应用系统是BS架构，但使用的谷歌浏览器记住了登陆账号和密码，信息不安全，如何是好？

应用系统是 B/S 架构（即浏览器/服务器架构），用户用 谷歌浏览器访问，浏览器的自动填充功能会记住账号和密码。这确实存在 信息安全风险：

• 如果用户电脑被他人使用（未锁屏/公共电脑），别人可能直接登录；
• 浏览器本地存储的密码可能被恶意软件读取；
• 企业内部如果对信息安全有要求（比如 ISO27001、等级保护），通常会限制使用浏览器记住密码。

可行的解决办法

1. 应用系统端措施（推荐）

• 禁用浏览器自动记住密码：
  在登录页的 HTML 输入框里加属性：

• <input type=”password” name=”password” autocomplete=”off”>
• <input type=”text” name=”username” autocomplete=”off”>

或者设置 autocomplete=”new-password”。
这样浏览器不会提示“是否保存密码”。

• 增加安全机制：
  • 登录时增加验证码，减少被盗号后暴力尝试的风险；
  • 设置单点登录（SSO），避免浏览器保存本地账号密码；
  • 设置登录超时时间，防止长时间无人值守导致账户被盗用。

2. 用户侧管理措施

• 要求员工 禁止使用浏览器记住密码，并在公司安全制度里明确；
• 使用 密码管理器（如公司自建或指定工具），而不是浏览器保存；
• 强制要求 电脑锁屏、定期更换密码。

3. IT运维与安全规范

• 在信息安全管理制度中加入：“禁止浏览器保存应用系统账号密码”；
• 运维人员可以通过 组策略（GPO）或浏览器策略 禁止自动保存密码；
• 定期检查系统访问日志，发现异常登录。

✅ 推荐方案：
最有效的是 前端禁用自动保存 + 管理制度约束 + 用户安全教育。
如果企业对信息安全要求较高（如金融、电信、政府单位），建议采用 统一身份认证（SSO）+ 多因素认证（MFA），彻底解决浏览器记住密码的问题。