现代浏览器基本都具备密码保存功能,设计初衷是方便用户存储密码,自动填充表单,在易用性上自然不言而喻,但同时部分浏览器密码储存方式简单,安全性让人担忧。
关于这一块,曾经在github上发现一个HackBrowserdata项目,能直接导出浏览器上保存的明文密码。其实这类工具,Nirsoft早就开发过的:WebBrowserPassView,开发者在今年发布了更新版,随意顺带下来又体验了一下。
最新的版本可以直接查看谷歌浏览器保存的明文密码~
这工具简单暴力,运行后自动显示它支持的浏览器上所有已保存的账号和明文密码,同时可以全部导出。用的是最新版的谷歌,密码全部可见,这结果真是让我感到有些后怕。
这工具唯一存在的作用,大概就是告诉你:别把重要密码保存在本地浏览器中~
https://www.nirsoft.net/utils/web_browser_password.html
https://www.nirsoft.net/toolsdownload/webbrowserpassview.zip
--------------------------------
HackBrowserdata,绕过验证,获取浏览器中保存的密码和历史记录的工具
最安全的方式便是永久记忆在大脑中,不需借助任何工具。
不过,事实上情况是即便像阿刚这样几乎记忆了所有网站密码的极端者,日常使用过程中还是要借助浏览器自带的功能帮助自动填充密码,久而久之便形成了依赖,对于一些非重要的密码早已忘却。那么,存储在浏览器中的密码是否是安全的呢。关于这个问题,阿刚确实有过一阵的研究,从早些年猎豹浏览器、火狐浏览器再到现在的Chrome谷歌浏览器,确实存了不少网站的密码,大多数浏览器将密码保存在本地的数据库文件中,并且采取了一定的加密手段,其中火狐的安全性最差,因为明文密码可直接查看。
Chrome浏览器加密最为严谨,要在浏览中查看或者导出明文密码需要验证Windows登录信息,本地存储的密码数据库文件也是经过加密的,无法被轻易破解。
HackBrowserData,一款全平台可获取浏览器保存的密码和历史记录的工具
逛Github时偶然发现的一款的工具,说实在的在github中所谓的获取浏览器密码的工具不在少数,我也尝试过几款,对于新版的Chrome或者要绕过Windows验证的密码几乎是无能为力的,初次看到HackBrowserData的介绍,也是不以为意的。
HackBrowserData是一个解密浏览器数据(密码|历史记录|Cookies|书签)的导出工具,目前支持全平台包括Chrome、火狐Firefox、Microsoft Edge、360、QQ等主流浏览器。
HackBrowserdata使用非常简单,在Windows中直接双击运行,程序会自动获取系统中已安装并受支持的浏览器的相关数据,主要包括书签、浏览记录、cookies、保存的密码,所生成的结果保存在results文件夹中。
你可以通过文本编辑工具直接查看这些数据,拿密码数据来看,阿刚测试下来的确可以获取到最新版的Chrome浏览器中保存的各种网站登录密码,不过有效率不高,只有少量的几个站点密码能导出。而测试下来的最新版的360极速浏览器则是全军覆没,只要你保存了密码,能一次性全部导出,毫无遗漏~
除了密码外,Cookies也是即为重要的数据,它保存了浏览器登录各种网站的状态,也就是说拿到cookies是可以直接通过它来登陆目标网站的,这个大家在用各种第三方百度网盘工具时应该多少有些了解,原理是相同的。
至于浏览器的书签和历史记录,此本身就是公开的数据,所导出的文件十分准确的还原了这些数据,尤其是历史记录详细列出了访问的网站以及访问次数。
小结:
浏览器的明文密码本身就可以直接通过浏览器查看的,关键的关键是必须拥有用户密码,而hack-browser-data强就强在可以直接绕过验证直接导出明文密码,这个真是非常厉害了。
项目地址:https://github.com/moonD4rk/HackBrowserData
------------
LastPass,安全的密码管理工具
不知道大家在了解过这款工具后作何感想,可能有些同学不以为然。细想下,假设有人能接触到你的电脑,可能插个U盘或者不良之人重编译此工具后加入后门程序通过邮件散发出去,后台偷偷发送用户的浏览数据,这到底是怎样可怕的一件事,要知道为了图省事,不少人都是直接将密码保存在浏览中的。
为了应对此种问题,解决办法说来也简单,重要密码不要保存在浏览器中,一定要学会为自己建立个个性的密码创建规则,方便你记忆重要的密码。除此之外,如果图方便要用自动填充,一些专业的密码保存工具或插件也可以考虑,比如1Pasword、LastPass等。
LastPass 是一款全平台的密码管理器,它支持Win+Linux+Mac+ios+Android,在桌面端通过浏览器插件,可一键保存你的各种重要密码,使用时能够智能识别表单,快速填充密码。
作为一款在国际上屡获殊荣的密码工具,LastPass采用了AES256 与 PBKDF2「哈希算法」加密技术加密并存储你的密码信息,无论是本地还是在云端,最大程度上保障你的密码安全,你所需的仅是注册一个用于身份验证的主密码。
LastPass自动填充
LastPass拥有一个密码数据库,相当于你的密码仓库,在这里存储了你各个网站保存的账号密码,你也可以手动添加各种类型的密码信息,例如信用卡、数据库、服务器密码等。
LastPass提供免费和收费版插件,一般免费版也是足够使用的,一直用着免费版,这些年大部分密码均保存在了LastPass中,收费版则提供了诸如桌面指纹识别、家庭共享文件夹、硬件验证、1GB 加密文件储存等更多的高级功能。
最后总结
密码安全相当重要,日常工作学习中,切勿一条密码走天下,稍微花点心思为自己创建一个个性的密码生成规则,永远记忆在大脑中才是王道。
不建议图方便将重要密码存在浏览器中,至少HackBrowserdata这样的工具可轻松获取,应该引起我们的警惕。
官网:https://www.lastpass.com/
No comments:
Post a Comment