2017年4月9日 星期日

firefox 與 chromium 把網站密碼存在哪裡?

我的網路生活的秘密, 誰知道得最多呢? 當然不是我的老婆, 而是我的瀏覽器。 造訪過哪些 (怪怪的) 網站、 每個網站的帳號密碼是什麼, 都存在 firefox 或 chromium 的工作目錄裡面。

經過近年來的資安事件之後, 大家開始學會 不要用一個密碼走遍天下! 結果密碼多到我這小小的腦袋根本裝不下。 到後來, 記憶密碼這種辛苦的工作, 當然要交給瀏覽器來代勞囉。

如果想要備份密碼, 最簡單的方式, 就是把瀏覽器的整個工作目錄打包起來。 ( firefox: ~/.mozilla/firefox/亂碼.default ; chromium: ~/.config/chromium ) 不過這兩個目錄很大, 這麼做簡直就是背著書櫥上學去。 如果要備份密碼, 其實只需要備份 firefox 的 key3.db 跟 logins.json, 或是 chromium 的 "Default/Login Data" 就夠了。 把這幾個檔案備份、 保存好。 如果將來瀏覽器毀了, 只要重裝瀏覽器, 並且把這幾個檔案放回正確的位置, 帳號密碼就回來了。 詳見 firefox 相關問答 chromium 相關問答

不過換個角度看, 這也意謂著任何人只要取得你的這幾個檔案, 他就可以查出你所有的網路帳號密碼! ( firefox 外掛 chromium 隱藏功能)

所以, firefox 用戶們, 請趕快 學會使用 主密碼 master password 來 保護 firefox 記住的帳號密碼吧! 當然, 以後每次開機第一次要登入某網站時, 都需要打一次主密碼。 沒辦法, 安全跟方便經常站在對立面。 (只要沒關機, 之後要登入其他網站就不必再打了。) 這個密碼要牢記! 萬一忘記的話... 所有網站的密碼也就跟著不見了! 這篇英文的 「使用火狐的 master password 有多安全」 有幾個更詳細解釋的連結。 至於 chromium 的話... 抱歉, chromium 沒有這個功能! ( 已前曾經支援過?) Google 工程師的說辭有一點點道理: 加密的檔案如果落人意志堅決的惡人 (例如各國政府) 手中, 以現在的電腦, 暴力破解是有可能的, 因為這不像遠端登入, 可以限制每分鐘嘗試次數。 不過再怎麼說, 讓任何知道門路的人不費力氣就可取得所有密碼, 這實在是不對勁啊!

最後補充說明: 以上談的是如何備份還原密碼; 另一個相反的需求是如何銷毀密碼。 光把這幾個檔跟 cache 目錄刪掉是不夠的。 我沒找出所有的關鍵檔案; 最簡單保險的方法, 還是把瀏覽器的整個工作目錄都毀掉吧。 如果是在 zfs 上面要做 snapshot 之前, 那就至少先登出所有帳號囉。

1 則留言:

  1. 目前個人是用 pass 作密碼管理,是用 gpg 加密的。

    回覆刪除