前几天电脑中毒了,虽然第一时间重装系统,但是隔天依然收到一大堆网站登录的 gamil 验证邮件,谷歌帐号也提示风险操作。密码管理一直用的 chrome 自带的,考虑是 chrome 保存的密码泄漏,于是连夜改了所有帐号密码,能二验的全部添加二验。然而第二天早上还是发现一台小鸡被人在 vps panel 里重装了 windows 系统,还好有数据备份,然后又改所有小鸡的 ssh 登陆密码。因为之前谷歌帐号开了二次验证,还好谷歌帐号没被登录。吃了这个惨痛的教训,我开始研究 chrome password manger 的安全问题,才发现 chrome 保存密码等于裸奔。
一篇解释如何获取 chrome 保存的密码的文章: https://ohyicong.medium.com/how-to-hack-chrome-password-with-python-1bedc167be3d
如果用 chrome 自带的密码管理保存密码,任何一个运行在你电脑上的程序,不需要管理员权限,都能解密并读取本地保存的密码。因为 chrome 的密码保存在本地加密的 sqlite 中,同时加解密密钥也明文保存在本地文件里,任何程序都能读取。
加密 sqlite 文件路径: C:\Users<PC Name>\AppData\Local\Google\Chrome\User Data\Default\Login Data
解密密钥文件路径 C:\Users<PC Name>\AppData\Local\Google\Chrome\User Data\Local State
额外说明一点是解密需要用到 win32 提供的 API CryptUnprotectData 函数,这个函数保证解密是和加密在同一台电脑(用户)进行的,所以如果直接复制硬盘的浏览器数据到其他电脑上是解密不了的,但是只要你的 Windows 登录了,任何程序只要想都可以解密 chrome 的密码然后上传。
现在考虑转 bitwarden 中。
1
xiaoen 2022-08-14 12:39:19 +08:00
我也一直都是 Chrome 保存密码,看的我也想换了,前短时间有活动还想着换成 1pass ,lastpass ,不过就是免费 1 年,终究嫌麻烦没换。。。现在想换了。怕
|
2
dlsflh 2022-08-14 12:40:32 +08:00 via Android 8
用 chrome 看密码的时候不是要验证电脑账户密码吗?
|
3
Liar1844 2022-08-14 12:40:35 +08:00 via Android 3
就是怕这个,所以改用 Bitwarden 自建了。
|
4
7zlid 2022-08-14 12:41:48 +08:00 via Android
Bitwarden 本地中毒 且已经解密。一样有泄漏的风险
用一台单独的电脑保存,用另一台登录 然后复制 Cookie 登录网站,是级别比较高的方案 |
5
7zlid 2022-08-14 12:44:23 +08:00 via Android 1
Yubikey 也算一个缓解方案
|
6
0o0O0o0O0o 2022-08-14 12:46:34 +08:00 via iPhone 5
如果你不能确保客户端的安全,那换了 bitwarden 也没有安全性可言。
|
7
glouhao 2022-08-14 12:48:25 +08:00 via Android
现在谷歌没有解决么
|
8
juejinloop OP @dlsflh 这个步骤就是个摆设,只在 Windows 上有,只能阻挡有人不经过你同意手动查看你的 chome 密码,对小白有用。Linux 就没有这骗人的一步,直接查看。
|
9
mcone 2022-08-14 12:50:09 +08:00
物理安全都不能保证,凭什么让第三方密码管理软件保证你的安全
最简单的逻辑就是,如果不能本地解密,怎么在各个加密方式都不同的(甚至是明文传输的)网站登陆呢 |
10
Jooooooooo 2022-08-14 12:55:02 +08:00
这...只要是类似保存密码的软件, 一旦泄露保存密码软件本身的密码, 都是裸奔.
要不然咋给你填啊, 肯定填的都是明文. |
11
Chaidu 2022-08-14 12:55:25 +08:00 23
电脑中毒了还关心 Chrome 保存密码安不安全?不更应该去 P 站看看有没有自己的做爱视频吗
|
12
vvhy 2022-08-14 12:56:17 +08:00
@dlsflh #2 额确实是个摆设,密码自动填充之后,按 F12 删掉 type=password 就能看到明文密码了。。。赞同楼上,得保证物理安全。
|
13
Biggoldfish 2022-08-14 12:56:18 +08:00
客户端都被攻击者控制了,换啥密码管理器都白搭。无论本地存储怎么加密,使用时总得解密加载到内存中,到时候 dump 出来就完事。
|
14
crayygy 2022-08-14 12:57:35 +08:00
|
15
tulongtou 2022-08-14 12:58:34 +08:00
mac 没有 win32 的 API ,是怎么处理这一块的呢?
|
16
hertzry 2022-08-14 12:58:58 +08:00 2
我在 OneDrive 上的 Excel 里保存密码。
|
17
crayygy 2022-08-14 12:59:24 +08:00
@crayygy #14 TL'DR: 某位思科员工的 Google Account 被盗,导致 Chrome 云同步的所有密码全部泄漏,即使已经 enable 了 2FA ,但仍然没能躲过攻击者。
|
18
lqcc 2022-08-14 13:03:46 +08:00
客户端都中毒了。。。
|
19
juejinloop OP @glouhao 搜了下,发现 Chrome 的开发者早就知道这个问题,但是并不打算改变: https://news.ycombinator.com/item?id=6166731
可以说这安全性还比不上本地 txt 保存密码,至少 malware 不知道路径还需要扫盘,而 chrome 的本地保存的密码路径都是固定不变的。 |
20
juejinloop OP @lqcc 阅读文章帖子内容,不需要中毒的程度,任何运行的程序都解密读取你的密码。你能保证你电脑上运行的二进制软件都是非恶意的吗,别说看不到源码的二进制程序,就是国产软件的扫盘还少吗?
|
21
Chaidu 2022-08-14 13:09:05 +08:00
@juejinloop #19 因为 Chrome 保存密码比 1Password 、Bitwarden 之类的密码管理器更安全,只是很多不懂的人以为 Chrome 保存密码不安全
|
22
lqcc 2022-08-14 13:10:26 +08:00
好几年没用过 windows 了~ mac 和 linux 有类似的安全问题吗?
|
23
juejinloop OP @Biggoldfish 攻击面不同,严重程度也不一样,读取内存和读取本地固定不变路径的文件难度能一样吗?
|
24
juejinloop OP @Chaidu 确实“不懂”,要不你解释下呗。
|
25
cloudsigma2022 2022-08-14 13:14:16 +08:00
请问,如何在自动填充密码和安全性之间取得平衡?
|
26
nbndco 2022-08-14 13:15:45 +08:00
@juejinloop 这大概就是安全的错觉吧。
从安全性的角度来说,不论 Chrome 做什么都是没有任何意义的。Chrome 的代码本身是开源的,密码储存逻辑必然是公开的,有心人不需要花太大精力研究就可以搞明白。只要 Chrome 的密码管理可以离线运作,那所有解密密码的信息必然全部存在本地。 如果软件没有恶意(我不能理解一个想要读你的密码的程序为什么你觉得不是病毒),那怎么做都没差。如果软件有恶意,那 Chrome 不论做什么这个软件都可以轻松根据 Chrome 的源码破解。 |
27
ltkun 2022-08-14 13:16:28 +08:00 via Android
所以很多基于 chrome 的浏览器都加了密码验证才能读取保存的密码 弃用 chrome 才是王道哈 ff 也可以
|
29
nbndco 2022-08-14 13:19:19 +08:00
@ltkun 只是加了 Google 同步的部分,其他逻辑都一样的。Google 也不可能给 Chrome 做的比 chromium 更安全。
|
30
yehoshua 2022-08-14 13:20:24 +08:00 1
有一次装了火狐,然后导入 chrome 数据,火狐就把整个 chrome 的密码同步过来了。我当时的心情是崩溃的,就换 Bitwarden 了。
|
31
neptuno 2022-08-14 13:20:50 +08:00 via iPhone
确实很不安全,相当于存在一个记事本里面
|
32
x199ian 2022-08-14 13:22:42 +08:00 1
@mcone emmm 密码管理软件不用保证密码存储的安全,这合理吗?不可能保证绝对的安全,但 chrome 这一戳就破,也有问题吧。
|
33
felixcode 2022-08-14 13:23:20 +08:00 via Android 9
不懂装懂的人真多
比如 bitwarden ,也是开源,真要了解怎么做到安全的,去看看它的 security whitepaper 吧。 如果非要说防不住内存 dump 之类的就用了也没意义,那什么安全防护都别做了,什么都没意义。 |
34
MengiNo 2022-08-14 13:30:09 +08:00
macOS Chrome 的密码应该最终是落在 keychain 里,不知道 keychain 这种与安全硬件配合的东西,针对这种中毒啥的有没有一些预案措施。
|
35
konakona 2022-08-14 13:30:44 +08:00
我认为,大家应该重视的是:正应为 google chrome 的这种明文保存到加密 sqlite 里的行为全网公知。那么很多木马、网马想尽办法进入到被害者电脑后会最优先去获取 google chrome 的密码!这是一个攻击意愿清晰明确的行为。
我现在意识到这一点后,也不打算用 Google chrome 保存重要的密码了。 不知道 Safari 的保存密码怎么样? |
36
docx 2022-08-14 13:31:31 +08:00 via iPhone
虽然这设计是有点“简单”,但我还是觉得问题的关键错了。
在任何不安全的环境下解密,发生泄露都是顺理成章的事。换成其它工具,病毒依然有办法做到,看上去更加隐蔽。 |
37
shequ2046 2022-08-14 13:39:46 +08:00 3
哈哈,典型的不懂装懂半桶水,从头到尾都是谬误我就懒得提了,只单纯说一下 gmail 的问题,
gmail 是典型的就算你有账号密码也不可能登录的系统, 黑客也不是楼主这种半桶水所以也不会去偷账号密码, 它们偷的是 cookies 。 |
38
juejinloop OP @shequ2046 你这评论,我都不知道怎么回复你
|
39
dingwen07 2022-08-14 13:48:14 +08:00 1
用了 Windows 数据保护 API 来进行加密的,但这个 API 不会限制进行加密和解密的应用程序,所以本地恶意应用可以直接解密。macOS 的 Keychain 会用代码签名进行保护。
用密码管理器确实会好一点,至少加密密钥只会存储在内存里,不过要读的话也还是可以的,ReadProcessMemory 了解一下。 |
40
0o0O0o0O0o 2022-08-14 13:50:32 +08:00 via iPhone 1
> 你能保证你电脑上运行的所有程序都是有过代码审查的吗?
很简单,不被我信任的程序不应该在我的电脑上运行,隔离方案也不是没有。 我很喜欢 bitwarden 不会在内存中长期留存明文,但我绝对不会有“依靠客户端的这些特性来拖慢攻击者的脚步”的幻想。 我觉得中过恶意软件了,优先级应该是想办法怎么不再中招,或者想想怎么把敏感数据从这类容易中招的设备彻底撤离。 没有绝对安全,不过考虑问题的优先级还是可以有的。 |
41
o00o 2022-08-14 13:54:30 +08:00 7
楼上说中毒了就不能怪 chrome 的,如果说某应用软件或者 360 杀毒里面加一段读取你 chrome 密码的代码就问你怕不怕。
不安全就是不安全,开脱什么,想做的更安全肯定有办法 |
42
nbndco 2022-08-14 13:59:42 +08:00
@konakona 但是你有没有想过,Chrome 的密码必然是保存的原文,你打开 Chrome 填写密码之前也没有输过任何 master password ,离线也可以输入密码,所以可以完全还原你保存密码的所有信息必然全部保存在你的机器上。
这根本不需要被发现,是必然的啊。 Safari 安全的多,Safari 背后使用 keychain 保存密码,系统级地进行权限控制,所以你不可能写任何程序(除非出现安全漏洞)偷偷读到 Safari 保存的密码。并且每次输入密码前都需要进行指纹 /人脸认证,也就意味着密码不会明文储存在 Safari 中,也不会被任何其他程序通过任何方式冒充 Safari 获取。 |
44
0o0O0o0O0o 2022-08-14 14:03:57 +08:00 via iPhone
@o00o 360 杀毒这种高权限黑科技常驻软件,可以说它想要什么就能拿到什么。绝大部分人只要选择安装使用这类软件,就默认只能信任 360 公司的商誉。
|
45
nbndco 2022-08-14 14:04:04 +08:00
@konakona 不过在 Mac 上,Chrome 应该是用的 keychain 保存密码 /或者加密密码的,比 windows 上应该安全的多。windows 没有 keychain ,我也不懂如何有一个好用又安全的方案(除非你每次填密码之前都输一遍 master password )
|
46
msaionyc 2022-08-14 14:04:45 +08:00 via iPhone
人都进你家了,你用抽屉放钱,还是用保险箱放钱,区别是不大的
|
47
nbndco 2022-08-14 14:07:06 +08:00 1
@msaionyc 其实是有的,如果你愿意记住一个保险箱密码(每次填写密码前都输入 master password 解密 vault ),那还是有区别的。但是如果你想的是不要记住任何一个密码,我家谁都能进,但只有我能拿钱,那我只能说多少层多高级的保险箱都是毫无意义的 security theater 了。
|
49
Constantping 2022-08-14 14:13:23 +08:00 1
|
50
Felldeadbird 2022-08-14 14:17:25 +08:00
其实 chrome 只要加多一道自动填充密码前输入密码或者时效令牌校验就安全了。
|
51
BeautifulSoap 2022-08-14 14:25:11 +08:00 via Android 9
我觉得 ls 很多人说这不怪 chrome 是明显不对的,chrome 这种密码管理的安全性和明文没区别,虽然如果客户端不安全被病毒动用了键盘记录,内存 dump 之类的方法的话大部分软件都顶不住,但 chrome 这种几乎是明文记录的方法绝对不应该采用
一样东西顶不住降维打击不应该成为一张纸就将其压扁的理由 |
52
JamesR 2022-08-14 14:25:52 +08:00
感谢楼主发帖,看样子得从 Chrome 里剔除能交易的账户登录密码了。我随便写个程序,加个壳,过杀软,专门读取 Chrome 密码然后上传到指定空间,简直不要太容易。
|
53
Eureka0 2022-08-14 14:28:25 +08:00
@nbndco #45 刚试了下,Mac 上用 Chrome 自动填充密码(不需要指纹 / 密码验证)后,F12 把 type=“password” 改成 “text” 就能看到明文,而 Safari 则是自动填充前必须指纹验证,有点怀疑 Mac 上 Chrome 到底是不是用的 keychain
|
54
BeautifulSoap 2022-08-14 14:33:00 +08:00 via Android 12
@msaionyc 你这观点是绝对错的。正好这几天有个举世闻名的例子可以反驳你。最近 FBI 抄了懂王的家,为了开懂王家的保险箱,FBI 动用了炸药才做到。
这个例子反倒证明了一个好的保险箱的用处,了。一个好的保险箱,就连 FBI 都只能用炸药这种降维打击的方法才能解决,那小偷进你家放保险箱和直接放抽屉是明显不同的。当然前提是你家得是个好的保险箱,而 chrome 这保险箱的质量明显并不好 |
55
dingwen07 2022-08-14 14:36:51 +08:00
@Eureka0 #53
macOS 的 Keychain 可以做到只有 Chrome 能够获取到 Chrome 自己保存的加密密钥,也就是说别的软件无法进行读取。比如,Edge 如果要从 Chrome 导入数据,就必须要请求用户输入账户密码。 |
56
nbndco 2022-08-14 14:37:11 +08:00
@Eureka0 当然填完密码就可以看到明文了啊,不然填啥。
Chrome 填密码只是没有再做验证,但是用的 keychain 应该是限制了只能 Chrome 访问的。也就是只要是 Chrome 就随时能访问。Safari 的话,就是就算是 Safari 也要再验证一次。 |
57
zalviny 2022-08-14 14:46:29 +08:00
就我一个人是用 excel 文档保存账号密码的嘛?...我还给文档加了个保护密码,不知道有没有用 XD
|
58
haodingzan 2022-08-14 14:47:34 +08:00
感谢楼主发帖,说实话以前没考虑过这种情况。回复里提到的都挺有道理,电脑被入侵了,拿了权限用什么都玩完,顶多是能坚持多久,就看能不能在被彻底破解之前堵上窟窿,如果设备本身安全的话其实 Chrome 同步密码的安全性还算可以了,再想加强只靠换软件不太行,至少得上专业硬件证书。如果服务器明文记录密码再被入侵那真是原地爆炸。
全部靠大脑也不现实,不过还是把重要软件,尤其不带 2FA 的,今天全部从同步中去掉了,至少得保证有一个密码只存在于大脑里,并且只用在厂商安全性有保障的软件中,其他软件尽量动态密码登录,现在的主流设备摄像头和键盘的安全性还是够的,其他的账号,比如厂商不一定靠谱的,或者死活不提供 2FA 的,密码设置个 123456 当快捷登录,即使丢就丢了吧。 |
60
weak 2022-08-14 14:52:13 +08:00
这个查看 chromium 密码和浏览记录的软件已经在 GitHub 上开源了,想想如果 TX 系等软件,每次读取一下记录和密码,真酸爽,在 Windows 不需要输入密码,在 mac 上需要输入密码,所以我选择 Mac 。
|
61
ltkun 2022-08-14 14:54:51 +08:00 via Android
这就是开源的意义 FOSS 其实最安全 相信商业公司等于出卖自己
|
62
ghs55kai 2022-08-14 15:09:38 +08:00 via iPhone
苹果的呢
|
63
a68UkLHpycW7ImyV 2022-08-14 15:10:33 +08:00 via Android
我上次在安装 bt 彗星的过程中,无意中安装了一个浏览器,这个浏览器竟然导入了我所有 chrome 的密码。。。
|
65
phithon 2022-08-14 15:10:55 +08:00 3
推荐一个项目,可以用于窃取世面上常见浏览器里保存的密码、Cookie 等信息: https://github.com/moonD4rk/HackBrowserData
|
66
Ne 2022-08-14 15:12:47 +08:00 via Android
chrome 密码管理一直都不行。多年以前全部用 chrome 管理,有一次全部掉失,好多网站会员没了。之后换了 safeincloud 管理一直到现在,几刀的价格真不错
|
67
dcsuibian 2022-08-14 15:16:54 +08:00
在我看来,这相当于病毒攻破了人体的免疫系统,你却希望器官自己做好防护。
说真的,如果我是安全人员,我肯定主要想的是“怎么防止病毒进来”而不是“病毒进来以后怎么办”。 因为在后者的情景下,花了九牛二虎之力能获得的安全性提升仍然十分轻微。就好像你花了大量的时间去锻炼身体却不注重个人卫生一样。 万一病毒是监控你操作、远程控制你电脑的呢? 中病毒了,你应该首先重装系统、安装杀毒软件、不要轻易下载和运行二进制文件、提高自己的安全意识。 而且,我觉得你在选择 Chrome 作为密码存储软件时,已经对安全性和便利性做出了选择。 |
68
makelove 2022-08-14 15:19:51 +08:00 1
快来用我 Firefox ,可以设置 Master password ,有效防止别的程序随便偷看密码
|
69
kwh 2022-08-14 15:22:07 +08:00
@7zlid 我去,等复制完,几十分钟就过去了。。。
不要在 Windows 上运行未知软件不就行了? 即便运行未知软件,也得禁止联网,不就发不出去了? 而且莫名软件读取谷歌密码杀毒软件应该会发现吧? 比如借助 sandboxie 沙盒运行并禁止联网。 |
70
1and0 2022-08-14 15:32:20 +08:00
没有此文件: C:\Users\<PC Name>\AppData\Local\Google\Chrome\User Data\Default\Login Data , 准确的说是没有 Default 这个文件夹
Chrome Version 104.0.5112.81 (Official Build) (64-bit) |
71
sillyB 2022-08-14 15:36:18 +08:00
你的电脑怎么中的病毒,中的什么病毒?这个才是重点,不要倒打一耙 chrome ,如果自己的电脑都都被拥有最高权限了,怪别人?
|
72
totoro625 2022-08-14 15:38:21 +08:00 3
我推特账户被盗封号了,才知道自己本地有个病毒偷 cookies
正常都是偷取 cookies ,因为偷取密码的话绝大部分账户都有两步验证,登录后还会有邮件提示等等 火绒没任何提示,后来我下载了卡巴斯基扫到了 |
73
juejinloop OP @sillyB “被拥有最高权限”,能不能读完帖子再发言?阅读能力有问题吗?服了,那么多字直接不看是吧。
|
74
wwbfred 2022-08-14 15:42:50 +08:00 1
逻辑是这样的:如果一个密码库没有 Master Key ,那么玩得再花也没有用;如果一个密码库有 Master Key ,它也不能阻止一个具有 ROOT 权限的进程,因为 Master Key 需要输入,而 ROOT 权限可以得到你所有的输入。只有硬件级别的密码存储和管理方式才能杜绝在设备遭到入侵情况下密码被盗的问题,除此之外的 Master Key 本质上就是防流氓不防强盗的东西。
Chrome 最大的问题不是明文存储,而是它是浏览器会执行第三方代码。如果浏览器存在提权漏洞,就可能导致密码泄露,这才是不使用 Chrome 管理密码的最重要原因。 |
75
ysc3839 2022-08-14 15:43:44 +08:00 via Android
@nbndco Windows 有类似 Keychain 的功能,叫 Credential Manager ,不过应该是不能阻止别的应用进行读取。
我不知道 macOS Keychain 能否阻止别的应用读取数据,但是保存的文件数据是阻止不了别的程序读取的。 |
76
lixinrui000 2022-08-14 15:45:01 +08:00 via Android
哇,太感谢楼主了,不说我完全不知道这一点,之前已经使用 1password 了,但 Chrome 存储的密码没有删,现在就删掉。另外:edge 有这个问题嘛?
|
77
ysc3839 2022-08-14 16:05:27 +08:00 via Android
@ysc3839 macOS 的 Keychain 确实是能分应用限制访问的,会通过代码签名来判断是否是同一个应用。
https://stackoverflow.com/questions/58290058/how-does-macos-keychain-acl-determine-which-apps-have-access |
78
explorerproxy 2022-08-14 16:05:42 +08:00
我也去删掉,话说不能批量删除嘛
|
79
felixcode 2022-08-14 16:07:56 +08:00 3
所以,按照楼上很多人的逻辑,密码存文本文件放桌面上就行了,任何防护都是徒劳。
因为只要终端不保证安全,其它方式保护数据的方式都是无效的。 如果有病毒读取了桌面上文本文件的内容,那就不是密码存放方式的问题,而是没有防住病毒的问题。 |
80
nyxsonsleep 2022-08-14 16:11:29 +08:00
@1and0 如果你新建一个用户会变成 Profile{int},再删除默认账户就没有 default 了
|
81
totoro625 2022-08-14 16:19:28 +08:00
@felixcode #79 这样理解没啥问题,因为都习惯于浏览器保存密码了,想偷密码的人不至于分析你一堆文档里面保存的密码,直接简单快捷的偷取浏览器,偷不到就换下一个,放桌面上比保存在浏览器里面“更安全”
当然遇到一个执着的小偷,肯定会把你文档全部看一遍的 可以用这个项目一键弄出全部密码数据(给出的示例已经被杀毒软件识别了,但是代码开源,完全可以自行编译再绕过杀毒软件): https://github.com/moonD4rk/HackBrowserData/blob/master/README_ZH.md |
82
cc666 2022-08-14 16:32:16 +08:00 9
楼上一群 chrome 孝子,笑死了,按照他们的逻辑,你把所有的密码记事本保存在桌面上就行了,以后厂商也不用做服务端加密了,被盗了就是你没保护好你的电脑。
Firefox 开启主密码后就不存在这个问题,Chrome 有没有,很久没用过了不知道,Edge 就算开启了,也可以直接读取,说白了就是没做好这个功能 |
83
JohnBull 2022-08-14 16:35:06 +08:00 via Android 1
这种写死 preshared key 的加密方案完全是自欺欺人。但是不借助硬件或者网络,确实也没什么好办法。我们产品的方案是通过 508a 芯片解决的。我个人的方式是在自建的云服务里面搭建密码管理
|
84
VincentYoung 2022-08-14 16:37:06 +08:00 via iPhone
@dlsflh #2 windows 好像不用
|
85
Zyhusesit 2022-08-14 16:38:52 +08:00
还有一种方式是把所有密码保存在一台不联网的设备上,不过缺点是自己取用的时候不够方便
|
87
halberd 2022-08-14 16:44:47 +08:00 1
基于用户的权限控制已经不适应流氓软件满天飞的新时代了…一些流氓软件不得不用,各种手动隔离措施一是门槛高,二是你也不知道有没有漏网的。
|
88
lizhenda 2022-08-14 16:56:50 +08:00
见识了
|
89
nbndco 2022-08-14 17:02:28 +08:00
LZ 骂的飞起,能给我个方案或者思路,除非 Chrome 决定使用 master password (专有安全硬件肯定不可能,对吧),不然如何才能够做到“脚本小子写个程序加个壳”不能够读取浏览器密码的么。
就算有 master password ,其实我也不是很确定 windows 上 keylogger 需不需要什么特殊权限,或者系统有什么安全的输入方式。 你要是说通过这些“增强”能够防止不会写 keylogger 或者不会解密加密文件的脚本小子所以更安全,那真的是典型的 security theater show 了 |
90
amirobotics 2022-08-14 17:07:06 +08:00
@lixinrui000 edge 和 chrome 像个两兄弟。但是好像只有 Microsoft Edge enterprise 是有加密的。
https://docs.microsoft.com/en-us/deployedge/microsoft-edge-enterprise-sync-faq |
91
o00o 2022-08-14 17:10:29 +08:00
@BeautifulSoap 而且动用炸-药是可以被授-权合-法,但是严 a 刑 b 逼 c 供让特 e 朗 d 普说出 chrome 密钥(假象的 chrome 用于保障密码安全的东东)是绝对非 a-%法的
|
93
juejinloop OP @shequ2046 一上来就是抬杠怼人,而自己回复实质内容都没有。
“不懂装懂“,”半桶水“,”从头到尾都是谬误我就懒得提了”。然后来看看你又回复了什么?“只单纯说一下 gmail 的问题,gmail 是典型的就算你有账号密码也不可能登录的系统” 莫名其妙的,我帖子哪个地方说了 gmail 出了问题?我都写了 google 账号我有二验,没被 penetrate ,只是 chrome 密码管理存在本地的密码被偷了。你的回复文不对题,让我怎么回复?你还是回去找你语文老师重新教教你阅读理解吧。 按照我的观察,网上那种开口就是贬低别人然后一击脱离,而自己一点实际内容都没有输出的人,不是 troll 就是 moron ,多少都带点啥,就懒得和你浪费时间了 lol |
94
lonely701 2022-08-14 17:33:29 +08:00 via iPhone
最好的密码管理就是自己的脑子。我从来不用密码自动填充,因为只有经常输入才能记住,如果密码忘了就用邮箱重置。
还有一个终极建议就是重要的东西都不放在互联网上,账号密码可以设置的极其简单,因为反正也没有重要的东西。 |
95
jim9606 2022-08-14 17:40:40 +08:00 1
我觉得理想的无密码验证方式应该是基于 Windows Platform Crypto Provider 的(这个 CSP 依赖 TPM ),将原来的解密密钥用 TPM 保护,解密时由系统进行用户认证和解密( Windows Hello 或 Windows 登录密码)。如果你用过 Windows 的客户端证书存储并启用强密钥保护,效果跟上面这个有个八成像。
Edge 启用设备密码加密后流程跟预期是一样的,可惜它实际实现依然是骗人的。 |
96
disk 2022-08-14 18:01:41 +08:00
很常见的,就是基于用户的加密,windows 上很多软件都用到了这种方式。如果要求更高的安全性,可能会附加用户输入主密码或者 windows hello 之类的二次验证方式。说是裸奔就搞笑了,如果不做二次验证的话,用户运行的程序权限等同用户,如果你觉得这种权限管理不好的话,那应该是 windows 背锅。
|
97
nguoidiqua 2022-08-14 18:04:06 +08:00
任何自动填充保存密码的手段都是不安全的,因为它总要帮你解密然后把密码填上去,最后这一步反正可以轻松获取到你的密码。
自己输入密码解密看起来好像安全些,但输入这个解密密码也是可以被记录的,电脑不安全的情况下什么手段都不安全… 所以首先不要用这些工具记录重要密码,我自己只用自动填充保存那些不值得盗的密码,盗了都懒得改密码的那种。第二,保证电脑安全。 |
98
PaPaBoom 2022-08-14 18:14:42 +08:00 1
@Chaidu #21 确实不懂,为什么 Chrome 保存密码会比 1Password 、Bitwarden 之类的密码管理器更安全,希望你不吝赐教
|
99
nyxsonsleep 2022-08-14 18:17:34 +08:00
chrome 都不用你进行对存储信息的二次加密。那么就肯定是明文。这么简单的事情还用想吗? message+key=cipher 。没有 key 哪来 cipher 。
如果默认不需要用户输入对存储信息的加密,那么这个加密肯定是个可逆的序列化或者加盐操作。逆向 dump 一下相关代码立刻就出来了。事实上,就算是个对称加密,没有输入 key 就等于有默认 key ,也可以 dump 出来。 依靠 chrome 自身实现安全不现实,除非用户把密码信息同步到云端。(经典隐私换 xx 你要想实现本地化的密码安全,首先最好是保证本地设备安全,如果不能保证,至少要保证远端设备安全。然后部署安全服务。 在手机上提供一个确信口令,从而让本机与云端沟通获取权限,拿帐号密码信息。(其实就是手机令牌 即使本机有病毒也只泄漏个别密码。保证本机的安全性才能省略掉手机令牌。 |
100
lcy630409 2022-08-14 18:18:10 +08:00 1
没啥用
楼主这个问题 是自相矛盾的 任何程序 特别是这种开源程序,所有的加解密方式 包括存放路径 所有人都看的到,然后保存密码这种功能最终都必须得到明文密码输入网页里去,只要你电脑被入侵 有病毒来了 你就防不住 最重要的是防止别人进来 而不是别人进来 你再控制别人干啥 上面说 360 这些软件 不经过你同意去读你的密码 , 这是不可能存在的 你使用 360 就是因为别人的商业信誉 ,别人有读密码的行为 就会破坏商业信誉 你就不会去安装使用他的软件了 就和病毒没区别了 |