firefox 與 chromium 把網站密碼存在哪裡?

我的網路生活的秘密， 誰知道得最多呢? 當然不是我的老婆， 而是我的瀏覽器。 造訪過哪些 (怪怪的) 網站、 每個網站的帳號密碼是什麼， 都存在 firefox 或 chromium 的工作目錄裡面。

經過近年來的資安事件之後， 大家開始學會 不要用一個密碼走遍天下! 結果密碼多到我這小小的腦袋根本裝不下。 到後來， 記憶密碼這種辛苦的工作， 當然要交給瀏覽器來代勞囉。

如果想要備份密碼， 最簡單的方式， 就是把瀏覽器的整個工作目錄打包起來。 ( firefox： ~/.mozilla/firefox/亂碼.default ； chromium： ~/.config/chromium ) 不過這兩個目錄很大， 這麼做簡直就是背著書櫥上學去。 如果要備份密碼， 其實只需要備份 firefox 的 key4.db (舊版： key3.db) 跟 logins.json， 或是 chromium 的 "Default/Login Data" 就夠了。 把這幾個檔案備份、 保存好。 如果將來瀏覽器毀了， 只要重裝瀏覽器， 並且把這幾個檔案放回正確的位置， 帳號密碼就回來了。 詳見 firefox 相關問答、 chromium 相關問答。

不過換個角度看， 這也意謂著任何人只要取得你的這幾個檔案， 他就可以查出你所有的網路帳號密碼! ( firefox 外掛、 chromium 隱藏功能)

所以， firefox 用戶們， 請趕快 學會使用 主控密碼 master password 來 保護 firefox 記住的帳號密碼吧! 當然， 以後每次開機第一次要登入某網站時， 都需要打一次主控密碼。 沒辦法， 安全跟方便經常站在對立面。 (只要沒關機， 之後要登入其他網站就不必再打了。) 這個密碼要牢記! 萬一忘記的話... 所有網站的密碼也就跟著不見了! 這篇英文的 「使用火狐的 master password 有多安全」 有幾個更詳細解釋的連結。 至於 chromium 的話... 抱歉， chromium 沒有這個功能! ( 以前曾經支援過?) Google 工程師的說辭有一點點道理： 加密的檔案如果落人意志堅決的惡人 (例如各國政府) 手中， 以現在的電腦， 暴力破解是有可能的， 因為這不像遠端登入， 可以限制每分鐘嘗試次數。 不過再怎麼說， 讓任何知道門路的人不費力氣就可取得所有密碼， 這實在是不對勁啊!

最後補充說明： 以上談的是如何備份還原密碼； 另一個相反的需求是如何銷毀密碼。 光把這幾個檔跟 cache 目錄刪掉是不夠的。 我沒找出所有的關鍵檔案； 最簡單保險的方法， 還是把瀏覽器的整個工作目錄都毀掉吧。 如果是在 zfs 上面要做 snapshot 之前， 那就至少先登出所有帳號囉。