如何在谷歌浏览器中安全导出所有已保存密码到CSV？

功能定位：为什么仍需本地 CSV

Chrome 内置的 Google Password Manager 已支持跨设备同步，但企业运维、密码迁移、合规审计常要求可离线审计的明文列表—��CSV 仍是唯一官方开放的通用格式。理解其边界：导出的文件为明文，不包含二次加密，故「导出」与「保管」必须当成两步独立操作。

前置检查：版本、账号与权限

以桌面版 Chrome 132 为例，若设备由组织托管，chrome://policy 中 PasswordManagerAllowCsvExport 策略值需为 true（默认未配置即允许）。家庭用户只要登录 Google 账号即可，无需额外开关。

桌面端最短路径（Windows / macOS / Linux）

1. 地址栏输入 chrome://settings/passwords 回车；
2. 点击「已保存的密码」右侧三点按钮 →「导出密码」；
3. 系统弹出 Windows Hello 或 macOS Touch ID 验证，完成生物识别后立即出现保存对话框；
4. 选择存储位置，文件名为 Chrome Passwords <日期>.csv，点击「保存」。

经验性观察：若设备无生物识别，会回落到系统账户密码输入；Linux 桌面因驱动差异，可能要求输入登录密码两次。

Android 端路径：为何隐藏得更深

Google 在 Android 14 之后收紧了本地明文导出，入口被挪到系统级「密码管理器」而非 Chrome 应用本身。

• 打开「设置 → Google → 自动填充 → Google 密码管理器」；
• 右上角切换至「密码管理器」标签 → 再次点右上角三点 →「导出」；
• 验证指纹/PIN → 选择保存到「下载」或「Google 云端硬盘」（建议先存本地，再手动转移）。

注意：部分国产 ROM 把 Google 服务裁剪后，菜单名称可能显示为「导出凭据」，功能一致。

iOS 端路径：需借道 Chrome 内置浏览器

iOS 16 以上，Apple 把 Keychain 与第三方密码管理器做了隔离，Chrome 无法直接写系统钥匙串，因此导出逻辑反而更直接：

1. Chrome App → 右下角「⋯」→「设置 → 密码」；
2. Face ID 验证后点「导出全部密码」；
3. 系统分享面板选择「保存到文件」→ 位置选「On My iPhone」；
4. 完成后可在「文件」App 中看到 chrome_passwords.csv。

提示：iOS 分享面板默认勾选「iCloud Drive」，如忘记关闭，CSV 会先同步到 iCloud，可在「文件」App 中手动删除云端副本。

CSV 字段解析与后续清洗

导出文件为 UTF-8 编码，共 5 列：name（站点名）、url、username、password、note。若之前手动在 Chrome 里添加过「备注」，会出现在最后一列；无备注则为空值。

经验性观察：URL 列包含 android:// 或 ios:// 协议头的记录，对应移动应用自动填充，非网页账号；导入 1Password、Bitwarden 时会被自动识别为「应用密码」。

常见失败分支与回退方案

现象	最可能原因	处置
导出按钮灰色	策略被管理员禁用	联系 IT 在 Google Admin Console → 设备 → Chrome → 设置 → 用户和浏览器 → 密码管理器 → 允许 CSV 导出，设为「启用」。
验证弹窗闪退	生物识别驱动崩溃	临时关闭系统生物识别，改用账户密码；Windows 可在「登录选项」→「Windows Hello」中关闭指纹/人脸，再试一次。
Android 导出后文件为空	ROM 权限拦截	在「下载」App 中长按 CSV → 属性，确认大小为 0 B；重新导出并授予「所有文件访问」权限，或改用「Google 云端硬盘」通道。

安全保管：明文 CSV 的三条底线

1. 立即加密：使用 7-Zip 或 macOS 自带「磁盘工具」生成 AES-256 加密压缩包，密码长度 ≥12 位，与 CSV 分两处存放；
2. 不留在下载文件夹：导入其他密码管理器后，用 cipher /w:（Windows）或 srm（macOS）安全覆写原文件；
3. 禁止邮件/IM 传输：企业场景如需跨网段，优先用一次性加密链接（如 Google 云端硬盘「机密模式」+ 短信二次验证）。

警告：2026 年 1 月起，多家威胁情报平台发现钓鱼邮件附带「Chrome_Passwords.csv」字样恶意附件，诱导用户双击启用宏。任何情况下，不要对 CSV 执行「启用内容」操作。

不适用场景清单

• 组织已强制启用 PasswordManagerExportAllowed=false，且无法获得 Admin Console 权限；
• 个人设备未设系统级 PIN/密码，导出时无法通过用户验证，导致流程中断；
• 需要定期自动同步到其他密码库——CSV 为一次性快照，无增量更新机制，应改用 Bitwarden、1Password 官方导入器配合 Chrome 实时同步。

与第三方密码管理器的协同示例

以 Bitwarden 为例：登录网页端 → Tools → Import Data → 选择「Chrome」格式 → 上传 CSV → 勾选「当用户名已存在时覆盖」。经验性观察：若 Chrome 中保存了同一站点多条子域名记录（如 a.example.com、b.example.com），Bitwarden 会合并为一条，需手动拆分文件夹保持结构。

故障排查：导出后中文乱码

现象：Excel 直接打开 CSV，站点名称出现「璁哄潧」。原因：Excel 默认按 ANSI 解析。验证：用 VS Code 打开文件，右下角显示 UTF-8。处置：Excel → 数据 → 自文本/CSV → 选择「65001: Unicode (UTF-8)」→ 分隔符选「逗号」。

最佳实践清单（可打印）

1. 导出前确认设备无屏幕共享、远程会议软件正在采集窗口；
2. 在隐私环境下操作，避免摄像头、侧肩偷窥；
3. 导出后 5 分钟内完成加密压缩，并校验压缩包可正常解压；
4. 删除原文件前，清空回收站/废纸篓；
5. 30 天后复查加密压缩包仍可读，防止介质老化。

FAQ（结构化数据）

收尾：下一步行动建议

完成导出后，立即执行「加密-校验-删除」三步，并给自己设一个 30 天后的日历提醒，确认加密包仍可读。若只是临时迁移，优先选择密码管理器的官方导入通道，减少明文落地时间。把本文加入浏览器书签，下次换机或审计时直接照单操作，可节省约 15 分钟排查时间。