Chrome 瘋狂的密碼保存策略
在登錄各種網站的過程中,我們常常會使用不同的用戶名和密碼,這會造成記憶上的負擔。如果你是 Chrome 用戶,在登錄新網站的時候,會看到它保存密碼的提示,並且很可能點了“確定”。這樣做的話,你可以自動登錄各種網站,而且在不同的電腦同步,真的非常方便。不過,你是否考慮過安全問題?
或許你會想,Google 肯定把密碼加密後保存在係統之中了吧,或者幹脆就是保存在雲端。如果是這樣,準備震驚一下自己和小夥伴們吧。現實情況是,Chrome 並沒有給你的密碼加密,更可怕的是,任何一個人都能夠看到你的密碼,無需任何黑客技術。
進入設置,查看“密碼和表單”項目,點擊“管理已保存的密碼”,(或者直接訪問 Chrome://settings/passwords),你會發現自己保存的所有用戶名和密碼。沒錯,密碼都是以小黑點顯示的。但是,如果你點擊一下,就會發現在密碼後面出現了“顯示”二字,點擊它,你就能看到密碼了。就是這麽簡單。
Google 的天才工程師竟然也會犯愚蠢的錯誤!等等,等等,這樣明顯的安全漏洞不可能是錯誤,應該是一種功能吧?恭喜你猜對了。因爲 Chrome 安全主管說,這的確是故意的,而且他們不打算做出什麽改變。
軟件開發者 Elliott Kember 在博客上撰文提到了這個問題,在他看來,Chrome 保存密碼的策略是瘋狂的。每次他向懂技術的人反映這個問題,得到的答複是這樣的:
- 用 1Pass
- 當別人直接接觸到計算機的時候,它已經不安全了
- 密碼管理就應該是這個樣子的
引用找一個不懂技術的人。借用他們的電腦。訪問 Chrome://settings/passwords,然後在密碼行那裏點擊“顯示”,看看他們會怎麽說。我打賭他們不會說,“密碼管理就是這個樣子的。”Elliott Kember 的文章在 hackernews 上獲得了很大關注,于是 Chrome 安全主管 Justin Schuh 也來回複了。
他說,Elliot Kember 完全是小白用戶的看法,他們花費了多年的時間考慮這個問題,並且有大量的數據支持這個決定,在他看來,如果有人入侵了你的係統用戶賬號,即使再多的安全措施也是無用的。密碼加密的想法雖然出自好意,但是 Chrome 團隊不想給用戶安全的錯覺或者鼓勵危險的行爲。那不是他們處理安全問題的方式。
啊?
“安全的錯覺”?難道普通用戶會去設置裏了解明文保存的事實麽?如果 Chrome 明確提示說“密碼會以明文”保存,或許用戶不會有“安全的錯覺”,但在沒有更多提示的情況下,用戶反而會産生“安全的錯覺”吧。另外,根據 Google 工程師的邏輯,一旦壞人進了你的家門,所有的東西都有危險,所以任何櫃子都不要加鎖麽?古怪的邏輯,而且在現實中,安全問題一定是來自專業黑客麽?
我們不知道 Google 的天才工程師是否會改變想法。但是,如果你注重安全問題的話,趕快把保存的密碼全部删除,然後在 Chrome 提示你保存密碼的時候,點擊“否”吧。
圖片來自 pcworld
資料來源:ifanr