V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
mengjue
V2EX  ›  分享发现

今天无意间发现的,在 chrome 的密码管理器里面,可以直接看到原始的保存的密码!

  •  
  •   mengjue · 2016-03-23 14:52:14 +08:00 · 6906 次点击
    这是一个创建于 3172 天前的主题,其中的信息可能已经有所发展或是发生改变。
    这个密码管理器是用来保存“自动保存”的密码,建议大家还是不要把密码保存重要的代码是计算机上,如果借给别人用,或者硬盘被别人拿了,都是可怕的隐私泄露。
    39 条回复    2016-03-24 12:03:27 +08:00
    isaced
        1
    isaced  
       2016-03-23 14:55:01 +08:00
    Safari 保存的一样可以看到
    rock_cloud
        2
    rock_cloud  
       2016-03-23 14:55:42 +08:00
    Windows 上如果需要查看保存的密码需要用 Windows 密码解锁。
    lyragosa
        3
    lyragosa  
       2016-03-23 14:56:37 +08:00
    不知道你的是什么版本,反正我这里无论是 windows 版还是 osx 版的 chrome ,都必须输入一次当前用户的密码鉴权才能看到用户的保存密码原文。

    另外,如果别人都能物理接触你的机器了,那么也就无从谈起安全了。
    iVeego
        4
    iVeego  
       2016-03-23 14:59:09 +08:00   ❤️ 1
    总想搞个大新闻。
    9hills
        5
    9hills  
       2016-03-23 15:00:30 +08:00
    这不是废话么,任何一个密码管理器都能看到明文密码,否则要管理器干嘛?
    SpicyCat
        6
    SpicyCat  
       2016-03-23 15:00:33 +08:00
    想防硬件被盗?先全盘加密再说。
    ipconfiger
        7
    ipconfiger  
       2016-03-23 15:00:46 +08:00
    骗铜币的, 鉴定完毕
    mengjue
        8
    mengjue  
    OP
       2016-03-23 15:02:11 +08:00
    @lyragosa ubuntu 14.04LTS ,显示密码时没有任何反应。这个密码文件应该保存在 profile 里,如果不在 linux 下保护,别的系统保护也没啥意义了。
    mengjue
        9
    mengjue  
    OP
       2016-03-23 15:04:25 +08:00
    @9hills 但是随意查看,这保护也太差了吧。 windows 有管理员密码保护,但是 ubuntu 里啥保护都没有。
    x86
        10
    x86  
       2016-03-23 15:06:35 +08:00
    表单填的密码会询问用户是否保存的
    asddsa
        11
    asddsa  
       2016-03-23 15:14:03 +08:00
    http://nirsoft.net/utils/web_browser_password.html
    所有浏览器保存的密码都可以明文查看。
    不然加密的密码怎么保证和网站的加密策略是一样的?
    lonelinsky
        12
    lonelinsky  
       2016-03-23 15:45:39 +08:00
    就算不能看,我直接打开对应的网页等自动填充密码之后就可以通过修改页面代码查看了呀 =。=
    lonelinsky
        13
    lonelinsky  
       2016-03-23 15:49:53 +08:00
    借电脑给别人的话,可以考虑登出自己的 google 帐号…
    spance
        14
    spance  
       2016-03-23 15:55:26 +08:00
    OS Account -> chrome user + user data
    这 2 个都被别人使用了,那就没有什么可以保证安全了。
    Orz
        15
    Orz  
       2016-03-23 16:19:45 +08:00
    难道没人用过 ChromePass ,打开软件密码都在里面直接看到,我觉得 Chrome 很不安全。
    missqso
        16
    missqso  
       2016-03-23 16:28:28 +08:00
    我记得以前讨论过这个问题的,而且 chrome 官方有人员出面回应,原文我不记得了,大意就是「我们觉得没有必要对这个密码进行加密,因为如果有人物理接触了你的硬件,你的硬件已经到了相当不安全的境地了……」
    50vip
        17
    50vip  
       2016-03-23 16:41:05 +08:00
    加密没有意义,因为自动填充到网页输入框里面的内容肯定不可能是被加密过的。
    243205964
        18
    243205964  
       2016-03-23 16:46:38 +08:00
    那就不要用保存密码功能好了。不然所有浏览器都会变得"不安全"。
    sheep3
        19
    sheep3  
       2016-03-23 17:01:51 +08:00
    只要是自动填充,就可以通过修改页面属性看啊。。。。。
    droiz
        20
    droiz  
       2016-03-23 17:19:08 +08:00
    你机器都让别人拿到了,还谈什么安全性?
    onceyoung
        21
    onceyoung  
       2016-03-23 17:19:53 +08:00
    要自动填充,不存原来的密码怎么填充?
    Lucups
        22
    Lucups  
       2016-03-23 17:28:27 +08:00
    安全都是相对的,没有绝对的安全。
    我一直都是用 Chrome 来保存密码的,忘了就打开看一下( OS X 下需要 root 权限)。
    借电脑给人的话,不妨新建一个用户。
    BOYPT
        23
    BOYPT  
       2016-03-23 17:35:13 +08:00
    物理接触了还说什么安全
    zhicheng
        24
    zhicheng  
       2016-03-23 17:49:07 +08:00
    这是故意不加密的,因为不想营造出加密存储之后密码很安全的假象。一个事实是,保存在本地的表单密码,除非每次自动填充的时候要求手工输入一个密码,别无它法。但这又违背了 __自动填充__ 功能的本意。

    Chrome 就是明确的告诉你,你的自动填充密码保存的时候是不安全的,风险自担。
    kiwi95
        25
    kiwi95  
       2016-03-23 17:55:03 +08:00 via Android
    当然是可以看到明文的,这个功能帮我找回了好多忘记的密码
    Khlieb
        26
    Khlieb  
       2016-03-23 18:00:07 +08:00 via Android
    Khlieb
        27
    Khlieb  
       2016-03-23 18:01:15 +08:00 via Android
    @9hills LZ 需要一个屏风
    learnshare
        28
    learnshare  
       2016-03-23 18:02:37 +08:00
    系统设置锁屏密码,然后查看 Chrome 保存的密码时,就要求先输入锁屏密码了。
    DT27
        29
    DT27  
       2016-03-23 19:33:43 +08:00
    我的 lastpass 特意设置的自动登录。。。只要打开浏览器就能看到密码,因为电脑只自己用。
    luban
        30
    luban  
       2016-03-23 19:59:17 +08:00
    加密也没用,就像楼上说的,自欺欺人,就算没有 win 密码,打开对应网站,自动填充, f12 , type 改成 text 就可以看了
    xbb7766
        31
    xbb7766  
       2016-03-23 20:23:06 +08:00 via Android
    主帐号加密码文件也 bitlocker ,电脑借给别人就给他 guest 账号耍。
    Mavious
        32
    Mavious  
       2016-03-23 20:35:39 +08:00 via Android
    版本号 20 之前的火狐也是明码呀。又不是秘密。所以我用 keepass 了。
    InFaNg
        33
    InFaNg  
       2016-03-23 21:39:14 +08:00 via Android
    不要把密码保存重要的代码是计算机上
    😖
    cxbig
        34
    cxbig  
       2016-03-23 21:41:12 +08:00
    所以我用 1Password
    yangqi
        35
    yangqi  
       2016-03-23 21:46:21 +08:00
    楼主火星来的?哪个密码管理器里看不到原始密码?
    RqPS6rhmP3Nyn3Tm
        36
    RqPS6rhmP3Nyn3Tm  
       2016-03-24 09:06:15 +08:00
    的确是这样, Chrome 没有加密保存的密码,官方表示不加密更安全,我……
    是时候换 1Password 了
    fork3rt
        37
    fork3rt  
       2016-03-24 10:23:36 +08:00
    火星来的吗?
    cchange
        38
    cchange  
       2016-03-24 10:56:57 +08:00
    欢迎回到地球
    WKPlus
        39
    WKPlus  
       2016-03-24 12:03:27 +08:00
    就算看不到明文密码,只要我打开对应的 URL 让 chrome 填充,然后打开开发者工具,在登录的时候查看一下 post 出去的数据就可以查看密码了吧,都不用输入 OS 的密码
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   4924 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 39ms · UTC 09:55 · PVG 17:55 · LAX 01:55 · JFK 04:55
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.