V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
huntley
V2EX  ›  分享发现

我发现 Edge 浏览器的密码管理有重大安全隐患!

  •  1
     
  •   huntley · 2022-05-25 20:07:18 +08:00 · 5247 次点击
    这是一个创建于 915 天前的主题,其中的信息可能已经有所发展或是发生改变。

    edge 浏览器中保存的密码不管有没有设置主密码都能被 firefox 直接导入。反过来就不行。无论在 firefox 中有没有设置主密码,edge 都无法从 firefox 导入密码。

    这意味着 edge 浏览器的密码是明文保存的,很容易被其他软件直接获取,edge 主密码基本就是自欺欺人的行为。firefox 相对来说更安全一点,但是在移动端作为密码自动填充器时还是存在类似 edge 的问题。

    所以我现在用的是 keepassxc 配合 onedrive ,全平台都能用,andriod 上用 Keepass2Android ,iOS 上用 keepassium ,都是开源的。书签用插件bookmarkhub备份。这样密码和书签全由自己控制,再也不会被任何浏览器绑架了,浏览器不好用随时能换。

    20 条回复    2022-05-28 22:20:56 +08:00
    butanediol2d
        1
    butanediol2d  
       2022-05-25 20:16:46 +08:00   ❤️ 2
    其实这个问题已经有不少讨论了,Google 搜索: V2EX Chrome 密码,就可以搜到很多。

    以及: https://github.com/AlessandroZ/LaZagne
    Buges
        2
    Buges  
       2022-05-25 20:18:42 +08:00 via Android
    不安全确实是不安全,但明文保存倒也不是。
    chromium 的密码是用当前登录的用户的用户凭据加密的,只要登录了就可以访问,和 bitlocker 那些透明加密类似。
    chenliang0571
        3
    chenliang0571  
       2022-05-25 20:43:26 +08:00
    设计逻辑可能是:
    如果恶意软件已经装在电脑上了,那么本机已经没有什么是安全的了。
    比如可以 headless 模式打开你的邮箱,接收重置的密码等。
    shuax
        4
    shuax  
       2022-05-25 20:50:39 +08:00 via Android
    非明文,使用当前用户加密
    totoro625
        5
    totoro625  
       2022-05-25 20:59:18 +08:00
    自从 Edge 没经过我的允许获取了 Chrome 保存的密码之后,我就弃用了让浏览器保存密码的方案
    再深入想一想,密码管理器内的密码在你解锁后也是可获取的
    引申出的一个思路是手机是密码中心,需要填充密码时发出请求到手机上,手机传输密码到电脑上,保证最多只有当前在用的密码是危险的
    最后就是微软等大厂目前大力推广的无密码账户,完全通过手机 App 点击登录,跳过输入密码这一个过程
    ltkun
        6
    ltkun  
       2022-05-25 21:01:31 +08:00 via Android
    @totoro625 对的 自从用上了 bitwarden 其他一切密码储存都关闭了 当然得自建服务器
    ttionya
        7
    ttionya  
       2022-05-25 23:51:52 +08:00 via Android
    一直在用自建的 vaultwarden ,用了几年了,甚至为了备份还写了备份工具…
    newmlp
        8
    newmlp  
       2022-05-26 09:49:28 +08:00
    这显然是根据当前登录用户凭据加密的,怎么可能明文保存
    mmdsun
        9
    mmdsun  
       2022-05-26 10:40:43 +08:00
    参考《 Edge 密码管理器安全性》
    https://docs.microsoft.com/zh-cn/deployedge/microsoft-edge-security-password-manager-security

    Microsoft Edge 存储在磁盘上加密的密码。 它们使用 AES256 进行加密,并且加密密钥保存在操作系统 (OS) 存储区域中。 此技术称为本地数据加密。 尽管并非所有浏览器数据都经过加密,但敏感数据(如密码、信用卡号和 Cookie )在保存时会进行加密。

    配置文件的加密密钥使用 Chromium OSCrypt 进行保护,并具有以下特定于平台的操作系统存储位置:

    在 Windows 上,存储区域为 DPAPI

    在 Mac 上,存储区域为密钥链

    在 Linux 上,存储区域是 Gnome Keyring 或 KWallet
    mmdsun
        10
    mmdsun  
       2022-05-26 11:01:58 +08:00 via iPhone
    @mmdsun
    你用 Edge 也能导入谷歌的密码呢。
    微软特意说了,所有这些存储区域都使用以用户身份运行的部分或所有进程可访问的密钥对 AES256 密钥进行加密。 此攻击途径在博客中通常被称为为可能的“攻击”或“漏洞”,这是对浏览器威胁模型和安全性的不正确理解。
    huntley
        11
    huntley  
    OP
       2022-05-26 11:52:05 +08:00
    用户登录凭据加密显然也是重大安全隐患,只要你处于登录状态就是明文的。
    huntley
        12
    huntley  
    OP
       2022-05-26 11:52:42 +08:00
    而密码管理器可以随时锁定数据库
    huntley
        13
    huntley  
    OP
       2022-05-26 11:55:20 +08:00
    firefox 还多一层加密,需要用主密码才能解开,而 edge 的主密码就是个自我欺骗的摆设,只要处在登录状态就一直是明文的。
    huntley
        14
    huntley  
    OP
       2022-05-26 12:04:01 +08:00
    QQ 以前就被曝出过扫描用户电脑上传服务器的事情。如果 QQ 想获取用户 edge 密码上传服务器简直是轻而易举的事情。
    dingwen07
        15
    dingwen07  
       2022-05-26 13:04:11 +08:00 via iPhone
    装个带主防的杀软就可以了
    我现在就设置只有浏览器之间才可以互相读取
    greatbody
        16
    greatbody  
       2022-05-26 17:56:24 +08:00
    @ttionya 分享下备份工具?
    codehz
        17
    codehz  
       2022-05-27 13:42:49 +08:00
    主要的问题是,如果真有木马进入系统(登陆后),安装一个键盘钩子把输入密码管理器的按键给截获下来就完事了。——打开浏览器之后再输入一次密码安全性上提升不大,倒是用户体验下降很多——这就所谓的家贼难防
    真要保证密码安全,建议使用外部硬件来做,也就所谓 Yubikey 一类
    而且木马不是非得直接偷密码,它也可以偷 cookies——除非你接受打开浏览器,无论要不要登陆,都需要再输入一次密码这样的流程(上面也说了,安全性没大区别,即便用硬件密钥,也完全防不住木马在你解锁后读取进程内存拿到 cookies——或者你还可以考虑每点开一个域名都插一下硬件密钥,这样倒是可以将风险降低到只有点开过的域名才能被偷的程度),所以如果定位在“系统被黑的前提下”,再去“保护浏览器的安全”,这实在是有点困难
    Greatshu
        18
    Greatshu  
       2022-05-27 15:14:38 +08:00
    bigtear
        19
    bigtear  
       2022-05-28 18:04:34 +08:00
    bitwarden 全平台存密码挺方便的,再用火绒吧浏览器所有数据都保护起来,只让浏览器自己访问
    ttionya
        20
    ttionya  
       2022-05-28 22:20:56 +08:00
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1047 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 22:38 · PVG 06:38 · LAX 14:38 · JFK 17:38
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.