V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
juejinloop
V2EX  ›  信息安全

chrome 密码泄漏了, 才知道用 chrome 保存密码等于裸奔

  juejinloop · 2022-08-14 12:31:38 +08:00 · 54302 次点击
这是一个创建于 857 天前的主题,其中的信息可能已经有所发展或是发生改变。

前几天电脑中毒了,虽然第一时间重装系统,但是隔天依然收到一大堆网站登录的 gamil 验证邮件,谷歌帐号也提示风险操作。密码管理一直用的 chrome 自带的,考虑是 chrome 保存的密码泄漏,于是连夜改了所有帐号密码,能二验的全部添加二验。然而第二天早上还是发现一台小鸡被人在 vps panel 里重装了 windows 系统,还好有数据备份,然后又改所有小鸡的 ssh 登陆密码。因为之前谷歌帐号开了二次验证,还好谷歌帐号没被登录。吃了这个惨痛的教训,我开始研究 chrome password manger 的安全问题,才发现 chrome 保存密码等于裸奔。

一篇解释如何获取 chrome 保存的密码的文章: https://ohyicong.medium.com/how-to-hack-chrome-password-with-python-1bedc167be3d

如果用 chrome 自带的密码管理保存密码,任何一个运行在你电脑上的程序,不需要管理员权限,都能解密并读取本地保存的密码。因为 chrome 的密码保存在本地加密的 sqlite 中,同时加解密密钥也明文保存在本地文件里,任何程序都能读取。

加密 sqlite 文件路径: C:\Users<PC Name>\AppData\Local\Google\Chrome\User Data\Default\Login Data

解密密钥文件路径 C:\Users<PC Name>\AppData\Local\Google\Chrome\User Data\Local State

额外说明一点是解密需要用到 win32 提供的 API CryptUnprotectData 函数,这个函数保证解密是和加密在同一台电脑(用户)进行的,所以如果直接复制硬盘的浏览器数据到其他电脑上是解密不了的,但是只要你的 Windows 登录了,任何程序只要想都可以解密 chrome 的密码然后上传。

现在考虑转 bitwarden 中。

第 1 条附言  ·  2022-08-14 13:20:44 +08:00
很多人都说电脑中毒了,任何密码管理都白搭。对比一下,需要手动输入解密密钥的密码管理,和直接把解密密钥保存在本地固定路径,攻击面不同,难度完全不一样。 前者 malware 需要读取你的内存获取密码,而后者,任何程序只要加两行代码,都可以在你不知情的情况下读取解密并上传你的 chrome 密码。你能保证你电脑上运行的所有程序都是有过代码审查的吗?
第 2 条附言  ·  2022-08-14 13:34:33 +08:00
可以说这安全性还比不上在本地 txt 文件里保存密码,至少 malware 不知道你的路径还需要扫盘,而你还可以决定你保存密码的方式。而 chrome 在本地保存的密码文件,解密密钥路径,还有储存格式都是固定不变的。只要往程序里加两行固定的代码,你就可以读取所有运行你程序的电脑上 chrome 保存的密码,可以说肯定有人会(已经)这样做。你能保证你电脑运行的文件都是善意的,还是你只编译运行你自己代码审查过的程序?你只能乐观地希望所有程序开发人员都是有道德的,相当于你自己把家门敞开,地址告诉所有人,然后希望没人会做小偷,至少给自己家上把锁吧?虽然锁也会被暴力撬开,但是难度能一样吗?
第 3 条附言  ·  2022-08-14 15:55:35 +08:00
老是有人说中毒了怎么的,我特意置顶说明一下,我帖子里的所谓“病毒”就是个普通二进制工具,看上去没什么问题。问题是而且根本没有给管理员权限,能读取硬盘文件就行了。

重点:关键点不是中毒与否! chrome 相当于一点防护措施都没有,直接把你密码明文保存。脚本小子写个程序加个壳,打包成什么工具,顺带读取你浏览器密码,你完全意识不到,杀毒软件也不会报毒(亲自试验)。除非你设置自定义规则只允许 chrome 读取相关的文件,但是又有多少人有这个意识呢?

有的人的逻辑就是,中毒了你就完蛋了,什么措施都没有用,所以明文保存还是存内存里都一样,没有办法实现绝对的安全,那干脆裸奔算了。这种逻辑我就不一一反驳了,你家门锁专业的随便能开,以后你家就敞开大门就是了,反正没区别对吧。
293 条回复    2024-12-14 11:10:53 +08:00
1  2  3  
xiaoen
    1
xiaoen  
   2022-08-14 12:39:19 +08:00
我也一直都是 Chrome 保存密码,看的我也想换了,前短时间有活动还想着换成 1pass ,lastpass ,不过就是免费 1 年,终究嫌麻烦没换。。。现在想换了。怕
dlsflh
    2
dlsflh  
   2022-08-14 12:40:32 +08:00 via Android   ❤️ 8
用 chrome 看密码的时候不是要验证电脑账户密码吗?
Liar1844
    3
Liar1844  
   2022-08-14 12:40:35 +08:00 via Android   ❤️ 3
就是怕这个,所以改用 Bitwarden 自建了。
7zlid
    4
7zlid  
   2022-08-14 12:41:48 +08:00 via Android
Bitwarden 本地中毒 且已经解密。一样有泄漏的风险
用一台单独的电脑保存,用另一台登录
然后复制 Cookie 登录网站,是级别比较高的方案
7zlid
    5
7zlid  
   2022-08-14 12:44:23 +08:00 via Android   ❤️ 1
Yubikey 也算一个缓解方案
0o0O0o0O0o
    6
0o0O0o0O0o  
   2022-08-14 12:46:34 +08:00 via iPhone   ❤️ 5
如果你不能确保客户端的安全,那换了 bitwarden 也没有安全性可言。
glouhao
    7
glouhao  
   2022-08-14 12:48:25 +08:00 via Android
现在谷歌没有解决么
juejinloop
    8
juejinloop  
OP
   2022-08-14 12:50:04 +08:00   ❤️ 2
@dlsflh 这个步骤就是个摆设,只在 Windows 上有,只能阻挡有人不经过你同意手动查看你的 chome 密码,对小白有用。Linux 就没有这骗人的一步,直接查看。
mcone
    9
mcone  
   2022-08-14 12:50:09 +08:00
物理安全都不能保证,凭什么让第三方密码管理软件保证你的安全

最简单的逻辑就是,如果不能本地解密,怎么在各个加密方式都不同的(甚至是明文传输的)网站登陆呢
Jooooooooo
    10
Jooooooooo  
   2022-08-14 12:55:02 +08:00
这...只要是类似保存密码的软件, 一旦泄露保存密码软件本身的密码, 都是裸奔.

要不然咋给你填啊, 肯定填的都是明文.
Chaidu
    11
Chaidu  
   2022-08-14 12:55:25 +08:00   ❤️ 23
电脑中毒了还关心 Chrome 保存密码安不安全?不更应该去 P 站看看有没有自己的做爱视频吗
vvhy
    12
vvhy  
   2022-08-14 12:56:17 +08:00
@dlsflh #2 额确实是个摆设,密码自动填充之后,按 F12 删掉 type=password 就能看到明文密码了。。。赞同楼上,得保证物理安全。
Biggoldfish
    13
Biggoldfish  
   2022-08-14 12:56:18 +08:00
客户端都被攻击者控制了,换啥密码管理器都白搭。无论本地存储怎么加密,使用时总得解密加载到内存中,到时候 dump 出来就完事。
tulongtou
    15
tulongtou  
   2022-08-14 12:58:34 +08:00
mac 没有 win32 的 API ,是怎么处理这一块的呢?
hertzry
    16
hertzry  
   2022-08-14 12:58:58 +08:00   ❤️ 2
我在 OneDrive 上的 Excel 里保存密码。
crayygy
    17
crayygy  
   2022-08-14 12:59:24 +08:00
@crayygy #14 TL'DR: 某位思科员工的 Google Account 被盗,导致 Chrome 云同步的所有密码全部泄漏,即使已经 enable 了 2FA ,但仍然没能躲过攻击者。
lqcc
    18
lqcc  
   2022-08-14 13:03:46 +08:00
客户端都中毒了。。。
juejinloop
    19
juejinloop  
OP
   2022-08-14 13:05:46 +08:00
@glouhao 搜了下,发现 Chrome 的开发者早就知道这个问题,但是并不打算改变: https://news.ycombinator.com/item?id=6166731

可以说这安全性还比不上本地 txt 保存密码,至少 malware 不知道路径还需要扫盘,而 chrome 的本地保存的密码路径都是固定不变的。
juejinloop
    20
juejinloop  
OP
   2022-08-14 13:08:26 +08:00
@lqcc 阅读文章帖子内容,不需要中毒的程度,任何运行的程序都解密读取你的密码。你能保证你电脑上运行的二进制软件都是非恶意的吗,别说看不到源码的二进制程序,就是国产软件的扫盘还少吗?
Chaidu
    21
Chaidu  
   2022-08-14 13:09:05 +08:00
@juejinloop #19 因为 Chrome 保存密码比 1Password 、Bitwarden 之类的密码管理器更安全,只是很多不懂的人以为 Chrome 保存密码不安全
lqcc
    22
lqcc  
   2022-08-14 13:10:26 +08:00
好几年没用过 windows 了~ mac 和 linux 有类似的安全问题吗?
juejinloop
    23
juejinloop  
OP
   2022-08-14 13:11:31 +08:00
@Biggoldfish 攻击面不同,严重程度也不一样,读取内存和读取本地固定不变路径的文件难度能一样吗?
juejinloop
    24
juejinloop  
OP
   2022-08-14 13:13:08 +08:00   ❤️ 2
@Chaidu 确实“不懂”,要不你解释下呗。
cloudsigma2022
    25
cloudsigma2022  
   2022-08-14 13:14:16 +08:00
请问,如何在自动填充密码和安全性之间取得平衡?
nbndco
    26
nbndco  
   2022-08-14 13:15:45 +08:00
@juejinloop 这大概就是安全的错觉吧。

从安全性的角度来说,不论 Chrome 做什么都是没有任何意义的。Chrome 的代码本身是开源的,密码储存逻辑必然是公开的,有心人不需要花太大精力研究就可以搞明白。只要 Chrome 的密码管理可以离线运作,那所有解密密码的信息必然全部存在本地。

如果软件没有恶意(我不能理解一个想要读你的密码的程序为什么你觉得不是病毒),那怎么做都没差。如果软件有恶意,那 Chrome 不论做什么这个软件都可以轻松根据 Chrome 的源码破解。
ltkun
    27
ltkun  
   2022-08-14 13:16:28 +08:00 via Android
所以很多基于 chrome 的浏览器都加了密码验证才能读取保存的密码 弃用 chrome 才是王道哈 ff 也可以
ltkun
    28
ltkun  
   2022-08-14 13:18:07 +08:00 via Android   ❤️ 1
@nbndco 开源的那部分叫 chromium chrome 是谷歌加了药的浏览器 不是一个玩意
nbndco
    29
nbndco  
   2022-08-14 13:19:19 +08:00
@ltkun 只是加了 Google 同步的部分,其他逻辑都一样的。Google 也不可能给 Chrome 做的比 chromium 更安全。
yehoshua
    30
yehoshua  
   2022-08-14 13:20:24 +08:00   ❤️ 1
有一次装了火狐,然后导入 chrome 数据,火狐就把整个 chrome 的密码同步过来了。我当时的心情是崩溃的,就换 Bitwarden 了。
neptuno
    31
neptuno  
   2022-08-14 13:20:50 +08:00 via iPhone
确实很不安全,相当于存在一个记事本里面
x199ian
    32
x199ian  
   2022-08-14 13:22:42 +08:00   ❤️ 1
@mcone emmm 密码管理软件不用保证密码存储的安全,这合理吗?不可能保证绝对的安全,但 chrome 这一戳就破,也有问题吧。
felixcode
    33
felixcode  
   2022-08-14 13:23:20 +08:00 via Android   ❤️ 9
不懂装懂的人真多
比如 bitwarden ,也是开源,真要了解怎么做到安全的,去看看它的 security whitepaper 吧。
如果非要说防不住内存 dump 之类的就用了也没意义,那什么安全防护都别做了,什么都没意义。
MengiNo
    34
MengiNo  
   2022-08-14 13:30:09 +08:00
macOS Chrome 的密码应该最终是落在 keychain 里,不知道 keychain 这种与安全硬件配合的东西,针对这种中毒啥的有没有一些预案措施。
konakona
    35
konakona  
   2022-08-14 13:30:44 +08:00
我认为,大家应该重视的是:正应为 google chrome 的这种明文保存到加密 sqlite 里的行为全网公知。那么很多木马、网马想尽办法进入到被害者电脑后会最优先去获取 google chrome 的密码!这是一个攻击意愿清晰明确的行为。

我现在意识到这一点后,也不打算用 Google chrome 保存重要的密码了。

不知道 Safari 的保存密码怎么样?
docx
    36
docx  
   2022-08-14 13:31:31 +08:00 via iPhone
虽然这设计是有点“简单”,但我还是觉得问题的关键错了。
在任何不安全的环境下解密,发生泄露都是顺理成章的事。换成其它工具,病毒依然有办法做到,看上去更加隐蔽。
shequ2046
    37
shequ2046  
   2022-08-14 13:39:46 +08:00   ❤️ 3
哈哈,典型的不懂装懂半桶水,从头到尾都是谬误我就懒得提了,只单纯说一下 gmail 的问题,
gmail 是典型的就算你有账号密码也不可能登录的系统,
黑客也不是楼主这种半桶水所以也不会去偷账号密码,
它们偷的是 cookies 。
juejinloop
    38
juejinloop  
OP
   2022-08-14 13:40:50 +08:00   ❤️ 7
@shequ2046 你这评论,我都不知道怎么回复你
dingwen07
    39
dingwen07  
   2022-08-14 13:48:14 +08:00   ❤️ 1
用了 Windows 数据保护 API 来进行加密的,但这个 API 不会限制进行加密和解密的应用程序,所以本地恶意应用可以直接解密。macOS 的 Keychain 会用代码签名进行保护。

用密码管理器确实会好一点,至少加密密钥只会存储在内存里,不过要读的话也还是可以的,ReadProcessMemory 了解一下。
0o0O0o0O0o
    40
0o0O0o0O0o  
   2022-08-14 13:50:32 +08:00 via iPhone   ❤️ 1
> 你能保证你电脑上运行的所有程序都是有过代码审查的吗?

很简单,不被我信任的程序不应该在我的电脑上运行,隔离方案也不是没有。

我很喜欢 bitwarden 不会在内存中长期留存明文,但我绝对不会有“依靠客户端的这些特性来拖慢攻击者的脚步”的幻想。

我觉得中过恶意软件了,优先级应该是想办法怎么不再中招,或者想想怎么把敏感数据从这类容易中招的设备彻底撤离。

没有绝对安全,不过考虑问题的优先级还是可以有的。
o00o
    41
o00o  
   2022-08-14 13:54:30 +08:00   ❤️ 7
楼上说中毒了就不能怪 chrome 的,如果说某应用软件或者 360 杀毒里面加一段读取你 chrome 密码的代码就问你怕不怕。
不安全就是不安全,开脱什么,想做的更安全肯定有办法
nbndco
    42
nbndco  
   2022-08-14 13:59:42 +08:00
@konakona 但是你有没有想过,Chrome 的密码必然是保存的原文,你打开 Chrome 填写密码之前也没有输过任何 master password ,离线也可以输入密码,所以可以完全还原你保存密码的所有信息必然全部保存在你的机器上。

这根本不需要被发现,是必然的啊。

Safari 安全的多,Safari 背后使用 keychain 保存密码,系统级地进行权限控制,所以你不可能写任何程序(除非出现安全漏洞)偷偷读到 Safari 保存的密码。并且每次输入密码前都需要进行指纹 /人脸认证,也就意味着密码不会明文储存在 Safari 中,也不会被任何其他程序通过任何方式冒充 Safari 获取。
nbndco
    43
nbndco  
   2022-08-14 14:00:53 +08:00
@o00o 有些问题是逻辑问题,并不可能造出永动机
0o0O0o0O0o
    44
0o0O0o0O0o  
   2022-08-14 14:03:57 +08:00 via iPhone
@o00o 360 杀毒这种高权限黑科技常驻软件,可以说它想要什么就能拿到什么。绝大部分人只要选择安装使用这类软件,就默认只能信任 360 公司的商誉。
nbndco
    45
nbndco  
   2022-08-14 14:04:04 +08:00
@konakona 不过在 Mac 上,Chrome 应该是用的 keychain 保存密码 /或者加密密码的,比 windows 上应该安全的多。windows 没有 keychain ,我也不懂如何有一个好用又安全的方案(除非你每次填密码之前都输一遍 master password )
msaionyc
    46
msaionyc  
   2022-08-14 14:04:45 +08:00 via iPhone
人都进你家了,你用抽屉放钱,还是用保险箱放钱,区别是不大的
nbndco
    47
nbndco  
   2022-08-14 14:07:06 +08:00   ❤️ 1
@msaionyc 其实是有的,如果你愿意记住一个保险箱密码(每次填写密码前都输入 master password 解密 vault ),那还是有区别的。但是如果你想的是不要记住任何一个密码,我家谁都能进,但只有我能拿钱,那我只能说多少层多高级的保险箱都是毫无意义的 security theater 了。
felixcode
    48
felixcode  
   2022-08-14 14:09:48 +08:00   ❤️ 5
@msaionyc
你想想为什么还有人要买保险箱吧
Constantping
    49
Constantping  
   2022-08-14 14:13:23 +08:00   ❤️ 1
Felldeadbird
    50
Felldeadbird  
   2022-08-14 14:17:25 +08:00
其实 chrome 只要加多一道自动填充密码前输入密码或者时效令牌校验就安全了。
BeautifulSoap
    51
BeautifulSoap  
   2022-08-14 14:25:11 +08:00 via Android   ❤️ 9
我觉得 ls 很多人说这不怪 chrome 是明显不对的,chrome 这种密码管理的安全性和明文没区别,虽然如果客户端不安全被病毒动用了键盘记录,内存 dump 之类的方法的话大部分软件都顶不住,但 chrome 这种几乎是明文记录的方法绝对不应该采用

一样东西顶不住降维打击不应该成为一张纸就将其压扁的理由
JamesR
    52
JamesR  
   2022-08-14 14:25:52 +08:00
感谢楼主发帖,看样子得从 Chrome 里剔除能交易的账户登录密码了。我随便写个程序,加个壳,过杀软,专门读取 Chrome 密码然后上传到指定空间,简直不要太容易。
Eureka0
    53
Eureka0  
   2022-08-14 14:28:25 +08:00
@nbndco #45 刚试了下,Mac 上用 Chrome 自动填充密码(不需要指纹 / 密码验证)后,F12 把 type=“password” 改成 “text” 就能看到明文,而 Safari 则是自动填充前必须指纹验证,有点怀疑 Mac 上 Chrome 到底是不是用的 keychain
BeautifulSoap
    54
BeautifulSoap  
   2022-08-14 14:33:00 +08:00 via Android   ❤️ 12
@msaionyc 你这观点是绝对错的。正好这几天有个举世闻名的例子可以反驳你。最近 FBI 抄了懂王的家,为了开懂王家的保险箱,FBI 动用了炸药才做到。
这个例子反倒证明了一个好的保险箱的用处,了。一个好的保险箱,就连 FBI 都只能用炸药这种降维打击的方法才能解决,那小偷进你家放保险箱和直接放抽屉是明显不同的。当然前提是你家得是个好的保险箱,而 chrome 这保险箱的质量明显并不好
dingwen07
    55
dingwen07  
   2022-08-14 14:36:51 +08:00
@Eureka0 #53
macOS 的 Keychain 可以做到只有 Chrome 能够获取到 Chrome 自己保存的加密密钥,也就是说别的软件无法进行读取。比如,Edge 如果要从 Chrome 导入数据,就必须要请求用户输入账户密码。
nbndco
    56
nbndco  
   2022-08-14 14:37:11 +08:00
@Eureka0 当然填完密码就可以看到明文了啊,不然填啥。

Chrome 填密码只是没有再做验证,但是用的 keychain 应该是限制了只能 Chrome 访问的。也就是只要是 Chrome 就随时能访问。Safari 的话,就是就算是 Safari 也要再验证一次。
zalviny
    57
zalviny  
   2022-08-14 14:46:29 +08:00
就我一个人是用 excel 文档保存账号密码的嘛?...我还给文档加了个保护密码,不知道有没有用 XD
haodingzan
    58
haodingzan  
   2022-08-14 14:47:34 +08:00
感谢楼主发帖,说实话以前没考虑过这种情况。回复里提到的都挺有道理,电脑被入侵了,拿了权限用什么都玩完,顶多是能坚持多久,就看能不能在被彻底破解之前堵上窟窿,如果设备本身安全的话其实 Chrome 同步密码的安全性还算可以了,再想加强只靠换软件不太行,至少得上专业硬件证书。如果服务器明文记录密码再被入侵那真是原地爆炸。

全部靠大脑也不现实,不过还是把重要软件,尤其不带 2FA 的,今天全部从同步中去掉了,至少得保证有一个密码只存在于大脑里,并且只用在厂商安全性有保障的软件中,其他软件尽量动态密码登录,现在的主流设备摄像头和键盘的安全性还是够的,其他的账号,比如厂商不一定靠谱的,或者死活不提供 2FA 的,密码设置个 123456 当快捷登录,即使丢就丢了吧。
jousca
    59
jousca  
   2022-08-14 14:49:03 +08:00
@zalviny 我用 QQ 备忘录存密码…… 哈哈哈哈哈哈哈哈
weak
    60
weak  
   2022-08-14 14:52:13 +08:00
这个查看 chromium 密码和浏览记录的软件已经在 GitHub 上开源了,想想如果 TX 系等软件,每次读取一下记录和密码,真酸爽,在 Windows 不需要输入密码,在 mac 上需要输入密码,所以我选择 Mac 。
ltkun
    61
ltkun  
   2022-08-14 14:54:51 +08:00 via Android
这就是开源的意义 FOSS 其实最安全 相信商业公司等于出卖自己
ghs55kai
    62
ghs55kai  
   2022-08-14 15:09:38 +08:00 via iPhone
苹果的呢
a68UkLHpycW7ImyV
    63
a68UkLHpycW7ImyV  
   2022-08-14 15:10:33 +08:00 via Android
我上次在安装 bt 彗星的过程中,无意中安装了一个浏览器,这个浏览器竟然导入了我所有 chrome 的密码。。。
Eureka0
    64
Eureka0  
   2022-08-14 15:10:46 +08:00
@dingwen07 #55
@nbndco #56
这样啊,谢谢解答
phithon
    65
phithon  
   2022-08-14 15:10:55 +08:00   ❤️ 3
推荐一个项目,可以用于窃取世面上常见浏览器里保存的密码、Cookie 等信息: https://github.com/moonD4rk/HackBrowserData
Ne
    66
Ne  
   2022-08-14 15:12:47 +08:00 via Android
chrome 密码管理一直都不行。多年以前全部用 chrome 管理,有一次全部掉失,好多网站会员没了。之后换了 safeincloud 管理一直到现在,几刀的价格真不错
dcsuibian
    67
dcsuibian  
   2022-08-14 15:16:54 +08:00
在我看来,这相当于病毒攻破了人体的免疫系统,你却希望器官自己做好防护。

说真的,如果我是安全人员,我肯定主要想的是“怎么防止病毒进来”而不是“病毒进来以后怎么办”。
因为在后者的情景下,花了九牛二虎之力能获得的安全性提升仍然十分轻微。就好像你花了大量的时间去锻炼身体却不注重个人卫生一样。
万一病毒是监控你操作、远程控制你电脑的呢?

中病毒了,你应该首先重装系统、安装杀毒软件、不要轻易下载和运行二进制文件、提高自己的安全意识。

而且,我觉得你在选择 Chrome 作为密码存储软件时,已经对安全性和便利性做出了选择。
makelove
    68
makelove  
   2022-08-14 15:19:51 +08:00   ❤️ 1
快来用我 Firefox ,可以设置 Master password ,有效防止别的程序随便偷看密码
kwh
    69
kwh  
   2022-08-14 15:22:07 +08:00
@7zlid 我去,等复制完,几十分钟就过去了。。。
不要在 Windows 上运行未知软件不就行了?
即便运行未知软件,也得禁止联网,不就发不出去了?
而且莫名软件读取谷歌密码杀毒软件应该会发现吧?
比如借助 sandboxie 沙盒运行并禁止联网。
1and0
    70
1and0  
   2022-08-14 15:32:20 +08:00
没有此文件: C:\Users\<PC Name>\AppData\Local\Google\Chrome\User Data\Default\Login Data , 准确的说是没有 Default 这个文件夹
Chrome Version 104.0.5112.81 (Official Build) (64-bit)
sillyB
    71
sillyB  
   2022-08-14 15:36:18 +08:00
你的电脑怎么中的病毒,中的什么病毒?这个才是重点,不要倒打一耙 chrome ,如果自己的电脑都都被拥有最高权限了,怪别人?
totoro625
    72
totoro625  
   2022-08-14 15:38:21 +08:00   ❤️ 3
我推特账户被盗封号了,才知道自己本地有个病毒偷 cookies
正常都是偷取 cookies ,因为偷取密码的话绝大部分账户都有两步验证,登录后还会有邮件提示等等

火绒没任何提示,后来我下载了卡巴斯基扫到了
juejinloop
    73
juejinloop  
OP
   2022-08-14 15:40:56 +08:00
@sillyB “被拥有最高权限”,能不能读完帖子再发言?阅读能力有问题吗?服了,那么多字直接不看是吧。
wwbfred
    74
wwbfred  
   2022-08-14 15:42:50 +08:00   ❤️ 1
逻辑是这样的:如果一个密码库没有 Master Key ,那么玩得再花也没有用;如果一个密码库有 Master Key ,它也不能阻止一个具有 ROOT 权限的进程,因为 Master Key 需要输入,而 ROOT 权限可以得到你所有的输入。只有硬件级别的密码存储和管理方式才能杜绝在设备遭到入侵情况下密码被盗的问题,除此之外的 Master Key 本质上就是防流氓不防强盗的东西。
Chrome 最大的问题不是明文存储,而是它是浏览器会执行第三方代码。如果浏览器存在提权漏洞,就可能导致密码泄露,这才是不使用 Chrome 管理密码的最重要原因。
ysc3839
    75
ysc3839  
   2022-08-14 15:43:44 +08:00 via Android
@nbndco Windows 有类似 Keychain 的功能,叫 Credential Manager ,不过应该是不能阻止别的应用进行读取。
我不知道 macOS Keychain 能否阻止别的应用读取数据,但是保存的文件数据是阻止不了别的程序读取的。
lixinrui000
    76
lixinrui000  
   2022-08-14 15:45:01 +08:00 via Android
哇,太感谢楼主了,不说我完全不知道这一点,之前已经使用 1password 了,但 Chrome 存储的密码没有删,现在就删掉。另外:edge 有这个问题嘛?
ysc3839
    77
ysc3839  
   2022-08-14 16:05:27 +08:00 via Android
@ysc3839 macOS 的 Keychain 确实是能分应用限制访问的,会通过代码签名来判断是否是同一个应用。
https://stackoverflow.com/questions/58290058/how-does-macos-keychain-acl-determine-which-apps-have-access
explorerproxy
    78
explorerproxy  
   2022-08-14 16:05:42 +08:00
我也去删掉,话说不能批量删除嘛
felixcode
    79
felixcode  
   2022-08-14 16:07:56 +08:00   ❤️ 3
所以,按照楼上很多人的逻辑,密码存文本文件放桌面上就行了,任何防护都是徒劳。
因为只要终端不保证安全,其它方式保护数据的方式都是无效的。
如果有病毒读取了桌面上文本文件的内容,那就不是密码存放方式的问题,而是没有防住病毒的问题。
nyxsonsleep
    80
nyxsonsleep  
   2022-08-14 16:11:29 +08:00
@1and0 如果你新建一个用户会变成 Profile{int},再删除默认账户就没有 default 了
totoro625
    81
totoro625  
   2022-08-14 16:19:28 +08:00
@felixcode #79 这样理解没啥问题,因为都习惯于浏览器保存密码了,想偷密码的人不至于分析你一堆文档里面保存的密码,直接简单快捷的偷取浏览器,偷不到就换下一个,放桌面上比保存在浏览器里面“更安全”
当然遇到一个执着的小偷,肯定会把你文档全部看一遍的

可以用这个项目一键弄出全部密码数据(给出的示例已经被杀毒软件识别了,但是代码开源,完全可以自行编译再绕过杀毒软件): https://github.com/moonD4rk/HackBrowserData/blob/master/README_ZH.md
cc666
    82
cc666  
   2022-08-14 16:32:16 +08:00   ❤️ 9
楼上一群 chrome 孝子,笑死了,按照他们的逻辑,你把所有的密码记事本保存在桌面上就行了,以后厂商也不用做服务端加密了,被盗了就是你没保护好你的电脑。
Firefox 开启主密码后就不存在这个问题,Chrome 有没有,很久没用过了不知道,Edge 就算开启了,也可以直接读取,说白了就是没做好这个功能
JohnBull
    83
JohnBull  
   2022-08-14 16:35:06 +08:00 via Android   ❤️ 1
这种写死 preshared key 的加密方案完全是自欺欺人。但是不借助硬件或者网络,确实也没什么好办法。我们产品的方案是通过 508a 芯片解决的。我个人的方式是在自建的云服务里面搭建密码管理
VincentYoung
    84
VincentYoung  
   2022-08-14 16:37:06 +08:00 via iPhone
@dlsflh #2 windows 好像不用
Zyhusesit
    85
Zyhusesit  
   2022-08-14 16:38:52 +08:00
还有一种方式是把所有密码保存在一台不联网的设备上,不过缺点是自己取用的时候不够方便
shequ2046
    86
shequ2046  
   2022-08-14 16:43:27 +08:00
@totoro625 哈哈,从它给我的回复可以看出来,我说他是半桶水都是高抬他了,他完全没办法理解我和你的回复。
halberd
    87
halberd  
   2022-08-14 16:44:47 +08:00   ❤️ 1
基于用户的权限控制已经不适应流氓软件满天飞的新时代了…一些流氓软件不得不用,各种手动隔离措施一是门槛高,二是你也不知道有没有漏网的。
lizhenda
    88
lizhenda  
   2022-08-14 16:56:50 +08:00
见识了
nbndco
    89
nbndco  
   2022-08-14 17:02:28 +08:00
LZ 骂的飞起,能给我个方案或者思路,除非 Chrome 决定使用 master password (专有安全硬件肯定不可能,对吧),不然如何才能够做到“脚本小子写个程序加个壳”不能够读取浏览器密码的么。

就算有 master password ,其实我也不是很确定 windows 上 keylogger 需不需要什么特殊权限,或者系统有什么安全的输入方式。

你要是说通过这些“增强”能够防止不会写 keylogger 或者不会解密加密文件的脚本小子所以更安全,那真的是典型的 security theater show 了
amirobotics
    90
amirobotics  
   2022-08-14 17:07:06 +08:00
@lixinrui000 edge 和 chrome 像个两兄弟。但是好像只有 Microsoft Edge enterprise 是有加密的。

https://docs.microsoft.com/en-us/deployedge/microsoft-edge-enterprise-sync-faq
o00o
    91
o00o  
   2022-08-14 17:10:29 +08:00
@BeautifulSoap 而且动用炸-药是可以被授-权合-法,但是严 a 刑 b 逼 c 供让特 e 朗 d 普说出 chrome 密钥(假象的 chrome 用于保障密码安全的东东)是绝对非 a-%法的
o00o
    92
o00o  
   2022-08-14 17:11:30 +08:00
@o00o 发个回复太难了
juejinloop
    93
juejinloop  
OP
   2022-08-14 17:12:31 +08:00   ❤️ 22
@shequ2046 一上来就是抬杠怼人,而自己回复实质内容都没有。

“不懂装懂“,”半桶水“,”从头到尾都是谬误我就懒得提了”。然后来看看你又回复了什么?“只单纯说一下 gmail 的问题,gmail 是典型的就算你有账号密码也不可能登录的系统”

莫名其妙的,我帖子哪个地方说了 gmail 出了问题?我都写了 google 账号我有二验,没被 penetrate ,只是 chrome 密码管理存在本地的密码被偷了。你的回复文不对题,让我怎么回复?你还是回去找你语文老师重新教教你阅读理解吧。

按照我的观察,网上那种开口就是贬低别人然后一击脱离,而自己一点实际内容都没有输出的人,不是 troll 就是 moron ,多少都带点啥,就懒得和你浪费时间了 lol
lonely701
    94
lonely701  
   2022-08-14 17:33:29 +08:00 via iPhone
最好的密码管理就是自己的脑子。我从来不用密码自动填充,因为只有经常输入才能记住,如果密码忘了就用邮箱重置。
还有一个终极建议就是重要的东西都不放在互联网上,账号密码可以设置的极其简单,因为反正也没有重要的东西。
jim9606
    95
jim9606  
   2022-08-14 17:40:40 +08:00   ❤️ 1
我觉得理想的无密码验证方式应该是基于 Windows Platform Crypto Provider 的(这个 CSP 依赖 TPM ),将原来的解密密钥用 TPM 保护,解密时由系统进行用户认证和解密( Windows Hello 或 Windows 登录密码)。如果你用过 Windows 的客户端证书存储并启用强密钥保护,效果跟上面这个有个八成像。

Edge 启用设备密码加密后流程跟预期是一样的,可惜它实际实现依然是骗人的。
disk
    96
disk  
   2022-08-14 18:01:41 +08:00
很常见的,就是基于用户的加密,windows 上很多软件都用到了这种方式。如果要求更高的安全性,可能会附加用户输入主密码或者 windows hello 之类的二次验证方式。说是裸奔就搞笑了,如果不做二次验证的话,用户运行的程序权限等同用户,如果你觉得这种权限管理不好的话,那应该是 windows 背锅。
nguoidiqua
    97
nguoidiqua  
   2022-08-14 18:04:06 +08:00
任何自动填充保存密码的手段都是不安全的,因为它总要帮你解密然后把密码填上去,最后这一步反正可以轻松获取到你的密码。

自己输入密码解密看起来好像安全些,但输入这个解密密码也是可以被记录的,电脑不安全的情况下什么手段都不安全…

所以首先不要用这些工具记录重要密码,我自己只用自动填充保存那些不值得盗的密码,盗了都懒得改密码的那种。第二,保证电脑安全。
PaPaBoom
    98
PaPaBoom  
   2022-08-14 18:14:42 +08:00   ❤️ 1
@Chaidu #21 确实不懂,为什么 Chrome 保存密码会比 1Password 、Bitwarden 之类的密码管理器更安全,希望你不吝赐教
nyxsonsleep
    99
nyxsonsleep  
   2022-08-14 18:17:34 +08:00
chrome 都不用你进行对存储信息的二次加密。那么就肯定是明文。这么简单的事情还用想吗? message+key=cipher 。没有 key 哪来 cipher 。
如果默认不需要用户输入对存储信息的加密,那么这个加密肯定是个可逆的序列化或者加盐操作。逆向 dump 一下相关代码立刻就出来了。事实上,就算是个对称加密,没有输入 key 就等于有默认 key ,也可以 dump 出来。

依靠 chrome 自身实现安全不现实,除非用户把密码信息同步到云端。(经典隐私换 xx
你要想实现本地化的密码安全,首先最好是保证本地设备安全,如果不能保证,至少要保证远端设备安全。然后部署安全服务。
在手机上提供一个确信口令,从而让本机与云端沟通获取权限,拿帐号密码信息。(其实就是手机令牌
即使本机有病毒也只泄漏个别密码。保证本机的安全性才能省略掉手机令牌。
lcy630409
    100
lcy630409  
   2022-08-14 18:18:10 +08:00   ❤️ 1
没啥用
楼主这个问题 是自相矛盾的
任何程序 特别是这种开源程序,所有的加解密方式 包括存放路径 所有人都看的到,然后保存密码这种功能最终都必须得到明文密码输入网页里去,只要你电脑被入侵 有病毒来了 你就防不住

最重要的是防止别人进来 而不是别人进来 你再控制别人干啥

上面说 360 这些软件 不经过你同意去读你的密码 , 这是不可能存在的 你使用 360 就是因为别人的商业信誉 ,别人有读密码的行为 就会破坏商业信誉 你就不会去安装使用他的软件了 就和病毒没区别了
1  2  3  
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3496 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 95ms · UTC 10:45 · PVG 18:45 · LAX 02:45 · JFK 05:45
Developed with CodeLauncher
♥ Do have faith in what you're doing.