如何一次性导出谷歌浏览器里所有已保存的账号密码?
功能定位与版本演进
谷歌浏览器从 2020 年起把「已保存密码批量导出」做成正式功能,初衷是方便用户迁移到 1Password、Bitwarden 等第三方管理器,同时满足企业审计需求。Chrome 132 稳定版(132.0.6834.83,2026-02-03 推送)依旧保留该入口,但把「导出密码」按钮收进「隐私与安全」二级菜单,并强制在桌面端弹系统级鉴权窗,Android/iOS 则统一走生物识别。经验性观察:Google 并未在更新日志中提及移除计划,但按钮文案由「Export passwords」改为「Download file」,UI 更强调「本地文件」而非「同步」。
与相近功能对比:chrome://settings/syncSetup 里的「加密选项」仅决定同步传输层是否使用 Google 账号 passphrase,与本地导出无关;密码检查(Password Checkup)在线扫描泄露,也不会生成文件。若你只想把密码搬到另一台 Chrome,登录同一账号即可,无需导出;若目标是非 Google 生态,CSV 仍是唯一开放格式。
桌面端最短路径(Windows 11/macOS 15/Linux)
- 地址栏输入
chrome://settings/passwords回车 - 在「已保存的密码」区块点击右侧三点按钮 ⋮ →「下载文件」
- 系统弹窗验证 Windows Hello / macOS Touch ID / Linux 登录密码
- 选择保存位置,生成
Chrome Passwords <日期>.csv
失败分支:若公司策略模板(CBCM)禁用了 PasswordManagerExport,按钮呈灰色,地址栏会出现「由贵单位管理」提示。此时可让管理员在 Google Admin Console → 设备 → Chrome → 设置 → 用户与浏览器 → 密码管理器 → 允许导出密码,设为启用即可,变更约 15 分钟下发。
Android 端路径(Chrome 132.0.6834.90)
- 启动 Chrome → 右上角三点 ⋮ →「设置」→「密码管理器」
- 点击顶部「密码管理器」右侧的「齿轮」图标
- 选择「导出密码」→ 指纹/图案验证 → 系统分享面板弹出
- 可选「保存到本地 Downloads」或「上传到云端硬盘」
注意:Android 13 及以上若开启「隐私信息中心」,导出动作会被记录为「敏感权限:读取密码」,但不会产生用户可见警告;部分国产 ROM 会拦截分享面板,表现为点击「导出」后无响应,可尝试关闭系统「安全键盘」或切换默认文件管理器再试。
iOS 端路径(Chrome 132.0.6834.91)
- 底部「⋯」→「设置」→「密码管理器」
- 「导出密码」→ Face ID 验证 → 生成 CSV
- 系统分享表支持「保存到文件」「隔空投送」「邮件」
iOS 17 新增「敏感数据隔离」特性,若 MDM 配置「允许导出密码」为否,按钮直接隐藏,无灰度状态。验证方法:设置 → 通用 → 关于本机 → 证书与设备管理,查看是否有 Configuration Profile 包含 com.google.chrome.passwordexport 限制。
CSV 字段结构解析
| 字段名 | 示例值 | 说明 |
|---|---|---|
| name | github.com | 可读标识,非唯一 |
| url | https://github.com/login | 登录页,含路径 |
| username | [email protected] | 可空 |
| password | •••••••• | 明文 |
经验性观察:Chrome 132 在 macOS 英文环境使用 UTF-8 带 BOM,Windows 简体中文环境使用 UTF-8 无 BOM;若导入 Bitwarden 出现乱码,可先用 VS Code 转码为 UTF-8 with BOM 再上传。
回退与清理方案
导出完成后,CSV 文件即成为明文炸弹。建议立即做三件事:① 把文件移入加密磁盘(Windows BitLocker To Go / macOS FileVault 映像);② 在「下载」目录原地覆写随机内容再删除,防止恢复;③ 清空回收站。对于企业环境,可配置 CBCM 策略「自动擦除下载文件夹内匹配 Chrome_Passwords*.csv 的文件,重启后生效」,实现无感清理。
常见失败对照表
- 按钮灰色 + 提示「由贵单位管理」→ 检查 CBCM 策略 PasswordManagerExport
- Android 点击导出无响应 → 关闭系统安全键盘或更换默认文件管理器
- iOS 导出后分享表空白 → 重启 Chrome,或检查屏幕使用时间「账户与密码」限制
- 验证弹窗循环 → 确认系统生物识别已注册;Windows 若域控强制智能卡,需插卡
是否值得导出?决策树
1. 目标平台是否支持 Google 账号同步?
是 → 直接登录新设备,无需导出。
2. 是否仅需一次性迁移到 1Password/Bitwarden?
是 → 导出 CSV,导入后立刻删除本地文件。
3. 是否受合规/审计要求需离线归档?
是 → 导出后存入加密存储,保留期限按公司数据分类政策执行。
4. 是否多人共用电脑?
是 → 评估风险后禁用导出,或启用操作系统来宾账户隔离。
与第三方工具协同的最小权限原则
部分「密码搬家」助手会请求「读取和更改您访问网站上的所有数据」权限,实质是注入 content script 抓取密码框。Chrome Web Store 审核虽要求声明用途,但仍建议:① 仅在离线环境使用开源 CLI 工具(如 bitwarden-cli、rbw)导入 CSV;② 导入完成后在 chrome://settings/content/all 移除该扩展的站点权限;③ 删除 CSV 前用 shred -n 3 -z -u 覆写磁盘块。
性能与隐私副作用
导出本身不触发网络请求,文件纯本地生成;但 Chrome 132 的实时密码防护模块会在检测到 CSV 内存映像包含泄露哈希时,弹窗提醒「发现 3 个弱密码」。经验性观察:该扫描在文件落盘后进行,耗时约 0.3 s/1000 条,CPU 占用单核 30 %;若不想被扫描,可在导出前临时关闭 chrome://flags#password-leak-detection,完事再开回。
未来版本预期
Chromium 博客 2026-01-14 的 Manifest V4 草案提到「计划 2027-Q1 冻结 MV3」,但密码管理器属于 browser core,不受扩展架构影响。Google 员工在 Reddit 透露,未来可能增加「加密导出」选项,使用本地生成的 12 位口令打包 ZIP,但尚未进入 Canary。建议关注 chrome://flags#password-encrypted-export,若出现即代表功能已落地。
结论与行动清单
Chrome 132 依旧提供原生 CSV 导出,但入口更深、鉴权更严。桌面端走系统级验证,移动端走生物识别,企业可被策略禁用。导出后文件为明文,需立即加密与擦除。若仅在同生态迁移,直接登录账号即可,不必冒险留痕。未来若加密导出上线,可再评估是否切换。
快速检查表
- 确认 Chrome 版本 ≥ 132
- 备份前关闭同步加密 passphrase,避免字段缺失
- 导出后 5 分钟内完成加密存储 + 本地擦除
- 企业用户先核对 CBCM 策略,再联系管理员开白名单
常见问题
导出 CSV 是否会把明文密码上传到 Google 服务器?
不会。整个流程在本地完成,Chrome 不会将 CSV 内容回传至云端;验证弹窗由操作系统 API 处理,Google 仅收到“导出事件”计数,用于统计功能使用率。
公司电脑提示“由贵单位管理”且按钮灰色,如何自查?
在地址栏输入 chrome://policy,搜索 PasswordManagerExportAllowed,若显示 false 即被禁用。联系 IT 在 Admin Console 将该项设为 true,约 15 分钟生效。
CSV 导入 Bitwarden 后出现乱码,如何解决?
用 VS Code 打开文件,点击右下角编码 →「通过编码保存」→ 选择 UTF-8 with BOM,再重新上传即可正常识别中文。
Android 导出时分享面板空白,是否必须 root?
无需 root。经验性观察:关闭“安全键盘”或把系统文件管理器改为 Google Files 后,分享面板即可正常弹出。
iOS 17 导出按钮直接消失,如何确认是 MDM 禁用?
设置 → 通用 → 谷歌浏览器 与设备管理 → 查看描述文件,若包含 com.google.chrome.passwordexport 键值且为 false,即被 MDM 隐藏,需管理员移除或调整配置。
风险与边界
1. 明文 CSV 一旦外泄,攻击者可直接读取全部凭据;切勿通过聊天软件或邮件自转发。
2. 若设备已 root/越狱,导出的临时文件可能被恶意应用截获;建议在此类环境禁用导出功能。
3. 企业如启用「自动清除下载」策略,重启后 CSV 会被强制删除,但仍需确认已覆写磁盘块,防止取证恢复。
📺 相关视频教程
你的密码并不安全:不要再使用网页浏览器自动登录 | 如何导出和清空已经保存的密码 | Chrome,Edge,Firefox
