Chrome浏览器的密码数据

昨天听同学说，在浏览器中检查，将密码所在标签的type属性值从password改为input，密码就明文出现了。我一想，也是哦，另外自己支付宝密码也保存了，突然觉得这样很不安全。

于是回到宿舍第一件事情就是把浏览器保存的密码全部删除掉……
我就纳闷了，这么严重的错误，谷歌不采取措施？出于好奇，我上网查找了Chrome密码就保存在一个文件中：
%UserProfile%\AppData\Local\Google\Chrome\User Data\Default\Login Data
这个东西我并不知道如何打开，采用文本编辑器打开又是乱码。后来搜到相关的文章（原来很早以前就有人注意到这个问题了），了解到这个可使用DB Browser for SQLite打开。
原先打开会提示“无效格式”，后来将文件拷贝了一份，添加了.sql后缀才成功打开

可是这里是经过加密的，所以值显示为password。Chrome加密是使用了Windows提供的API，而这个API只允许有密码保护的Windows用户去解密加密的数据。所以说，你的主密码就是你的Windows用户密码。

因为Windows用户密码并不是为了Chrome加密解密才存在的，所以必然有工具能够获取这个密码。NirSoft提供的ChromePass就能够做到。

说到可以这样方便的解密，其实Login Data文件就算被别人获取了，又或者你的电脑被盗走重置用户密码，别人也是无法解密的（本人还未做过尝试）。理由就是主密码不匹配。

关于Chrome这方面的安全性，Chrome 浏览器安全技术主管 Justin Schuh 在 HackerNews 发帖做了解释——主密码提供了一种虚假的安全感，保护敏感数据的最可行保护方式是要取决于系统的整体安全性。

但个人认为，谷歌（其他产商的浏览器也一样）最好还是在这方面做一些相应措施。并不是每个用户都能了解这些信息的，他们根本不能够意识到危害性。浏览器提示保存密码，他们就点击确定；有事情突然离开也不懂得如何锁屏。这样的事情发生率个人觉得还是挺高的。

总结：
①不要将重要的密码信息保存在浏览器
②离开电脑一定记得锁屏