谷歌瀏覽器自帶了一個密碼管理器功能,這個功能應該大家或多或少都應該有聽說過或者使用過這個功能。
這個功能主要的內容就是,當用戶在網頁上輸入了用戶名,密碼登陸或者修改密碼表單提交時會觸發自動保存密碼這個功能。如果用戶所使用的電腦不是公共電腦,就可以保存此密碼。
在登陸頁面表單中,谷歌瀏覽器會拉出自動表單,可以對頁面自動填充,方便快速登陸。
可是,在有些情況下,並不想觸發這個功能。主要有這兩種:
1. 網站開發者不希望頁面觸發自動密碼保存功能,可能的原因是認為自動保存密碼不安全,網站提供了短信驗證碼等更安全的登陸方式。
2. 用戶不想觸發密碼自動填充功能,因為有些頁面被填充的實際上並不是用戶名密碼的表單。
目前的現狀:
谷歌瀏覽器的開發者認為,密碼管理器功能能夠更方便的讓用戶在不同網站設置不同的密碼,讓瀏覽器來完成記住這個功能,而不需要用戶主動記住這些密碼,而用戶的電腦一般是安全的。
網站開發者可能傾向於的觀點:萬一用戶電腦中了病毒或者在電腦上打開了不明軟件,軟件是可以直接讀取谷歌瀏覽器的密碼的,所以不安全,希望禁用掉自動表單填充功能。
可能的安全隱患:
如果不讓瀏覽器來記住密碼,那么用戶就需要自己來記住或者管理不同網站的密碼,那么在設置密碼的時候便會傾向於設置成相同或者相近的密碼。在這種情況下,一旦一個網站的密碼泄漏,或者這個網站的一個有惡意的維護人員獲得了你的密碼,就可以用同樣的賬號密碼去試不同網站,那么你的賬號信息就會泄漏。如果讓瀏覽器記住密碼,那么用戶在不同網站設置的密碼就可以完全不一樣,甚至谷歌瀏覽器直接提供了右擊-生成隨機密碼,這種選項,讓密碼管理器來管理密碼。這種情況下,即使用戶在一個網站上的密碼泄漏了,在其它網站上的賬戶也能保證安全。
如果讓瀏覽器來記住密碼,可能的潛在風險是這樣的。很大一部分用戶不會對谷歌瀏覽器的密碼管理器設置專有的密碼,在這種情況下,一些軟件運行之后,無需任何額外權限,就可以直接讀取谷歌瀏覽器的密碼。(想了解如何讀取密碼的,可以看這篇文章:滲透技巧-導出Chrome瀏覽器中保存的密碼),那么所有瀏覽器管理的密碼就會泄漏,給用戶造成的影響可能比不記住密碼大的多。
如何權衡:
如果你需要登陸的網站很多,你個人又比較注重安全這方面只是,能保證個人電腦安全的,推薦使用密碼管理器保存一些相對不常用網站的密碼,如果不放心,可以對密碼管理器設置一個專有密碼進行加密,來保證密碼管理器本身的安全。
如果你需要登陸的網站不多,你個人相對不注重個人電腦安全的,或者個人電腦常常需要運行不明來源軟件的,又或者會有無法確定是否安全的用戶使用你的電腦的,推薦不要使用密碼管理器來保存密碼。
講了這么多,好像都在普及谷歌瀏覽器的密碼管理器這個功能。
—————————————————————————————華麗的分割線—————————————————————————————
其實寫這篇文章,個人的主要目的是,如果不想觸發谷歌瀏覽器的密碼管理器的相應功能,可能需要做什么。針對兩種不想觸發的場景,處理方式有不同。
1. 網站開發者不希望頁面觸發自動密碼保存功能
對於這種情況,個人建議,不要花太多時間來讓瀏覽器不能識別密碼。因為官方認為,你這是在欺騙瀏覽器,所以即使你在當前版本有效的禁用了瀏覽器的自動密碼填充,可能在下個版本就失效了。個人覺得,沒必要幫用戶決定是否讓瀏覽器來記住密碼,把決定權留給用戶自己,相信用戶都是明智的。
2. 用戶不想觸發密碼自動填充功能
在地址欄輸入chrome://flags/#fill-on-account-select把選項設置為enable,重啟瀏覽器,好,完成。
這個處理方式對所有密碼自動填充都有效。默認情況下,瀏覽器的密碼填充是自動的,當你打開頁面的時候,瀏覽器認為這個表單是密碼表單,就會對該表單實施自動填充。但是,即使瀏覽器代碼寫的再牛B,還是會用誤判的時候。我個人的網站就遇到兩個不是密碼表單的,被識別成密碼表單,苦惱了好久。這個選項改完之后,當頁面加載完后,會彈出密碼填充提示,當用戶點擊選擇對應的密碼,才會對表單進行填充。