浏览器记住密码的隐患

 

当你在登录网站时,你是否习惯浏览器IE或者FireFox记住你的密码?即便是自己的个人电脑这样做也是很危险的,密码信息将很容易被他人窃取。

IE Passview 可以查看IE记住的所有密码.下载基地: http://www.nirsoft.net/utils/iepv.zip

运行IE Passview,你将看到IE中所有的被你记住的密码:

 

FireFox则可以不用第三方工具直接查看记住的密码. 点击菜单工具>选项,选择安全选项卡,选择记住密码按钮,点击显示密码按钮,你将看到所有的被你记住的密码:

工具能查看记住的密码,黑客和后门程序也能窃取你记录的密码。建议用户禁止浏览器记住密码的功能。

FireFox禁止记住密码:菜单工具>选项>安全选项卡中去掉记住密码的复选框。

IE 禁止记住密码:菜单工具>Internet选项>内容>自动完成旁的设置按钮. 去掉用户名和密码复选框。

 浏览器记住密码的隐患_第1张图片

 

从黑客的角度讲,保存的密码也是容易被窃取的。

方法一、包装IE Passview,IE Passview支持命令行参数,黑客可以把它包装一下,将其释放到用户机器上,调用它导出用户保存的密码,然后发送到黑客手中。

方法二、IE 密码加密保存方式是已知的:登录页面url做密钥,利用Data Protect API (DPAPI)加密用户密码,将加密的数据保存在注册表HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\IntelliForms\Storage2中。所以自己写程序也可以实现IE密码的导出。参考:http://www.passcape.com/internet_explorer_passwords

安全建议:

OWASP 建议网站设计者应该禁止浏览器保存用户登录密码,实现方法如下面的HTML 标签。

<INPUT TYPE="password" AUTOCOMPLETE="off">

有了AUTOCOMPLETE属性的输入框,IE就不会记录密码了。Yahoo登录页面也就是这样的。

 

你可能感兴趣的:(autocomplete,浏览器,IE,firefox,passwords)