侵權投訴
訂閱
糾錯
加入自媒體
當前位置: OFweek 安防網   >   平臺軟件   >  正文

瀏覽器自動填充密碼真的不安全,很容易泄露!

2020-12-12 22:04
我的極刻
關注


從谷歌Chrome瀏覽器、獵豹瀏覽器再到360瀏覽器,密碼保護一個比一個嚴密。不管現在遠不能說瀏覽器密碼很安全,因為以上這些只能在物理層面防止身邊的人竊取密碼。事實上,身邊親人朋友很少會主動竊取賬號密碼,密碼泄露一般都是由于病毒或黑客攻擊。

▲ XSS 測試工具

小黑咨詢了一位從事軟件開發(fā)的朋友H君,他告訴小黑:“這種瀏覽器密碼太好破解了,通過跨站腳本攻擊就能搞定。瀏覽器記住密碼機制與表單自動填充一樣,攻擊者可以在自己的域放一個頁面,你的瀏覽器訪問后,會自動填充這個頁面的表單,比如Email、家庭地址、手機號等等,然后這個頁面的JavaScript就可以獲取到這些值了!

▲ 測試頁面

H君還告訴小黑:“普通的病毒木馬通過提高安全意識,安裝殺毒軟件就能解決,但是這種密碼自動填充都是明文密碼,殺毒軟件也幫不了!

▲ 解析JS 腳本

預防小技巧:如何關閉自動填充

既然瀏覽器自動填充密碼這么不安全,那我們就要想辦法去解決。最簡單直接的辦法就是關閉自動填充,在Chrome瀏覽器地址欄輸入“chrome://settings/”即可進入管理界面,點擊關閉提示自動保存密碼與自動登錄功能。

▲ Chrome瀏覽器關閉提示保存密碼

接著,可以將已經保存的密碼一個個刪除,這樣就能保證密碼萬無一失。刪除密碼雖好,但是小黑將近100個網站密碼,一時間根本記不住。好在小黑即使發(fā)現瀏覽器有密碼導出功能,可以一鍵將所有密碼導出到桌面,保存為csv 表格格式。以后,雖然在輸入網站密碼時麻煩不少,可總算可以保證密碼不會丟失。

▲ 谷歌Chrome瀏覽器可以導出密碼

在刪除密碼時,小黑還總結出一些經驗,在部分涉及隱私與工作相關的賬號,小黑選擇刪除自動填充密碼,在其他無關緊要的網站,比如虎嗅、36氪、IT之家這些科技娛樂類網站,小黑還是選擇自動記住密碼,只不過將密碼改成平時不常用的罷了。

▲ 獵豹瀏覽器關閉選項

<上一頁  1  2  3  4  5  下一頁>  余下全文
聲明: 本文由入駐維科號的作者撰寫,觀點僅代表作者本人,不代表OFweek立場。如有侵權或其他問題,請聯(lián)系舉報。

發(fā)表評論

0條評論,0人參與

請輸入評論內容...

請輸入評論/評論長度6~500個字

您提交的評論過于頻繁,請輸入驗證碼繼續(xù)

暫無評論

暫無評論

    安防 獵頭職位 更多
    文章糾錯
    x
    *文字標題:
    *糾錯內容:
    聯(lián)系郵箱:
    *驗 證 碼:

    粵公網安備 44030502002758號