我最近安装了 Firefox,并意识到它能够成功导入存储在 Chrome 中的所有密码。
我一直在 Chrome 中使用同步密码,我希望它以这样一种方式存储密码,使 PC 中安装的任何其他软件都无法读取密码。至少 Google Chrome 社区是这么说的。毕竟,Firefox 只是安装在同一台 PC 上的另一个软件,如果它可以读取我的密码,那么任何其他软件都可以这样做。
但是,当我尝试使用 Google Chrome 查看密码时,它要求我输入 Windows 密码。它给了我一些虚假的安全感吗?给我一种密码被加密的印象?
Firefox 是如何从我的 Chrome 中读取所谓的“加密”密码并将其存储在其数据库中的?
这是 Chrome 中的错误吗?
我今天在 Windows 10 PC 完全更新的 PC 上使用了最新的 Google Chrome。
用户空间中的加密通常通过将密钥存储在加密的钥匙串(OSX 中的钥匙串、Gnome Keyring、KDE 钱包、微软在 Windows 中使用的任何名称......)中来工作。此钥匙串由自定义密码或更传统地由您的用户密码锁定,因此每当您登录时,您的系统都会自动解锁它。
这几乎就是@deviantfan 在上面的第三条评论中所说的。其他用户无法查看您的密码,除非他知道您的用户凭据能够以您的身份登录,或者如果钥匙串接受自定义密码(Gnome 钥匙圈和 KDE 钱包可以)解锁钥匙串的主密码。
那么,为什么 Firefox 可以读取 Chrome 的密码呢?因为本地密码管理器在您登录时已解锁。我不确定您是否可以反过来(尚未尝试)。如果您使用主密码锁定 Firefox 的密码,您可以将它们导入 Chrome 吗?除非您在导入过程中输入密码,否则不应该这样做。
编辑
您可以在以下链接中获得更多信息,Chrome 的安全教学负责人对此进行了解释。https://news.ycombinator.com/item?id=6165708