還在讓瀏覽器儲存網站帳號密碼嗎？或許你該多想一下

我記得幾年前朋友曾經遇到類似問題：在重灌電腦後，因為等於重新安裝 IE 瀏覽器，導致之前自動儲存在瀏覽器中的密碼都不見了，有些不常用的網站密碼後續就發生想不起來的窘境。這幾年， Google Chrome、 Firefox 都可以幫你同步備份瀏覽器記住的密碼到雲端與每台電腦，倒是不會再有上述問題發生。

但是，這樣的舉動真的夠安全嗎？這幾天，國外科技圈熱烈討論的話題之一就是 Google Chrome 瀏覽器在儲存你的網站密碼時，使用可以輕易顯示為明碼的方式儲存，也就是任何跟你使用同一台電腦的人，都能知道你每個網站存下來的密碼是什麼（參考：Chrome’s insane password security strategy）。

這不是 BUG，因為有些用戶真的需要這樣的功能來「找回」自己的密碼，然而這也值得我們去思考，儲存每個網站帳號密碼的需求，真的只能用相對不安全的瀏覽器來儲存嗎？還是有更好的儲存方式？

 

 

在 Google Chrome 中，進入「設定」的「瀏覽器進階設定」，可以看到「管理系統儲存的密碼」連結，點開後就能看到瀏覽器幫你儲存的所有網站帳號密碼，這時候只要點擊〔顯示〕。

那麼，你的密碼就會清楚的顯示出來囉！

 

如果你的電腦只有你自己使用，那麼倒是無傷大雅，但在現今的雲端、行動工作環境裡這一點真的很難保證，你還可能在同步過程把密碼同步到所有的電腦上。而且，如果筆電被偷又沒有設定開機密碼怎麼辦？

所以或許最保險的方式，就是一開始不要讓瀏覽器記住你的密碼，可以在設定處取消勾選「詢問是否儲存我在網站上輸入的密碼」。

 

 

在 Firefox 中也有類似問題，不過 Firefox 本身有一個保障機制。

進入 Firefox 設定的「安全」頁面，如果你之前也是讓瀏覽器幫你記住網站密碼的話，打開「已存密碼」，在小視窗中點擊〔顯示密碼〕，那麼密碼一樣會清清楚楚的顯示出完整內容。

 

在 Firefox 中，同樣可以取消勾選「記住每個網站的密碼」，讓瀏覽器不要記住密碼，但如果你還是覺得這樣比較方便，那麼起碼 Firefox 提供了一個保險機制。

那就是勾選「使用主控密碼」，這樣一來，想要查看已儲存密碼時，需要先輸入主控密碼，就不是所有人都能輕易看到你的瀏覽器內存密碼了。

但是，把密碼存在瀏覽器資料中，會不會安裝其他第三方軟體後，就能讀出你瀏覽器內的帳號密碼資料呢？這一點我沒有仔細研究過，但以前 IE 時代是有的，所以大家還是要小心。

 

 

那麼，有什麼樣的方式可以安全、有效，又不會太麻煩的儲存你的帳號密碼呢？

有的朋友可能會用「頭腦」記住，例如以密碼學的方式設計中只有自己知道但可以簡單記住的密碼，不過，即使如此，我還是覺得應該有另外一個使用工具（或紙本）來儲存密碼，以免哪天頭腦不清。

而且，網路帳號安全保護方案已經不僅僅是擁有一個複雜、獨特的密碼就好，我們還必須記住安全問題、救援帳號或電話、兩步驟驗證的備用碼等等，這不是可以用腦袋記住的資料量。

所以還是需要一個儲存網站帳號密碼的地方，而目前大概有幾種選擇：

• 1.KeePass：免費 Windows 電腦單機軟體（但也有 Mac、 Linux、 Android、 iOS 上的第三方軟體可用），用有效的加密方式儲存你的帳密，也可以用 Dropbox 等機制雲端備份同步。
• 2. 1Password：付費的跨平台軟體，功能類似 KeePass，不過有瀏覽器的套件，可以和瀏覽器更緊密結合。
• 3. LastPass：雲端同步管理密碼，有免費和付費區別，電腦瀏覽器使用免費，對一般用戶來說相對操作簡單，類似用瀏覽器記錄密碼，但有加密儲存，不像前述可以簡單看到密碼內容。

 

我自己目前使用的網站帳號密碼管理方案是「 KeePass 」（參考：個人帳號密碼的安全保險箱：KeePass Password Safe （附自動化填表技巧補完）），他可以幫我把所有帳號密碼、安全驗證問題、備用救援資料，全部統一儲存，然後加密成一個資料庫檔案，只有我能開啟。

另外當瀏覽器沒有記住密碼時，每次登入網站都要重新輸入帳號密碼，這時候也可以利用 KeePass 提供的快速輸入功能，自動完成填寫，所以工作流程上還是很方便。

推薦大家參考看看，也想想看是否還要繼續用瀏覽器來儲存帳號密碼。