì)于每一個(gè)進(jìn)入密碼，將顯示以下信息：源網(wǎng)址，登陸網(wǎng)址，用戶名，密碼，用戶名，密碼和創(chuàng)建時(shí)間。

關(guān)于 Google Chrome 瀏覽器也有一個(gè)常見問題，“為什么它沒有一個(gè)主密碼（master password）？” Google 支持論壇中有個(gè)非官方的回復(fù)，說了Google的立場(chǎng)：主密碼提供了一種虛假的安全感，保護(hù)敏感數(shù)據(jù)的最可行保護(hù)方式是要取決于系統(tǒng)的整體安全性。

如何查看已保存的密碼：

Chrome 密碼管理器的進(jìn)入方式：右側(cè)扳手圖標(biāo)→設(shè)置→顯示高級(jí)設(shè)置→密碼和表單→管理已保存的密碼�；蛘咧苯釉诘刂窓谥袕�(fù)制粘貼：chrome://chrome/settings/passwords，然后回車進(jìn)入。

如果你允許Chrome保存密碼，看到這個(gè)界面應(yīng)該沒什么稀奇，或許你早已知道這個(gè)特性了。從昨晚微博轉(zhuǎn)發(fā)來看，很多用戶還是并不知道這個(gè)特性。

點(diǎn)擊密碼區(qū)域，顯示一個(gè)“顯示”按鈕，再點(diǎn)擊“顯示”按鈕，可看到密碼。如果其他人可以無阻礙使用你的電腦，那他就可以拿到你的這些已保存的密碼。

密碼數(shù)據(jù)保存在哪里了？

已保存的密碼數(shù)據(jù)存儲(chǔ)在一個(gè) SQLite 數(shù)據(jù)庫中，位置是：

[系統(tǒng)盤]:Documents and Settings[用戶名]Local SettingsApplication DataGoogleChromeUser DataDefaultLogin Data （這個(gè)路徑是 Win XP 系統(tǒng)）

你可以用 SQLite Database Browser 打開這個(gè)文件（文件名就是“Login Data”），查看“l(fā)ogins”表格，該表就包含了被保存的密碼。但你會(huì)看到“password_value” 域的值是不可讀，因?yàn)橹狄鸭用堋?/p>

加密后的數(shù)據(jù)的安全性如何？

為了執(zhí)行加密（在Windows操作系統(tǒng)上），Chrome使用了Windows提供的API，該API只允許用于加密密碼的Windows用戶賬戶去解密已加密的數(shù)據(jù)。所以基本上來說，你的主密碼就是你的Windows賬戶密碼。所以，只要你登錄了用自己的賬號(hào)Windows，Chrome就可以解密加密數(shù)據(jù)。

不過，因?yàn)槟愕腤indows賬戶密碼是一個(gè)常量，并不是只有Chrome才能讀取“主密碼”，其他外部工具也能獲取加密數(shù)據(jù)，同樣也可以解密加密數(shù)據(jù)。比如使用NirSoft的免費(fèi)工具ChromePass（NirSoft官方下載），就可以看得你已保存的密碼數(shù)據(jù)，并可以輕松導(dǎo)出為文本文件。

既然 ChromePass 可以讀取加密的密碼數(shù)據(jù)，那惡意軟件也能讀取的。當(dāng)ChromePass.exe被上傳至VirusTotal時(shí)，超過半數(shù)的反病毒（AV）引擎會(huì)標(biāo)記這一行為是危險(xiǎn)級(jí)別。不過在這個(gè)例子中，這個(gè)工具是安全的。不過有點(diǎn)囧，微軟的Security Essentials并沒有把這一行為標(biāo)記為危險(xiǎn)。

可以繞過保護(hù)機(jī)制么？

假設(shè)你的電腦被盜，小偷重設(shè)了Windows賬號(hào)密碼。如果他們隨后嘗試在Chrome中查看你的密碼，或用ChromePass來查看，密碼數(shù)據(jù)都是不可用。原因很簡(jiǎn)單，因?yàn)椤爸髅艽a”并不匹配，所以解密失敗。

此外，如果有人把那個(gè)SQLite數(shù)據(jù)庫文件復(fù)制走了，并嘗試在另外一臺(tái)電腦上打開，ChromePass也將顯示空密碼，原因同上。