如何在Firefox中查看已保存的密码（桌面版和移动版）

Firefox内置的密码管理器将登录凭据以加密SQLite数据库（logins.json 和 key4.db）的形式本地存储在您的Firefox配置文件目录中。要查看已保存的密码，请在地址栏中导航至 about:logins，从列表中选择所需条目，然后点击密码字段旁边的眼睛图标以显示密码。在移动端，对应路径为 设置 > 登录名和密码 > 已保存的登录名。

本指南涵盖了在桌面端（Windows、macOS、Linux）、Android和iOS上访问、管理和加固Firefox已保存凭据的所有方法，包括底层存储架构、主密码加密，以及Firefox原生管理器在生产环境或多用户环境中不足时的应对方案。

Firefox如何在内部存储密码

在深入了解UI操作步骤之前，了解存储层有助于您做出明智的安全决策。

Firefox将凭据保存在配置文件夹中的两个文件中：

• logins.json — 存储加密的用户名、密码、主机名和元数据
• key4.db — 一个NSS（网络安全服务）密钥数据库，保存用于保护 logins.json 的加密密钥

默认加密使用3DES（旧版配置文件）或AES-256-CBC（现代配置文件），由从您的操作系统登录信息派生的密钥进行封装，如果已设置主密码，则通过PBKDF2-SHA256进行封装。

各操作系统的配置文件目录位置：

如果您需要迁移凭据，将 logins.json 和 key4.db 一起复制到新配置文件即可——两个文件缺一不可，单独使用任何一个都无法解密。

在桌面端Firefox中查看已保存的密码

第一步：打开密码管理器

有两种方式可以进入密码管理器：

方法A — 直接输入URL（最快）：

直接在地址栏中输入以下内容并按回车键：

about:logins

方法B — 菜单导航：

1. 点击右上角的汉堡菜单（三条横线）。
2. 从下拉菜单中选择密码。

两种方法都会打开相同的 about:logins 界面。

第二步：找到凭据条目

左侧面板按主机名字母顺序列出所有已保存的登录信息。使用面板顶部的搜索栏按域名、用户名或任意部分字符串进行筛选。Firefox会对所有字段进行实时子字符串匹配。

提示：如果您有数百条条目，可使用排序选项（按名称、最近使用时间、最近修改时间或泄露警报状态）来高效缩小结果范围。

第三步：显示密码

点击任意条目以在右侧展开其详细面板。密码字段默认显示为掩码字符。点击密码字段右侧的眼睛图标以切换可见性。

重要提示：如果已配置主密码（请参阅下方安全部分），Firefox会在显示任何凭据之前提示您输入主密码。这是有意为之的设计，也是目前最有效的本地保护措施之一。

第四步：复制或编辑凭据

• 点击用户名或密码字段旁边的复制图标，将相应值复制到剪贴板。
• 点击编辑，直接在管理器中修改已存储的用户名或密码。
• 点击删除，永久删除该条目。

特殊情况——重复条目：Firefox可以为每个域名存储多个凭据。如果您看到重复的主机名，这通常是因为网站更改了登录URL，或者您分别在 http:// 和 https:// 变体下保存了凭据。请手动清理这些重复条目，以避免登录混乱。

导出所有已保存的密码

Firefox支持批量导出，用于迁移或备份：

1. 在 about:logins 中，点击三点菜单（页面右上角）。
2. 选择导出登录名。
3. 确认警告——导出将生成一个包含所有未加密凭据的纯文本CSV文件。

"url","username","password","httpRealm","formActionOrigin","guid","timeCreated","timeLastUsed","timePasswordChanged"
"https://example.com","user@example.com","MyPassword123","","https://example.com","..."

重要警告：此CSV文件完全未加密。请仅将其存储在加密卷或受密码保护的压缩包中。使用后立即删除。切勿将其存储在共享主机或未加密的云存储上。

在Android版Firefox中查看已保存的密码

1. 打开Android版Firefox。
2. 点击右上角的三点菜单。
3. 选择设置。
4. 点击登录名和密码。
5. 点击已保存的登录名。
6. 使用搜索栏筛选条目，然后点击任意条目。
7. 点击密码字段旁边的眼睛图标。

如果您的设备已配置屏幕锁定，Android版Firefox会在显示密码之前强制要求进行生物识别或设备PIN验证。这由Android的 BiometricPrompt API控制，在没有设备级访问权限的情况下无法绕过。

在iOS版Firefox中查看已保存的密码

1. 打开iOS版Firefox。
2. 点击右下角的汉堡菜单（三条横线）。
3. 选择设置。
4. 点击登录名和密码。
5. 点击已保存的登录名。
6. 在提示时使用Face ID、Touch ID或设备密码进行身份验证。
7. 点击任意条目，然后点击眼睛图标以显示密码。

在iOS上，Firefox与系统的LocalAuthentication框架集成，这意味着凭据访问受到与解锁设备相同的生物识别系统的保护。

安全加固：保护Firefox已保存的密码

设置主密码（原主控密码）

主密码使用您选择的密码短语对 key4.db 密钥数据库进行加密，使存储的凭据在没有主密码的情况下无法访问——即使有人复制了您的配置文件目录也无济于事。

启用方法：

1. 打开Firefox菜单，进入设置。
2. 导航至隐私与安全选项卡。
3. 滚动至登录名和密码部分。
4. 勾选使用主密码。
5. 输入并确认一个强密码短语。

技术说明：如果没有设置主密码，Firefox会使用默认的空字符串作为加密密钥，这意味着 logins.json 在技术上是加密的，但任何能读取 key4.db 的工具都可以轻易解密。设置强主密码是您可以采取的最有效的单一本地安全措施。

为Firefox账户启用双因素身份验证

如果您使用Firefox同步在设备间同步密码，您的Firefox账户将成为高价值攻击目标。启用2FA的方法：

1. 访问accounts.firefox.com。
2. 在账户设置中进入安全。
3. 使用身份验证器应用（TOTP）启用两步验证。

这可以保护同步层，但不能替代主密码对本地存储的保护——两者应同时启用。

保持Firefox更新

Firefox定期发布安全补丁。过时的版本可能容易受到可从内存或配置文件中提取凭据的漏洞攻击。请在设置 > 常规 > Firefox更新下启用自动更新。

审查泄露的凭据

Firefox与Mozilla Monitor（原Firefox Monitor）集成，可对照Have I Been Pwned数据库检查您已保存的凭据。在 about:logins 中被标记为泄露警报图标的条目应视为已泄露，并立即更改。

Firefox密码管理器与专用密码管理器的对比

Firefox内置的管理器使用方便，但在企业、多用户或服务器端场景中存在架构局限性。

对于单设备个人使用，在配置了强主密码和Firefox账户2FA的情况下，Firefox的管理器已足够使用。对于团队、管理多个环境的开发者，或任何运行服务器基础设施的用户，在VPS上部署自托管解决方案可提供更强的控制力和可审计性。

在VPS上运行自托管密码管理器

如果您为团队、开发流水线或多个客户端环境管理凭据，在VPS上托管Vaultwarden（一款用Rust编写的轻量级Bitwarden兼容服务器）可完全消除对第三方同步基础设施的依赖。

在Linux VPS上的最小化部署如下所示：

# Install Docker and Docker Compose if not already present
apt update && apt install -y docker.io docker-compose

# Create a directory for Vaultwarden data
mkdir -p /opt/vaultwarden/data

# Create a Docker Compose file
cat > /opt/vaultwarden/docker-compose.yml <<EOF
version: "3"
services:
  vaultwarden:
    image: vaultwarden/server:latest
    container_name: vaultwarden
    restart: unless-stopped
    volumes:
      - ./data:/data
    environment:
      WEBSOCKET_ENABLED: "true"
      SIGNUPS_ALLOWED: "false"
    ports:
      - "127.0.0.1:8080:80"
EOF

# Start the service
cd /opt/vaultwarden && docker-compose up -d

将其部署在带有有效TLS证书的Nginx反向代理后面。搭配SSL证书可确保所有凭据传输均经过加密。对于需要按项目隔离环境的团队，独立服务器提供了共享基础设施无法保证的硬件级隔离。

如果您希望使用托管控制面板来处理Web服务器配置，带cPanel的VPS可简化虚拟主机和SSL管理，无需手动配置Nginx。

当Firefox无法启动时恢复密码

如果Firefox崩溃或损坏，您可以使用 firefox_decrypt Python工具直接从配置文件中提取凭据：

# Clone the tool
git clone https://github.com/unode/firefox_decrypt.git
cd firefox_decrypt

# Point it at your profile directory
python3 firefox_decrypt.py ~/.mozilla/firefox/<your-profile>

如果已设置主密码，系统将提示您输入。该工具将凭据以纯文本形式输出到标准输出——请谨慎使用管道：

python3 firefox_decrypt.py ~/.mozilla/firefox/<your-profile> > /tmp/recovered_creds.txt

使用后立即加密或删除 /tmp/recovered_creds.txt。这种方法也适用于在Linux服务器上对无头Firefox配置文件进行取证审计，这些配置文件曾用于自动化浏览器测试。

实用决策矩阵

使用此清单确定适合您情况的凭据管理方法：

• 单用户、个人设备、低风险账户 — 配置了主密码和Firefox账户2FA的Firefox密码管理器已足够。
• 单用户、高价值账户（银行、基础设施） — 除Firefox管理器外，还应使用专用密码管理器（KeePass本地保险库或Bitwarden云端），或直接替换Firefox管理器。
• 管理多个服务器环境的开发者 — 在配置了TLS和IP白名单的VPS上自托管Vaultwarden。使用Bitwarden CLI进行脚本化凭据检索。
• 共享凭据的小型团队 — 使用带有组织保险库的Vaultwarden，托管在VPS上，并每日将加密备份存储到异地存储。
• 企业或合规监管环境 — 使用专用密钥管理系统（HashiCorp Vault、AWS Secrets Manager）并配备完整审计日志；Firefox管理器不适用于此场景。
• 特别是电子邮件凭据 — 考虑在提供商层面强制执行2FA的电子邮件托管，独立于浏览器存储的密码。

常见问题

没有主密码是否可以访问Firefox已保存的密码？

是的，如果未设置主密码，加密密钥由空字符串派生，任何能同时读取 key4.db 和 logins.json 的工具都可以在无需用户交互的情况下解密所有存储的凭据。如果本地凭据安全性很重要，则必须设置强主密码。

Firefox密码在Linux上具体存储在哪里？

它们存储在两个文件中——logins.json 和 key4.db——位于 ~/.mozilla/firefox/<profile-id>/ 的配置文件目录中。两个文件必须同时存在才能进行解密。

Firefox同步在将密码发送到Mozilla服务器之前是否对其进行加密？

是的。Firefox同步使用客户端加密模型，在传输之前使用从您的账户密码派生的密钥在本地对数据进行加密。Mozilla的服务器只存储密文。但严格来说，这并非零知识架构，因为密钥派生涉及Mozilla进行身份验证的账户凭据。

为什么某些密码条目不显示眼睛图标？

这通常发生在条目保存时没有密码值（仅用户名条目），或者条目被标记为泄露且Firefox暂时限制显示时。请检查条目详情，确认密码字段不为空。

在共享或公共计算机上使用Firefox密码管理器安全吗？

不安全。在任何共享机器上，任何拥有操作系统级别访问权限的人都可以访问已保存的密码，无论是否设置了主密码——因为主密码保护的是加密密钥，但配置文件目录本身对操作系统用户账户是可读的。请始终使用隐私浏览模式，切勿在共享硬件上保存密码。