360浏览器的密码管理功能安全吗？

浏览器保存密码太方便了，不用记那么多账号。但你有没有担心过：万一电脑被偷，别人是不是能直接看到我的密码？360服务器会不会泄露我的数据？我研究了360浏览器的密码存储机制、加密方式、同步流程，也咨询了安全工程师朋友。

密码保存和加密机制

本地存储方式

当你在网页上输入账号密码，360浏览器弹出“是否保存密码”。点击保存后，密码会存储在本地的一个加密数据库中（位于%APPDATA%\360Browser\User Data\Default\Login Data）。这个文件不是明文，而是经过AES-256算法加密的。加密密钥派生自你的Windows登录凭证（DPAPI），也就是说，只有登录同一个Windows账户的用户才能解密。

这意味着：如果你设置了Windows开机密码，别人即使拿到你的硬盘，也无法读取密码数据库。但如果你不锁屏就离开，任何人都能打开浏览器查看你的密码。

如何查看已保存的密码

在360浏览器中，进入“设置→个人资料→密码管理”，会列出所有保存的网站和账号。点击“显示密码”会要求输入你的Windows账户密码（或者360浏览器主密码，如果你设置过）。这是一个安全机制，防止旁人直接看到。

你也可以导出密码为CSV文件。但警告：导出后的CSV是明文，千万不要存在电脑桌面上或发邮件。用完立刻删除。建议只在迁移浏览器时使用，平时不要导出。

主密码功能

360浏览器有一个“主密码”功能（在密码管理设置中开启）。开启后，每次浏览器启动时第一次填充密码，需要输入主密码。而且查看已保存密码也需要主密码。主密码和Windows密码独立，多一层保护。

建议所有共用电脑的用户设置主密码。注意：主密码忘记后无法找回，所有保存的密码都会丢失。所以主密码要记在安全的地方（比如密码管理器）。

云端同步的安全性

同步时的传输加密

登录360账号后，密码会同步到云端。在传输过程中，密码使用TLS 1.3加密（和银行网站同一级别），理论上无法被中间人截获。但到达360服务器后，密码是如何存储的？根据360的隐私政策，密码在服务端是加密存储的，但加密密钥由360管理。也就是说，360工程师理论上可以解密你的密码。

相比之下，1Password、Bitwarden等专业密码管理器使用“端到端加密”——只有你的主密码能解密，服务商永远看不到。360没有做到这一点。

服务器可能泄露吗？

360是国内大公司，有等保三级认证，服务器安全措施较强。历史上360云服务未发生过大规模密码泄露事件。但“理论上可能”和“实际发生”是两回事。如果你存的是普通论坛、新闻网站的密码，风险很低。如果是网银、支付宝、邮箱等核心密码，建议不要依赖浏览器同步。

我的建议：360同步功能可以用来备份“非重要”密码。重要密码单独用专业密码管理器，或者根本不保存。

如何关闭密码同步

如果你不想让密码上传到云端，在“设置→高级设置→同步设置”中，取消勾选“密码”。这样只会同步书签、扩展等其他数据。或者直接退出360账号，完全本地使用。

注意：即使取消同步，本地密码文件依然存在。你也可以在密码管理中逐个删除，或者重置浏览器清除全部。

自动填充的风险和防护

自动填充是否会泄露给网站

当你在某个网站登录时，360浏览器会自动填充保存的账号密码。但浏览器会检查网址是否完全匹配。例如你保存的是https://mail.163.com，那么只有在完全相同的网址下才会自动填充。如果钓鱼网站用https://mai1.163.com（数字1代替字母l），浏览器不会自动填充。

但有些高级钓鱼攻击会利用子域名，比如https://login.163.com.fake.com。360浏览器会检查顶级域名，如果不匹配，会提示“此网站不匹配保存的密码”。建议开启“填充前询问”功能（在密码管理设置中），每次自动填充前让你确认。

防止屏幕读取和键盘记录

恶意软件可能通过截屏或键盘记录窃取密码。360浏览器在密码输入框上启用了“安全键盘”和“防截屏”保护（部分版本）。当焦点在密码框时，第三方软件无法截取当前屏幕。键盘输入也会被加密传输给浏览器进程。

但这些保护不是100%有效。建议在重要设备上安装杀毒软件，定期扫描。另外，不要从不明来源下载软件。

多用户和共用电脑的风险

如果你和他人共用一台电脑，每个Windows用户应该有自己的账户。不要让别人使用你的账户登录。如果必须共用，可以为360浏览器设置主密码。或者每次离开时按Win+L锁屏。

一个更好的办法：在360浏览器中创建多个“用户”（点击右上角头像→管理用户）。每个用户有独立的密码库和书签。家人可以各自用各自的用户，切换只需点一下头像。

和第三方密码管理器的对比

360内置 vs LastPass

LastPass是专业密码管理器，支持端到端加密、跨平台（Windows、Mac、iOS、Android）、自动更改密码、安全审计等功能。360内置只支持Windows和Android（手机版），功能单一。但LastPass免费版有设备限制（只能在一类设备上用），且2021年有过安全事件。

如果你只需要基本的保存和自动填充，360内置足够。如果你需要跨多个设备（比如Mac和iPhone）、或者想共享密码给家人，用LastPass或Bitwarden。

360内置 vs Bitwarden

Bitwarden是开源密码管理器，端到端加密，可以自建服务器。免费版功能几乎完整（无限设备、密码分享）。360内置相比之下，最大短板是服务端可解密。但Bitwarden需要安装扩展或独立应用，不如浏览器内置方便。

我的组合：普通网站密码用360保存（图方便），银行、邮箱、支付密码用Bitwarden（图安全）。两者不冲突。

什么时候该换用专业管理器

出现以下情况，建议放弃360内置密码管理：

你需要跨平台（Mac、Linux、iPhone）

你的密码被泄露过，需要安全审计功能

你不信任任何国内云服务

你需要和家人或同事共享密码（360不支持）

否则，360内置密码管理对普通用户是合格的。

密码泄露检测和应急处理

360的密码泄露检测功能

360浏览器有一个“密码泄露检测”功能（在密码管理页面底部）。它会将你的密码哈希值（非明文）与已知泄露数据库比对。如果发现某网站密码出现在泄露事件中，会提示你修改。这个数据库由360维护，更新比较及时。

注意：检测过程会上传密码哈希，理论上存在隐私风险。但哈希不可逆，相对安全。如果你介意，可以关闭这个功能。

发现泄露后怎么办

如果收到泄露提示，立即修改该网站的密码。同时检查该密码是否在其他网站重复使用。360浏览器可以标记重复使用的密码（在密码管理中显示“弱密码”）。建议为每个网站使用唯一密码，特别是重要账户。

你可以使用360浏览器的“生成强密码”功能（在密码管理中添加新条目时点击“生成”）。生成12位以上包含大小写、数字、符号的随机密码，让浏览器记住。这样即使一个网站泄露，其他账户不受影响。

定期清理和审核

每三个月花10分钟，进入密码管理，删除不再使用的网站条目。同时检查是否有未知设备登录了你的360账号（在账号中心查看）。如果发现可疑设备，点击“移除”并修改360账号密码。

另外，不要在公共电脑上使用“保存密码”功能。用完记得清除浏览数据（Ctrl+Shift+Del），勾选“已保存的密码”。

总结与最佳实践

最后说一句：没有任何密码存储是绝对安全的。最好的防护是开启两步验证（2FA），即使密码泄露，攻击者也登不上你的账户。360浏览器不支持内置2FA，但你可以配合Google Authenticator使用。