|
目前大多數(shù)主流瀏覽器都具備一定程度的密碼管理機(jī)制���,但把密碼交給它們真能高枕無(wú)憂嗎�����?讓我們一起探個(gè)究竟���。
讓網(wǎng)絡(luò)瀏覽器保存自己的密碼以及信用卡賬號(hào)信息當(dāng)然很方便,不過(guò)其中也潛伏著極大的安全風(fēng)險(xiǎn)�����。風(fēng)險(xiǎn)的嚴(yán)峻程度取決于我們所使用的瀏覽器的種類�����、我們是否將內(nèi)容同步至其它設(shè)備以及我們有沒有使用瀏覽器提供的額外安全功能�。在本文中,我將帶大家一同看看目前人氣最高的數(shù)款主流瀏覽器--包括IE���、谷歌Chrome以及Mozilla火狐--中的一系列安全漏洞�����,并探尋如何彌補(bǔ)這些薄弱環(huán)節(jié)�����。
常見安全風(fēng)險(xiǎn)
把密碼保存在瀏覽器中的最大問(wèn)題在于窺探私密信息的眼睛無(wú)處不在���,除了其他能夠登錄我們電腦賬戶并查看密碼或者信用卡數(shù)據(jù)的用戶之外����,還有很多惡意人士正潛藏在暗處�、打算一舉盜走我們計(jì)算機(jī)、智能手機(jī)或者平板設(shè)備中的敏感信息���。另外�����,如果我們?cè)趤G棄陳舊計(jì)算機(jī)是沒有及時(shí)清除磁盤中的內(nèi)容����,同樣的風(fēng)險(xiǎn)總會(huì)再度出現(xiàn)��;無(wú)論是這些設(shè)備落在誰(shuí)的手中�����,一旦信息被恢復(fù)原狀��,我們的安全必將遭到威脅�����。與此同時(shí)�,某些病毒及惡意軟件也會(huì)以無(wú)孔不入之勢(shì)占領(lǐng)我們的設(shè)備,并將密碼或者信用卡信息劫持而去����。
相信大家一定注意到了,很多銀行網(wǎng)站及其它一些處理高度敏感信息的站點(diǎn)都會(huì)建議我們千萬(wàn)不要把密碼保存在瀏覽器當(dāng)中����。然而這還遠(yuǎn)遠(yuǎn)不夠,如果我們?yōu)榱耸∈露诟鱾(gè)賬戶中使用相同或者相似的密碼�����,那么其它非關(guān)鍵性賬戶在高危網(wǎng)站上的登錄同樣會(huì)威脅到數(shù)據(jù)甚至是經(jīng)濟(jì)安全�。舉例來(lái)說(shuō),如果我們的社交平臺(tái)賬號(hào)與銀行密碼一致���,那么一旦前者被盜���,相信信用卡中的款項(xiàng)也會(huì)很快被轉(zhuǎn)走��。
某些瀏覽器允許用戶(當(dāng)然也包括潛在的罪犯)查看我們?cè)谄渲斜4娴牡卿浶畔⒘斜��,包括目?biāo)網(wǎng)站����、用戶名及密碼等�。即使大家使用的瀏覽器不支持這項(xiàng)功能,類似WebBroswerPassView這樣的工具也能輕松根據(jù)cookie數(shù)據(jù)匯總出這樣一份列表���。當(dāng)然�,如果我們意外忘記了密碼或者打算對(duì)所有賬戶密碼進(jìn)行系統(tǒng)整理��,那么這類功能還是很有意義的����。不過(guò)一旦入侵者在我們的計(jì)算機(jī)上使用這些軟件,大麻煩就真的要來(lái)了��。另外����,我們(以及罪犯)可以利用BulletsPassView這類工具將瀏覽器登錄界面或窗口中原本以"星號(hào)"或者"圓點(diǎn)"顯示的隱藏密碼字符內(nèi)容顯示出來(lái),希望大家同樣保持高度警惕����。
在接下來(lái)的章節(jié)中,我們一起來(lái)看看目前裝機(jī)量最大的三種主流瀏覽器--IE 9���、Chrome以及火狐--并在評(píng)估其信息保存功能之余�����,討論如何改善數(shù)據(jù)的安全性���。
IE 9
在我們所提到的三款主流瀏覽器當(dāng)中,IE 9所提供的只是最基本的密碼保存功能�。它能夠自動(dòng)保存我們的用戶名、網(wǎng)址以及其它我們?cè)诰W(wǎng)頁(yè)或者搜索欄中輸入過(guò)的內(nèi)容�����。瀏覽器本身并不允許用戶查看所有已經(jīng)保存下來(lái)的密碼���,我們只有變更主設(shè)置及刪除自動(dòng)完成歷史記錄的權(quán)限����。
由于IE 9禁止用戶隨意查看保存在其中的密碼列表,所以能夠在一定程度上防止惡意人士的窺探���。即便如此����,我們?nèi)匀荒軌蛟诓槐卦俅屋斎朊艽a的情況下登錄各類賬戶���,惟一的區(qū)別在于登錄過(guò)程不會(huì)顯示密碼內(nèi)容�。然而正如前面提到的�����,惡意人士完全可以利用某些工具來(lái)強(qiáng)迫瀏覽器顯示密碼列表或者將保護(hù)機(jī)制下的隱藏密碼還原成可讀字符����。
遺憾的是,IE 9并沒有提供本地?cái)?shù)據(jù)同步功能�����,也就是說(shuō)我們無(wú)法將瀏覽器設(shè)置及保存的數(shù)據(jù)同步到多臺(tái)計(jì)算機(jī)或移動(dòng)設(shè)備當(dāng)中��。但話說(shuō)回來(lái),雖然在便利性方面有所缺失����,但這種局限倒不失為降低安全風(fēng)險(xiǎn)的好辦法�����。
將與Windows 8攜手登場(chǎng)的IE 10則帶來(lái)了全新的密碼保存及同步功能�,不過(guò)新瀏覽器上的改動(dòng)能否正確作用于Windows 7目前還不得而知。在對(duì)IE 10及Windows 8的發(fā)行預(yù)覽版進(jìn)行測(cè)試時(shí)���,我發(fā)現(xiàn)用戶可以利用控制面板中進(jìn)化版的證書管理器功能顯示并管理瀏覽器中保存的密碼��。而在安全性方面�,我發(fā)現(xiàn)要想查看瀏覽器中密碼的內(nèi)容����,用戶必須重新輸入Windows系統(tǒng)賬戶的密碼,這能夠有效防止惡意人士利用木馬窺探隱私信息���。
Windows 8同時(shí)還提供一項(xiàng)新的同步功能�,允許我們將應(yīng)用程序��、網(wǎng)站以及網(wǎng)絡(luò)端的密碼同步至其它環(huán)境--Windows設(shè)定及偏好設(shè)置信息除外--例如其它Windows 8計(jì)算機(jī)或者平板設(shè)備。出于安全考慮����,在將密碼同步到其它計(jì)算機(jī)或平板設(shè)備之前,我們必須先登錄到微軟網(wǎng)站并通過(guò)新設(shè)備審核����。如果之前已經(jīng)為微軟賬戶綁定了手機(jī)號(hào)碼,我們會(huì)收到一條確認(rèn)代碼�,正確輸入手機(jī)上的短信代碼才能完成權(quán)限核準(zhǔn)、進(jìn)而完成密碼同步工作����。
谷歌Chrome 21
與IE相比,谷歌Chrome瀏覽器擁有的密碼保存功能則顯得豐富許多�����,不過(guò)輸入內(nèi)容自動(dòng)記錄功能還是會(huì)令信用卡賬戶等信息面臨威脅���。沒錯(cuò)�,這樣能夠極大節(jié)約處理時(shí)間����、提高執(zhí)行效率����,但也把個(gè)人資金推向了風(fēng)險(xiǎn)之中��。
Chrome瀏覽器允許我們--或者惡意人士--查閱已經(jīng)保存下來(lái)的用戶名及密碼(按字母順序排列網(wǎng)站名稱)�,同時(shí)可以通過(guò)在搜索欄中輸入站點(diǎn)名稱快速篩選目標(biāo)站點(diǎn)。
為了保護(hù)隱私����,Chrome瀏覽器通過(guò)星號(hào)將密碼內(nèi)容隱藏起來(lái)���,但我們可以單擊對(duì)應(yīng)條目并選擇"顯示"按鈕來(lái)查看其實(shí)際字符���。我們當(dāng)然會(huì)定期變更這些密碼,不過(guò)遺憾的是Chrome無(wú)法檢測(cè)到密碼變動(dòng)��,因此我們?cè)谠L問(wèn)對(duì)應(yīng)網(wǎng)站時(shí)瀏覽器仍然會(huì)嘗試用錯(cuò)誤的舊密碼登錄��。要解決這一問(wèn)題��,我們必須點(diǎn)擊密碼保存選項(xiàng)并手動(dòng)進(jìn)行更新����。
用戶可以查看所有保存下來(lái)的網(wǎng)址及信用卡信息�,包括卡上的姓名��、賬戶號(hào)碼以及有效日期等��。Chrome會(huì)把部分信用卡號(hào)碼以星號(hào)加以遮蔽���,但我們?nèi)匀荒軌蛲ㄟ^(guò)單擊該條目并選擇"編輯"項(xiàng)來(lái)獲得完整的號(hào)碼內(nèi)容�。信用卡中惟一不會(huì)保存的信息是安全代碼�,這也算是最后一道屏障,畢竟很多網(wǎng)上交易(并不是所有)需要輸入該代碼�。
再來(lái)說(shuō)說(shuō)缺點(diǎn),Chrome瀏覽器沒有提供像火狐那樣的主密碼功能���,這樣我們就無(wú)法利用主密碼嚴(yán)密控制保存中的密碼及信用卡信息��。因此���,任何能夠登錄我們Windows賬戶的家伙都可以輕松查看上述全部敏感數(shù)據(jù)。
Chrome瀏覽器提供了一項(xiàng)同步功能�,用于在多臺(tái)計(jì)算機(jī)及設(shè)備上保存用戶的大部分設(shè)置及保存數(shù)據(jù)(包括密碼,但不會(huì)記錄信用卡信息)��,然而這又帶來(lái)了另一項(xiàng)安全漏洞���。在默認(rèn)情況下���,我們只要登錄谷歌賬戶�����,就能在其它計(jì)算機(jī)或移動(dòng)設(shè)備上完成Chrome瀏覽器中的數(shù)據(jù)同步工作�����。這當(dāng)然非常方便��,不過(guò)萬(wàn)一我們的谷歌賬戶密碼被惡意人士搞到手,這幫入侵者很可能會(huì)訪問(wèn)列表中保存的所有密碼�。要解決這個(gè)問(wèn)題,我們必須額外設(shè)定同步口令����,這正是接下來(lái)要討論的重點(diǎn)話題。
Chrome瀏覽器中的同步設(shè)定
為了在同步過(guò)程中保證密碼信息不受窺探�,Chrome瀏覽器會(huì)對(duì)所有從谷歌服務(wù)器傳輸至計(jì)算機(jī)或其它設(shè)備(反之亦然)的數(shù)據(jù)進(jìn)行加密。我們還可以通過(guò)變更瀏覽器設(shè)置來(lái)加密所有可能會(huì)被同步的數(shù)據(jù)����。
在默認(rèn)情況下���,Chrome會(huì)通過(guò)我們的谷歌賬戶密碼對(duì)同步數(shù)據(jù)進(jìn)行加密及解密,不過(guò)大家如果覺得這還不夠保險(xiǎn)����,也可以再輸入另一套密碼以策萬(wàn)全。在建立Chrome向新計(jì)算機(jī)或其它設(shè)備的數(shù)據(jù)同步任務(wù)之后�,我們還需要登錄自己的谷歌賬戶并額外設(shè)置加密密碼。
火狐 14
在今天的比拼中��,火狐無(wú)疑笑得最燦爛��,其密碼保存功能既使在當(dāng)前人氣最盛的Chrome面前依然堪稱獨(dú)步��。而且雖然火狐不支持將信用卡信息保存至本地�����,但這也在無(wú)形中減少了安全問(wèn)題發(fā)生的機(jī)率���。與Chrome瀏覽器一樣����,我們可以通過(guò)設(shè)置在火狐中查看�����、搜索并刪除已經(jīng)保存的密碼。
Firefox中保存的密碼
盡管我們無(wú)法在瀏覽器設(shè)置中變更密碼����,但火狐會(huì)自動(dòng)檢測(cè)到目標(biāo)網(wǎng)站端密碼與本地計(jì)算機(jī)中所保存密碼的差異,并在我們嘗試登錄該網(wǎng)站時(shí)詢問(wèn)是否需要更改口令��。
與Chrome不同���,火狐瀏覽器會(huì)要求用戶設(shè)定一條主密碼���,并借以加密并保護(hù)保存在本地的密碼列表。
火狐允許用戶設(shè)定一條"主密碼"�,借以進(jìn)一步提高安全性
在每一次瀏覽器會(huì)話中��,我們都需要在首次使用本地保存密碼時(shí)輸入一遍主密碼����。此外,既使我們已經(jīng)正確輸入過(guò)主密碼�����,也可以在火狐瀏覽器選項(xiàng)中進(jìn)行設(shè)置,確保之后每一次與本地保存密碼有關(guān)的操作都會(huì)強(qiáng)制要求用戶再輸入一遍���。這是一項(xiàng)堪稱偉大的功能����,能夠有效幫助用戶避免惡意人士對(duì)密碼的窺探�,甚至能夠逃過(guò)第三方工具的步步緊逼。
火狐瀏覽器同樣能夠?qū)⑽覀兊拿艽a����、設(shè)置以及其它已保存數(shù)據(jù)同步到多臺(tái)計(jì)算機(jī)及其它設(shè)備當(dāng)中。
這與Chrome瀏覽器的功能相似��,但火狐在默認(rèn)狀態(tài)下就會(huì)加密全部而不僅是密碼類同步數(shù)據(jù)����。除此之外,通過(guò)火狐同步賬戶也能讓信息在向計(jì)算機(jī)或其它設(shè)備的傳輸過(guò)程中更加安全����。大家既可以在新設(shè)備上輸入已經(jīng)設(shè)定好的密碼,也可以從某臺(tái)舊設(shè)備中提取恢復(fù)密碼并在登錄火狐同步賬戶之后將其輸入新設(shè)備當(dāng)中����。
總結(jié)
IE 9的特性有助于防止惡意人士的恣意侵襲--設(shè)置中根本就沒有已保存密碼列表這項(xiàng)--但它同時(shí)也沒能提供任何足夠先進(jìn)的安全功能�����。在這種情況下�����,攻擊者完全有機(jī)會(huì)利用我們的Windows賬戶及第三方工具來(lái)獲得密碼�����。
谷歌Chrome 21允許任何通過(guò)登錄Windows賬戶的人查看我們的已保存密碼列表及信用卡信息��,因此各位一定要小心再小心�����。如果我們不得不在多臺(tái)計(jì)算機(jī)及其它設(shè)備上同步瀏覽數(shù)據(jù)���,請(qǐng)務(wù)必對(duì)這些信息進(jìn)行嚴(yán)格加密,并通過(guò)設(shè)置自定義密碼進(jìn)行雙重防護(hù)����。
火狐14在默認(rèn)狀態(tài)下允許任何能夠登錄Windows賬戶的人查看我們的已保存密碼列表,但用戶可以通過(guò)創(chuàng)建主密碼來(lái)加密并保護(hù)這些敏感信息�����。另外���,如果大家需要使用瀏覽器中的數(shù)據(jù)同步功能����,那么火狐無(wú)疑是安全性最理想的選擇�。
在本文所評(píng)測(cè)的三款主流瀏覽器當(dāng)中,我個(gè)人選擇密碼安全性最好的火狐�,它的主密碼控制機(jī)制值得稱道。不過(guò)我也渴望在Windows 7和Windows 8系統(tǒng)上看到IE 10的最終版本�,希望屆時(shí)一切能變得更加嚴(yán)謹(jǐn)。
在文章的最后����,我準(zhǔn)備了一些額外的小提示,希望能夠幫助各位提高自己的密碼安全性:
- 絕不要在其他人的電腦上保存密碼或同步瀏覽器數(shù)據(jù)�。
- 嘗試在每個(gè)網(wǎng)站上使用不同的密碼內(nèi)容--至少網(wǎng)銀及其它涉及敏感信息的賬戶得做到這一點(diǎn)。
- 使用密碼保護(hù)自己的Windows賬戶���。
- 為每位用戶創(chuàng)建獨(dú)立的Windows賬戶--如果不能�,至少要給那些你不信任的家伙設(shè)定限制。
- 如果家人或朋友要使用我們的電腦�����,讓他們通過(guò)來(lái)賓賬戶登錄�����。
- 選擇一款優(yōu)秀的殺毒軟件并保持及時(shí)更新���。
- 一定要對(duì)自己的筆記本電腦����、上網(wǎng)本以及移動(dòng)設(shè)備進(jìn)行全方位加密��。
- 在日常工作中引入第三方密碼管理服務(wù)����,例如LastPass或者KeePass等。
本文出自:億恩科技【mszdt.com】
服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商����!15年品質(zhì)保障!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國(guó)服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
