用记事本打开这个文件搜索 “ encrypt ”，就能获得这把解开保险库的钥匙了。

是不是非常简单。

谷歌用的加密算法虽然是安全性比较高的 AES，但也架不住它把密文和密钥都放在原地啊。。。

在两者都暴露后，通过 Windows 自己提供的解密函数 CryptUnprotectData （ dpapi.h ），我们的密码就会瞬间被人看个精光。

托尼也让世超帮忙找了一个脚本体验了一下，我那可怜的密码当场被进行了一个二次破译。。。

（ 这里解密调用的是微软自己的 win 32 的 dpapi 函数，需要在本机上进行破译（ 意思是别人拷贝走了你这两个文件也没有用 ） ）

没错，在 Windows 上破解 Chrome 密码就是这么简单，甚至不需要管理员权限，或许连风险提示都不会有。

而且，谷歌完全清楚这件事。

早在 2013 年左右就有过回应：“ 如果有人入侵了你的系统用户账号，即使再多的安全措施也是无用的。就是如果贼人进入了你的家中，那么你家中所有的物品都是有危险的。”