一、自动保存密码的潜在风险
1. 本地设备安全隐患：
- Chrome保存的密码以加密形式存储在本地（路径：`设置 > 自动填充 > 密码 > 查看保存的密码`），但若设备被物理访问或破解，仍可能通过解密工具（如Chrome自带的“导出CSV”功能）获取明文密码。
- 建议：为电脑设置强密码（如12位以上混合字符）并启用硬盘加密（如Windows的BitLocker或macOS的FileVault）。
2. 账号同步泄露风险：
- 若登录了Google账号并开启“同步密码”，所有设备共享同一密码库。一旦某台设备感染木马或被黑客入侵，其他设备的账号可能连带被盗。
- 建议：在`chrome://settings/syncSetup`页面中，关闭“同步密码”开关，仅保留书签等低风险数据同步。
3. 自动填充钓鱼网站：
- Chrome可能误判仿冒官网的钓鱼页面（如虚假银行登录页），自动填充保存的密码。攻击者可通过模仿域名（如`bank-secure.com`替代`banksecure.com`）诱导输入账号。
- 建议：手动检查网址拼写，启用Chrome的“安全浏览”功能（设置 > 隐私与安全 > 安全 > 启用安全浏览）。
二、降低风险的实用设置
1. 限制密码保存范围：
- 进入`chrome://settings/passwords`，点击右上角“三点图标” > “从不保存”，将特定站点（如公共论坛、低信任平台）加入排除列表。
- 例如：输入`*://*.example.com`可禁止保存该域名下的所有密码。
2. 启用两步验证增强保护：
- 在Google账号安全设置中开启“两步验证”（2FA），即使密码泄露，攻击者仍需验证代码（通过短信或Authenticator应用）才能登录。
- 注意：生成备用验证码并妥善保管，避免丢失手机后无法恢复账号。
3. 定期清理老旧密码：
- 在密码管理页面（`chrome://settings/passwords`）中，删除长期未使用的账号（如已注销的服务），减少潜在泄露面。
- 右键点击条目选择“删除”，取消勾选“同时删除其他设备上的密码”以避免误删同步数据。
三、应对密码泄露的紧急措施
1. 发现账号异常登录：
- 立即在Google账号安全页面（`myaccount.google.com/security`）中撤销所有已保存的密码，并重新生成新密码。
- 检查设备活动记录（`chrome://settings/people`），移除可疑设备授权。
2. 本地设备被盗或丢失：
- 远程锁定电脑（如Windows的“找回我的设备”或macOS的“查找我的Mac”），防止他人通过浏览器导出密码。
- 在另一台设备上登录Google账号，清除所有已保存的密码（需二次验证）。
3. 钓鱼攻击后补救：
- 若不慎在钓鱼网站输入密码，立即修改对应账号的主密码，并在密码管理页面中删除该网站的保存记录。
- 运行杀毒软件扫描设备，检查是否被植入键盘记录木马。
四、替代方案与补充防护
1. 使用独立密码管理器：
- 推荐工具：Bitwarden、LastPass（免费版）、KeePass（本地存储）。
- 优势：密码不与浏览器绑定，支持生成随机密码（如16位包含符号的复杂组合），并通过零知识加密保护数据库。
2. 禁用自动保存功能：
- 在Chrome设置（`chrome://settings/autofill`）中，关闭“启用自动填充功能”下的“密码”开关，手动复制粘贴密码。
- 注意：此操作可能降低便利性，但可彻底避免本地存储风险。
3. 启用Windows凭据管家（仅限Windows）：
- 在系统设置 > 账户 > 凭据管家中，手动添加网站账号，优先使用系统级加密存储而非浏览器。