Answers:
鲍勃的回答中指出的观点都是正确的,因此我不会再赘述。但是,我认为一些额外的信息可能也对某些人有所帮助,因为您的问题是一个令人担忧的问题。
Opera的魔杖功能可让您指定Preferences > Advanced > Security > Ask for password诸如“每次会话一次”(如Bob正确指出的那样,会限制您的安全性),“每x分钟/小时”(如果您不输入,则每次一次)的频率要求不用摆弄.ini文件,您可以自定义频率)和“每次都需要”(显然是最安全的选择,因为在您的浏览会话期间密码不会存储在内存中)。我不使用Firefox,但可以想象某个地方有类似的扩展名。
Wand数据以一种wand.dat无需使用主密码即可轻松解密的格式存储在一个名为等待的文件中。如果您确实使用主密码,则使用随机组件对该主密码进行加密,并使用当前使我不知所措的算法对您的主密码进行加密(不过应该很容易查找)。
如果您对安全性比一般登录更为重要的网站使用密码,则可以选择不保存密码。
Opera中的私有标签(或其他浏览器中的等效标签)使您可以将该标签的会话数据与“常规”标签中的数据分开存储,这可以增加另一层安全性。
Chrome及其衍生产品中使用的安全模型(即在单独的线程中将每个标签沙盒化)可为您提供更大的安全性。
您可以定期防止键盘记录器受到攻击,例如:
总结一下:
浏览器的安全级别和登录级别在很大程度上取决于您。
如果有人非常熟练和机智的,他们也许可以在您的数据获得最终尽管所有上述措施,但它会令你的浏览器的数据更加安全,并会提高复杂程度,以显著破解它需要的。
如果您的计算机上装有恶意软件,则可以认为没有任何密码是真正安全的。即使是加密的密码(例如KeyPass数据库),只要您输入解密所需的详细信息,攻击者就可以检索您的密码。
浏览器通常不会非常注意已保存密码的安全性,至少不会使用默认设置。
假设您收到一个木马,它会从您的PC中窃取数据。木马可以通过浏览器解密存储的密码并使用它们吗?
一句话:是的。浏览器通常不加密记住的密码,因此可以轻松读取它们。无论如何,使用存储的密钥进行加密都是没有用的:如果浏览器能够解密它,则在同一台计算机上运行的其他程序也可以执行相同的操作。
我对Firefox最熟悉,所以我会继续讲下去。
Firefox允许您设置“主密码”。如果这样做,它将使用主密码对存储的密码进行加密。但是,为方便起见,每个会话只需使用此主密码登录一次。登录后,解密保存的密码所需的信息将存储在内存中,并且可以访问。一种更安全,更麻烦的方法是,每次Firefox需要查找保存的密码时都要求输入主密码。
即使已保存的密码已完全加密且完全不可访问,也必须在某些时候解密并输入Web表单。这意味着将未加密的密码保存在内存中。实际上有相当多的“ 星号 探宝设计抢了内存的密码的,那么,他们透露”计划。恶意软件理论上可以做到这一点。
恶意软件还可以记录您的登录信息,从而使攻击者可以检索您键入的任何密码。
有跨主流浏览器(IE,Chrome浏览器,FF)的密码安全的一个非常深入的研究在这里。总而言之,Chrome和IE10都依赖于Windows的加密例程,该例程被认为是强大的。但是,它们不能防止在同一用户下运行的其他程序,即它们对恶意软件没有用。同样,任何执行程序(以管理员身份)都可以从内存或通过按键记录来获取信息。
当考虑到盗用已保存的数据以供以后分析的可能性时,例如,某人潜入您的计算机并抄袭您的计算机或窃取您的计算机时,加密方法最为重要。通常,所有现代浏览器在抵御这种形式的攻击方面都做得不错。再次建议使用具有良好密码的Firefox,因为可以通过登录Windows用户帐户来恢复Windows加密的数据,并且Windows密码不再是完全安全的。请注意,它们都无法阻止坚定的攻击者。
NirSoft提供了一个名为“ IEPassView”的工具,该工具可以使用密码解密Internet Explorer 8。Windows的系统信息可以执行相同的操作;只需单击顶部的键。
NirSoft为许多流行的浏览器(http://www.nirsoft.net/password_recovery_tools.html)提供了“密码恢复”工具-这些工具很好地证明了“概念证明”,表明内置密码存储并不安全。 。
Lastpass和类似的软件都是很好的便捷答案。尽管它们不能为您提供全面的安全性(您仍然需要做防火墙,防病毒等基本操作),但这是管理密码的好方法。另外,由于它存储在神奇的云中,因此您可以从任何地方访问它们(与某些本地软件不同,您必须将其存储在计算机中才能访问它)。