许多浏览器扩展程序和插件要求访问“我的所有数据”（在Chrome和Firefox中；我不会在Internet Explorer上发表评论）的情况越来越多。

我想知道当我访问这些插件和插件时是否有可能访问我的银行数据，或访问通过表单提交的数据。

插件的安全性意味着什么？

这篇文章仅适用于Firefox和Chromium / Google Chrome。我无法在Internet Explorer，Opera或移动浏览器上发表评论。另外，我的数学进一步深入可能是错误的，但基本思想是正确的。

当然，对于Firefox和Chrome / Chromium，这是不可能的。

我的密码（存储在浏览器中）是否安全？

这个答案是我的最爱之一：视情况而定。浏览器保存的密码需要满足一个重要的要求，并且从安全的角度来看，它是噩梦般的状况：它们必须是纯文本或可恢复为纯文本的。

纯文本与加密与哈希

为什么这么糟？好吧，假设有人闯入服务器并窃取了密码数据库。有两种可能的结果：

1. 密码是纯文本的（或易于逆转的），因此，破解者现在可以完全访问所有帐户。
2. 密码是经过哈希处理（或加密）的，有必要对哈希进行蛮力攻击以获取密码并访问帐户。即使您的用户名和密码被盗，您的帐户仍然安全。

由于浏览器需要能够将密码发送到网站，因此它不能对密码进行哈希处理，只能对其进行加密（甚至将其存储为纯文本）。这是始终要记住的事情（电子邮件客户端，聊天应用程序等也是如此）。

仅仅因为它被加密并不意味着它是安全的

Firefox默认情况下允许您保存密码。它还会加密它们。铬也是如此（请参阅附录“嗯，这取决于...”）。问题在于解密密钥也与密码一起存储。这给想要您的密码并且不会以任何方式阻止它们的人带来了轻微的麻烦。

然后，不要将密钥和密码一起存储！

没错，为了使密码更安全，我们需要使密钥脱离加密的密码。这是在Firefox中通过设置“ 主密码”完成的，然后将其用于加密和解密所有密码。通过使用这种技术，您可以将密钥与加密数据分开，这始终是个好主意（毕竟，您不是将前门钥匙保持在门外的挂钩上，对吗？）。

密码仅与您设置的密码一样安全

那么，为什么我刚才说您的密码现在更安全而不是安全了？因为现在密码的安全性取决于您选择的密码。也就是说，无论如何都不认为密码“ asdf”是安全的；都不是“ 12345”。好的密码很长，因为强行使用它们需要花费大量时间。尽管密码“ VioletIsAnotherColor”的长度很长，但密码上的“ VioletIsAnotherColor”在技术上比“ D0！l4riZe”更安全，尽管第二个密码包含特殊字符。让我们简短地看一下。

“ VioletIsAnotherColor”
长度：20
可能的字符：52（26个小写字母+ 26个大写字母）

“ D0！l4riZe”
长度：9个
可能的字符：77（26个低位+ 26个大位+10位数字+ 15个特殊字符）特殊字符
：！“ @ $％＆/（）=？* +＃-

那么，我们需要知道密码的字符集和长度多少次才能破解这些密码？

“ VioletIsAnotherColor”
52 ²⁰ =〜20 decillion（〜2×10 ³⁴）

“ D0！l4riZe”
77 ⁹ = 〜95 万亿（〜9 ×10 ¹⁶）

正如我们所看到的，尽管字符集较宽，但后者的密码比有限的长密码更容易被暴力破解。这是因为长度。（另一个好处是第一个更容易记住。）有关此问题的详细信息，请参阅此IT安全性问题。

因此，请尽可能使用密码而不是密码。

回到主题上，我的密码在一个欺骗性插件上有多安全？

他们不是。这是因为插件可以访问您刚刚访问的网站。他们可以从中提取信息，包括输入的密码。与其他已安装的软件一样，附加组件也存在安全隐患。仅安装您信任的插件。

大！我怎么知道

仅从您信任的来源安装插件。对于Firefox，它是“加载项”页面，对于Chromium，则是Chrome网上应用店，或者如果您信任作者/发行者。两者都确保已检查加载项并且安全。

无论是Mozilla的附加元件页面，也不是Chrome网上应用店都保证以任何方式，插件是安全的。他们采用自动审查流程，可能会或可能会捕获恶意插件。归根结底，仍然存在风险。

仅从您信任的来源安装插件。

等一下; 您刚才提到其他已安装的软件吗？

当然！没有什么可以阻止其他已安装的软件从浏览器中获取密码，进行中间人攻击，甚至提供欺骗您银行网站的代理服务。浏览器插件也是如此。经验法则是：不要安装您不信任的软件。

结论

您应该从中拿走什么？

• 切勿安装您不信任的软件/插件/附件。
• 如果仍有疑问，请设置主密码。
• 如果仍然有疑问，请不要使用密码信任浏览器，不要保存密码。
• 如果仍然有疑问，请不要安装任何插件/插件。
• 如果仍然有疑问，请使用不受影响的实时系统。

附录：“嗯，这取决于...”

据我了解，本段中的假设并非100％正确，我想对此进行更正。以下信息仅适用于磁盘上密码的存储。

Google Chrome /铬

实际上，它确实以安全的方式将密码保存在磁盘上，具体取决于其运行的操作系统：

微软Windows

Microsoft Windows API CryptProtectData/ CryptUnprotectData用于加密/解密密码。此API与您的OS帐户密码一起使用，因此仅与该密码一样安全。

苹果系统

MacOS层根据当前用户的钥匙串密码生成一个随机钥匙，并将该钥匙添加到钥匙串中。同样，这仅与用户密码一样安全。

的Linux

好吧...别说了。

好的，如果您必须知道，它完全符合我的假设：它使用硬编码的密码存储数据。为什么会这样呢？原因很简单，因为没有通用的基础结构来处理到其他两个系统的加密数据。不，我不仅仅是说Linux缺乏加密系统或安全性，而是Linux。用户空间中有很多钥匙圈/钥匙串和密码存储解决方案。看起来，Chrome开发人员决定不使用其中之一。“为什么？” 这不是我可以回答的问题。

火狐浏览器

始终使用生成的密钥，该密钥与密码一起存储。例外是，如果您设置了主密码，那么也将使用该密码。