商周

啟動成功關鍵,隨時掌握商周.com最新資訊

提供第一手新聞解析、財經趨勢、專屬活動

已加入收藏
已取消收藏
熱門關鍵字
熱搜內容
現正閱讀
千萬別在Chrome上儲存密碼!3秒就會被看光光
畫重點
段落筆記
新增筆記
「請稍等」英文別直接中翻英說please wait a minute!一次掌握,常用的電話對談英文
0
/500
不公開分類 公開分類
儲存

財經 | 產業動態

千萬別在Chrome上儲存密碼!3秒就會被看光光

撰文者:楊博皓
科技報橘 2013.08.09

來源:Robbert van der Steeg@Flickr, CC BY-SA 2.0

本文獲科技報橘科技報橘授權刊登,原文出處

警告:以下內容請不要太早分享給你的同事、爸媽、前男友或前女友。

英國知名部落客Elliot Kember先前在網誌上表示,他在換瀏覽器的時候,發現了Chrome瀏覽器一個疑似安全漏洞的設定。這個設定對許多健忘的人來說是一種方便,但是可能也給了有心人士不少方便。不過,雖然這篇的主角是Chrome,但經過我的實際測試,Firefox 瀏覽器也有幾乎一樣的漏洞,Firefox使用者也可以參考參考,將就將就。

廣告

強制匯入密碼紀錄?

在進入最驚人的部分之前,先來看看Elliot遭遇到的奇事。由於他本是Safari 的愛用者,因為某些原因得改用Chrome,但當他在設定匯入書籤與其他功能時,卻發現:

Chrome竟然強制匯入密碼!而且都這麼強制了,還留一個不能取消的選項框框是哪招?

廣告

忘記你的密碼了?給你看看你的密碼紀錄。
駭客也忘記你的密碼了?那也給他看看你的密碼紀錄

接下來,就是最嚇人的地方了,Chrome 會自動記錄你的密碼,一字不差的「SHOW」出來。當然,一定早有許多Chrome愛用者知道這個功能了,但是,在《TO》編輯群們發現可以拿來做哪些可怕的事情之後,我還是覺得毛骨悚然。

不過,這個功能的前提是得登入 Google Chrome--以「Google 帳戶」登入Google Chrome,即可在網路上儲存個人化的瀏覽器功能,而且使用別台電腦也能套用您的Google Chrome設定,使用自己的書籤、應用程式、記錄、密碼及其他設定。

每當我們用自己的電腦進入需要登入的網站,都會習慣性地讓瀏覽器「記住密碼」。至於我們為什麼願意讓瀏覽器記住密碼?因為我們相信,那些化為圓點點的密碼,除了自己與瀏覽器以外,不會有任何人知道或看得到真實的面目。但是 Elliot 在設定密碼記憶功能的時候,卻發現了Chrome 的「開放」:

Chrome使用者們,要是你們前往「設定」、「密碼和表單」點選「管理儲存的密碼」(或直接在網址貼上chrome://settings/passwords),你會看到類似以下的畫面。

那個「顯示」是要幹嘛的呢?呵呵,該不會是我想的那樣吧?呵呵。不用害怕,奮力地給他按下去!

沒錯,你的密碼就這樣赤裸裸地顯示出來了,比裸婚還裸。不只你本人的,你的舊情人、兄弟姊妹、爸媽或同事等等,只要曾經用過你「記住密碼」的電腦,或用過你的Chrome登入過任何網站的可憐蟲,他們的密碼都會被你看光光。

但同樣的,他們也可以在借用你電腦的時候,進去「設定」裡看所有你曾經選擇「記住密碼」的密碼,你的密碼就如同儲存在桌面上一樣,跟大家說:「歡迎來盜我帳號密碼。」

還不懂這有多嚴重嗎?讓我告訴你個例子。

有位不願具名的消息來源透漏,他的朋友在某間知名媒體實習時,在一台電腦的Chrome登入了自己的帳號。在實習結束後,他發現同事的各種帳號密碼不斷地出現在他的Chrome裡,刪掉了還會再跑出來,因為他在那台電腦的Chrome瀏覽器帳號,始終沒被登出。也就是說,只要有人一用那台電腦的Chrome儲存密碼,立刻同步到他的Chrome裡。

要不是消息來源和朋友都是正直人士,否則他們大可以進去該媒體後台,享有編輯權限;也可以登入那些人的 Facebook,把還沒回覆的交友邀請通通按「確認」;抑或是利用那些人的粉絲頁管理權限,在粉絲專頁裡胡亂 PO 文。當然,這些都是犯法行為。

Chrome是故意的,而且搞技術的都覺得沒什麼

說實在的,我剛提到的那些可能也不算什麼,我也常常亂拿朋友的 FB 發出櫃動態嘛。但是,要是讓厲害的工程師或駭客來,說不定可以搞出一些植入木馬程式、竊取高層個資之類的大絕,不是嗎?

Elliot 也提到,每當他跟搞技術的朋友提幾這件事,他們回答的不外乎是:

1. 用1Password就好了啊

2. 當你一開始讓別人使用你的電腦,就已經不安全了

3. 密碼管理不就是這樣嗎?

他們的回答也有道理,我想他們的意思是:對駭客來說,根本不需要。

看你的設定就可以知道你的密碼了。Elliot 的回答也很絕:

「好啊!那要是你去找一個不懂電腦技術的一般人,在他面前打開設定然後讓他看看他的密碼有多麼暴露,你覺得他會回『密碼管理不就是這樣嗎』?」

Elliot 在網站Hacker News發表了對這件事的看法,獲得了Chrome安全部門的頭頭Justin Schuh的回應,部分翻譯如下:

這個顧慮是不必要的,我們已經衡量了很久,也有一些數據支持我們的立場。即使你是這麼的用心良苦,我必須指出,你的建議(對使用者密碼加密)並不能帶給使用者更多的安全。我們的作法並不是給他們「虛假的安全感」,以及鼓勵危險行為。

好吧,我懂他的意思,可是Chrome,這麼說吧,即使每個職業小偷都有萬用鑰匙,我家還是會鎖門啊!現在的問題是,你明明是我家的保全,卻讓經過我家的路人都有機可乘?實在沒道理。

解決辦法

你可以選擇繼續信任你的瀏覽器,也可以對自己的隱私與安全採取行動。其實很簡單,那就是去設定裡取消自動填入密碼,並且不要做出把密碼記錄在手機裡、放在桌面上之類的蠢行為。除此之外,最根本的解決辦法,就是不要登入Google Chrome,將你儲存在帳號裡的密碼全部取消之後,登出Chrome,這樣以後即使儲存了密碼,也不會再別台電腦上出現了。

好啦,如果你就是那麼愛登入,請謹守最後一道防線:不要在別人的電腦登入,好嗎?至於其他愛用你電腦,又愛按「儲存密碼」的人,那你就天天登入他的Facebook幫他發出櫃文好了。

我在第一段有提到Firefox是吧?Firefox也有差不多的記憶密碼功能,差別在於不用登入就可以看到,但是也只會記錄在你的電腦裡。即使如此,你要將電腦借別人用的時候,還是得先把密碼紀錄表單刪除掉。相對於Chrome只需登出就不會顯示,登入後又保有密碼紀錄,比較不方便一點。

關於資安,除了用其他人電腦時多多使用「無痕視窗」,如果你想要採取更全面的行動,可以參考我之前分享的這篇〈從駭客、女友與爸媽手中奪回隱私權的大絕十招!〉。

下滑載入更多報導
密碼 chrome 密碼 帳戶 Chrome Firefox
科技報橘
TechOrange

TechOrange,專門追蹤全球網路產業的科技網誌。提供網路創業者、行銷人員、媒體人員關於網路的資訊與知識是我們的任務。文章輕薄短小,吸收科技新知沒負擔,每天大概花吃顆橘子的時間來瀏覽就夠了。

廣告
留言討論