关于 Windows 密码和 Chrome 的“记住密码”功能

信息安全 密码 网页浏览器 密码管理 铬合金
2021-08-22 03:45:56

谷歌 Chrome 浏览器通过提示用户记住他们的网站密码来帮助密码管理。可以从浏览器的“设置”菜单访问这些保存的密码,为此,Chrome 会要求用户输入 Windows 密码。我知道这是为了提供更多安全性。

我在某处读到 Windows 密码是使用 NTLM 散列进行散列的。为了在 Chrome 中查看保存的密码,我必须提供我的 Windows 密码,这很好。我相信 Chrome 必须使用我的 Windows 密码加密保存的密码。

现在的问题是 Chrome 如何在不提示我输入 Windows 密码的情况下自动使用保存的密码填充网页。Chrome 如何解密保存的网站密码?这真的很令人困惑。

我的 Windows 密码是否没有经过哈希处理,Chrome 是否可以访问它来解密保存的密码?或者 Chrome 是否在没有任何加密的情况下以明文形式保存密码?

1个回答

在 Windows 上,您的 Chrome 保存的密码是使用 DPAPI 加密的。这种机制最终会从您的 Windows 帐户密码中派生出一个密钥,以确保数据安全,因此一旦您登录,依赖此存储的应用程序就可以解密数据。

因此,Chrome 根本无法访问您的 Windows 帐户密码。它依赖于您登录后能够访问解密的密码数据以填写表单的密码字段这一事实。如果您尝试查看您保存的密码,因为显然有非常敏感的数据,您输入了您的密码,Windows 会验​​证它是否正确,以更好地确保不仅是您登录,而且您正在登录此刻正坐在你的电脑前,因为你是唯一应该知道那个密码的人。因此,在这一点上,它实际上并不需要密码来解密数据,它只是一种安全措施,可以帮助保护您的密码不被随意窥探。

其它你可能感兴趣的问题
上一篇nginx 推荐 ssl_ciphers 下一篇单独的 Internet 连接是否会提高远程用户的安全性?