常用浏览器密码保存机制的安全问题

使用浏览器登录站点时,通常浏览器都会提示是否保存登录密码,有些经常访问的网站我们也不想每一次登录都要重新输入用户名密码,所以这是一个非常人性化的功能设计。

图片2

但是这项功能在方便的同时也带来了一些安全隐患。

选择了几款常用的目前最新或比较新版本的浏览器进行了测试。

首先看下浏览器的市场份额,这是统计的2016年5月份的全球市场份额。

2016年5月全球浏览器市场份额:Chrome继续一路高奏凯歌

1

壮哉大Chrome!

这是全球浏览器市场,对于中国本土来说还是有很大差别的,国内的很多浏览器基本都是用的IE、Firefox、Chrome等内核结合自身特色做出的产品,市场上很多是360浏览器、百度浏览器、qq浏览器、遨游浏览器等。但基本的内核和密码保存机制大同小异。

选择比较常用的几个有代表性的浏览器进行测试。

一、Chrome浏览器

(1)Chrome浏览器版本

图片1

(2)在浏览器路径中输入chrome://settings/passwords

图片3

(3)可以查看到浏览器已经保存的站点用户名和密码

图片4

(4)选择想要查看的站点,会有一个“显示”按钮

图片5

点击显示按钮,会提示输入系统的登录密码(没有设置登录密码的就直接GG了*_*)

图片6

(5)如果知道系统的登录密码,输入密码后就可以看到明文保存的密码,此时显示按钮变成隐藏

图片7

(6)但是如果我们不知道登录密码,这时候需要用到一个小技巧了,当然这个技巧很多人是知道的。

根据站点的登录路径我们点击来到登录点,此时登录页面会显示类似如下内容

图片8

这就是保存过密码后的登录页面,也就是说密码部分已经保存了,只是不能显示

(7)需要将password部分显示,选择密码部分,右键–检查来到程序源代码,找到password部分

图片9

然后将type=“password”修改为type=”text”,回车后就可以看到密码部分的明文了。

图片10

二、Firefox浏览器

(1)Firefox版本

图片11

(2)选择菜单栏中的 工具选项

图片12

(3)在打开的左侧选项卡中选择 安全

图片13

然后选择 已保存的登录信息

图片14

此时可以看到Firefox浏览器已保存的站点登录用户名信息

图片15

点击 显示密码 会出现一个确认提示,并没有像chrome那样需要输入系统密码等确认信息

图片16

选择 是  后就可以看到密码的明文返回了

图片17

(4)Firefox最坑的一个地方是有一个 导入 功能,虽然是非常方便的联系上其他浏览器,但是在此也加剧了Firefox的安全隐患

点击 导入 后,有几个浏览器可以选择,选择微软的edge浏览器(其他浏览器也可以)

图片18

在要导入的项目中选择 已保存的密码 

图片19

下一步后就可以看到以前保存在edge浏览器中的知乎登录信息导入到Firefox中了。

图片20

最坑的是导入过来后密码是明文可见的。

(5)Firefox的密码保存安全机制完全依赖于主密码的设置

图片21

这是在查看已保存密码之前的,默认此选项是关闭的,如果设置了主密码,则安全体系就变化很大了

图片22

设置好主密码后,点击查看 已保存的登录信息  时会要求用户输入主密码

图片23

输入密码进入后,点击 显示密码  需要用户再次输入主密码(*^*关键是同样的密码设置两层,有什么用呢*^*),再次输入密码后返回明文信息

图片24

 

Firefox采用主密码的机制来保存登录密码,而且密码是用户自己设置的,可以区别于系统登录密码,不至于全部沦陷,相对来说是比较安全的设计。

但是,这个主密码的选项默认是关闭的,需要用户自己去打开,并且引入了最蛋疼的导入其他浏览器数据功能,使得用一个Firefox就可以攻陷其他浏览器了,反而更加不安全了。

 

三、360浏览器

(1)360浏览器版本查看

图片25

(2)菜单栏中的 工具选项 

图片26

在左侧的选项卡中选择 高级设置 — 隐私与安全中的 清理上网痕迹设置 — 选择 管理保存过的账号和密码 

图片27

可以看到360浏览器保存的所有站点的登录信息(此处只有一个测试用站点)

图片28

点击 修改 可以查看到详细信息

图片29

(3)另外一种方法,360浏览器右上角有一个自带的登录管家,浏览器保存的密码可以直接点击查看

图片30

(4)用上边2或3的方法都可以找到保存的登录路径,浏览器中输入URL

图片31

然后用相同的方法修改属相type=password方法得到明文密码

 

四、Edge浏览器

(1)Edge浏览器版本

图片32

(2)右上角的 符号查看更多 — 设置查看高级设置 

图片33

选择 管理我保存的密码

图片34

可以看到edge中保存的登录信息

图片35

然后用修改type属性方法得到明文密码

图片36

五、IE浏览器

(1)浏览器版本

图片37

(2)选择 工具Internet选项 — 在 内容 一栏找到 自动完成 处的 设置 

图片38

点击 管理密码 选项

图片39

然后在Web域下查看保存的密码

图片40

点击 显示 时,会提示需要输入系统的登录密码

图片41

输入后会回显明文密码

图片42

若不知道系统密码,输入登录处URL,然后修改type属性查看就ok了。

图片43

 

六、总结

在实际的测试过程中,很多浏览器的密码保存机制和以上浏览器大同小异。

比如Opera浏览器基本跟chrome浏览器一样的方式,基于此,很多浏览器也就不一一演示了。

虽然这个浏览器密码保存机制看起来有些简单和技巧性,但是如果利用好的话也是很好的手段。

首先从方便性来说,很多登录很久的站点在另外一台机器上登录时忘记密码了,就可以找到以前经常登录的机器,在浏览器中查找密码,相当于当做密码管理来用。

另外,从安全性角度来说,还是有几种情况可以利用的。

比如,设想这种情景,内网搞到了某台电脑,查看有哪些可以利用的信息,可以查看一下他常用的浏览器,然后在保存密码的地方就可以看到他常去浏览的站点,可以了解这个人的一些爱好和性格等,对以后的进一步攻击也有好处。

另外一点,像是电商天猫、京东等如果要抓到用户登录的密码是比较难的,如果在信息传输过程中抓取,通常使用内网的ARP欺骗,建伪基站等,传输协议使用https,所以抓取到的数据也是经过加密的,如果得到了目标的主机权限,可以在浏览器中查看保存的登录信息,可能就会找到电商等敏感站点的登录账号和密码。

还有一点比较可能的情况是,同事或同学开着电脑,中途出去,电脑也没有锁屏,这时就可以接管过这台电脑,然后查找浏览器中保存的登录站点信息,相信我,肯定会有很多收获的(*…*)

所以,因为这项技术没有多大的难度,在平常使用电脑时,如果要出去需要锁屏,没有设置登录密码的就呵呵了(赶紧去设置密码呀),比较敏感重要的登录站点,如天猫、京东、管理系统等最好是不要设置成记住登录密码。比较重要的业务系统在退出时需要删除访问记录、cookie、登录密码等。

 

 

您可能还喜欢...