V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
探索世界的好奇心万岁
huntley
V2EX  ›  分享发现

我发现 Edge 浏览器的密码管理有重大安全隐患!

  •  1
     
  •   huntley · 79 天前 · 2341 次点击
    这是一个创建于 79 天前的主题,其中的信息可能已经有所发展或是发生改变。

    edge 浏览器中保存的密码不管有没有设置主密码都能被 firefox 直接导入。反过来就不行。无论在 firefox 中有没有设置主密码,edge 都无法从 firefox 导入密码。

    这意味着 edge 浏览器的密码是明文保存的,很容易被其他软件直接获取,edge 主密码基本就是自欺欺人的行为。firefox 相对来说更安全一点,但是在移动端作为密码自动填充器时还是存在类似 edge 的问题。

    所以我现在用的是 keepassxc 配合 onedrive ,全平台都能用,andriod 上用 Keepass2Android ,iOS 上用 keepassium ,都是开源的。书签用插件bookmarkhub备份。这样密码和书签全由自己控制,再也不会被任何浏览器绑架了,浏览器不好用随时能换。

    20 条回复    2022-05-28 22:20:56 +08:00
    butanediol2d
        1
    butanediol2d  
       79 天前   ❤️ 2
    其实这个问题已经有不少讨论了,Google 搜索: V2EX Chrome 密码,就可以搜到很多。

    以及: https://github.com/AlessandroZ/LaZagne
    Buges
        2
    Buges  
       79 天前 via Android
    不安全确实是不安全,但明文保存倒也不是。
    chromium 的密码是用当前登录的用户的用户凭据加密的,只要登录了就可以访问,和 bitlocker 那些透明加密类似。
    chenliang0571
        3
    chenliang0571  
       79 天前
    设计逻辑可能是:
    如果恶意软件已经装在电脑上了,那么本机已经没有什么是安全的了。
    比如可以 headless 模式打开你的邮箱,接收重置的密码等。
    shuax
        4
    shuax  
       79 天前 via Android
    非明文,使用当前用户加密
    totoro625
        5
    totoro625  
       79 天前
    自从 Edge 没经过我的允许获取了 Chrome 保存的密码之后,我就弃用了让浏览器保存密码的方案
    再深入想一想,密码管理器内的密码在你解锁后也是可获取的
    引申出的一个思路是手机是密码中心,需要填充密码时发出请求到手机上,手机传输密码到电脑上,保证最多只有当前在用的密码是危险的
    最后就是微软等大厂目前大力推广的无密码账户,完全通过手机 App 点击登录,跳过输入密码这一个过程
    ltkun
        6
    ltkun  
       79 天前 via Android
    @totoro625 对的 自从用上了 bitwarden 其他一切密码储存都关闭了 当然得自建服务器
    ttionya
        7
    ttionya  
       79 天前 via Android
    一直在用自建的 vaultwarden ,用了几年了,甚至为了备份还写了备份工具…
    newmlp
        8
    newmlp  
       79 天前
    这显然是根据当前登录用户凭据加密的,怎么可能明文保存
    mmdsun
        9
    mmdsun  
       79 天前
    参考《 Edge 密码管理器安全性》
    https://docs.microsoft.com/zh-cn/deployedge/microsoft-edge-security-password-manager-security

    Microsoft Edge 存储在磁盘上加密的密码。 它们使用 AES256 进行加密,并且加密密钥保存在操作系统 (OS) 存储区域中。 此技术称为本地数据加密。 尽管并非所有浏览器数据都经过加密,但敏感数据(如密码、信用卡号和 Cookie )在保存时会进行加密。

    配置文件的加密密钥使用 Chromium OSCrypt 进行保护,并具有以下特定于平台的操作系统存储位置:

    在 Windows 上,存储区域为 DPAPI

    在 Mac 上,存储区域为密钥链

    在 Linux 上,存储区域是 Gnome Keyring 或 KWallet
    mmdsun
        10
    mmdsun  
       79 天前 via iPhone
    @mmdsun
    你用 Edge 也能导入谷歌的密码呢。
    微软特意说了,所有这些存储区域都使用以用户身份运行的部分或所有进程可访问的密钥对 AES256 密钥进行加密。 此攻击途径在博客中通常被称为为可能的“攻击”或“漏洞”,这是对浏览器威胁模型和安全性的不正确理解。
    huntley
        11
    huntley  
    OP
       79 天前
    用户登录凭据加密显然也是重大安全隐患,只要你处于登录状态就是明文的。
    huntley
        12
    huntley  
    OP
       79 天前
    而密码管理器可以随时锁定数据库
    huntley
        13
    huntley  
    OP
       79 天前
    firefox 还多一层加密,需要用主密码才能解开,而 edge 的主密码就是个自我欺骗的摆设,只要处在登录状态就一直是明文的。
    huntley
        14
    huntley  
    OP
       79 天前
    QQ 以前就被曝出过扫描用户电脑上传服务器的事情。如果 QQ 想获取用户 edge 密码上传服务器简直是轻而易举的事情。
    dingwen07
        15
    dingwen07  
       79 天前 via iPhone
    装个带主防的杀软就可以了
    我现在就设置只有浏览器之间才可以互相读取
    greatbody
        16
    greatbody  
       78 天前
    @ttionya 分享下备份工具?
    codehz
        17
    codehz  
       78 天前
    主要的问题是,如果真有木马进入系统(登陆后),安装一个键盘钩子把输入密码管理器的按键给截获下来就完事了。——打开浏览器之后再输入一次密码安全性上提升不大,倒是用户体验下降很多——这就所谓的家贼难防
    真要保证密码安全,建议使用外部硬件来做,也就所谓 Yubikey 一类
    而且木马不是非得直接偷密码,它也可以偷 cookies——除非你接受打开浏览器,无论要不要登陆,都需要再输入一次密码这样的流程(上面也说了,安全性没大区别,即便用硬件密钥,也完全防不住木马在你解锁后读取进程内存拿到 cookies——或者你还可以考虑每点开一个域名都插一下硬件密钥,这样倒是可以将风险降低到只有点开过的域名才能被偷的程度),所以如果定位在“系统被黑的前提下”,再去“保护浏览器的安全”,这实在是有点困难
    bigtear
        19
    bigtear  
       76 天前
    bitwarden 全平台存密码挺方便的,再用火绒吧浏览器所有数据都保护起来,只让浏览器自己访问
    关于   ·   帮助文档   ·   API   ·   FAQ   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   2423 人在线   最高记录 5497   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 09:56 · PVG 17:56 · LAX 02:56 · JFK 05:56
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.