谷歌浏览器自带了一个密码管理器功能,这个功能应该大家或多或少都应该有听说过或者使用过这个功能。
这个功能主要的内容就是,当用户在网页上输入了用户名,密码登陆或者修改密码表单提交时会触发自动保存密码这个功能。如果用户所使用的电脑不是公共电脑,就可以保存此密码。
在登陆页面表单中,谷歌浏览器会拉出自动表单,可以对页面自动填充,方便快速登陆。
可是,在有些情况下,并不想触发这个功能。主要有这两种:
1. 网站开发者不希望页面触发自动密码保存功能,可能的原因是认为自动保存密码不安全,网站提供了短信验证码等更安全的登陆方式。
2. 用户不想触发密码自动填充功能,因为有些页面被填充的实际上并不是用户名密码的表单。
目前的现状:
谷歌浏览器的开发者认为,密码管理器功能能够更方便的让用户在不同网站设置不同的密码,让浏览器来完成记住这个功能,而不需要用户主动记住这些密码,而用户的电脑一般是安全的。
网站开发者可能倾向于的观点:万一用户电脑中了病毒或者在电脑上打开了不明软件,软件是可以直接读取谷歌浏览器的密码的,所以不安全,希望禁用掉自动表单填充功能。
可能的安全隐患:
如果不让浏览器来记住密码,那么用户就需要自己来记住或者管理不同网站的密码,那么在设置密码的时候便会倾向于设置成相同或者相近的密码。在这种情况下,一旦一个网站的密码泄漏,或者这个网站的一个有恶意的维护人员获得了你的密码,就可以用同样的账号密码去试不同网站,那么你的账号信息就会泄漏。如果让浏览器记住密码,那么用户在不同网站设置的密码就可以完全不一样,甚至谷歌浏览器直接提供了右击-生成随机密码,这种选项,让密码管理器来管理密码。这种情况下,即使用户在一个网站上的密码泄漏了,在其它网站上的账户也能保证安全。
如果让浏览器来记住密码,可能的潜在风险是这样的。很大一部分用户不会对谷歌浏览器的密码管理器设置专有的密码,在这种情况下,一些软件运行之后,无需任何额外权限,就可以直接读取谷歌浏览器的密码。(想了解如何读取密码的,可以看这篇文章:渗透技巧-导出Chrome浏览器中保存的密码),那么所有浏览器管理的密码就会泄漏,给用户造成的影响核能比不记住密码大的多。
如何权衡:
如果你需要登陆的网站很多,你个人又比较注重安全这方面只是,能保证个人电脑安全的,推荐使用密码管理器保存一些相对不常用网站的密码,如果不放心,可以对密码管理器设置一个专有密码进行加密,来保证密码管理器本身的安全。
如果你需要登陆的网站不多,你个人相对不注重个人电脑安全的,或者个人电脑常常需要运行不明来源软件的,推荐不要使用密码管理器来保存密码。
讲了这么多,好像都在普及谷歌浏览器的密码管理器这个功能。
———————————————————————————华丽的分割线——————————————————————————————————
其实写这篇文章,个人的主要目的是,如果不想触发谷歌浏览器的密码管理器的相应功能,可能需要做什么。针对两种不想触发的场景,处理方式有不同。
1. 网站开发者不希望页面触发自动密码保存功能
对于这种情况,个人建议,不要花太多时间来让浏览器不能识别密码。因为官方认为,你这是在欺骗浏览器,所以即使你在当前版本有效的禁用了浏览器的自动密码填充,可能在下个版本就失效了。个人觉得,没必要帮用户决定是否让浏览器来记住密码,把决定权留给用户自己,相信用户都是明智的。
2. 用户不想触发密码自动填充功能
在地址栏输入chrome://flags/#fill-on-account-select把选项设置为enable,重启浏览器,好,完成。
这个处理方式对所有密码自动填充都有效。默认情况下,浏览器的密码填充是自动的,当你打开页面的时候,浏览器认为这个表单是密码表单,就会对该表单实施自动填充。但是,即使浏览器代码写的再牛B,还是会用误判的时候。我个人的网站就遇到两个不是密码表单的,被识别成密码表单,苦恼了好久。这个选项改完之后,当页面加载完后,会弹出密码填充提示,当用户点击选择对应的密码,才会对表单进行填充。