V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
juejinloop
V2EX  ›  信息安全

chrome 密码泄漏了, 才知道用 chrome 保存密码等于裸奔

  juejinloop · 2022-08-14 12:31:38 +08:00 · 54027 次点击
这是一个创建于 850 天前的主题,其中的信息可能已经有所发展或是发生改变。

前几天电脑中毒了,虽然第一时间重装系统,但是隔天依然收到一大堆网站登录的 gamil 验证邮件,谷歌帐号也提示风险操作。密码管理一直用的 chrome 自带的,考虑是 chrome 保存的密码泄漏,于是连夜改了所有帐号密码,能二验的全部添加二验。然而第二天早上还是发现一台小鸡被人在 vps panel 里重装了 windows 系统,还好有数据备份,然后又改所有小鸡的 ssh 登陆密码。因为之前谷歌帐号开了二次验证,还好谷歌帐号没被登录。吃了这个惨痛的教训,我开始研究 chrome password manger 的安全问题,才发现 chrome 保存密码等于裸奔。

一篇解释如何获取 chrome 保存的密码的文章: https://ohyicong.medium.com/how-to-hack-chrome-password-with-python-1bedc167be3d

如果用 chrome 自带的密码管理保存密码,任何一个运行在你电脑上的程序,不需要管理员权限,都能解密并读取本地保存的密码。因为 chrome 的密码保存在本地加密的 sqlite 中,同时加解密密钥也明文保存在本地文件里,任何程序都能读取。

加密 sqlite 文件路径: C:\Users<PC Name>\AppData\Local\Google\Chrome\User Data\Default\Login Data

解密密钥文件路径 C:\Users<PC Name>\AppData\Local\Google\Chrome\User Data\Local State

额外说明一点是解密需要用到 win32 提供的 API CryptUnprotectData 函数,这个函数保证解密是和加密在同一台电脑(用户)进行的,所以如果直接复制硬盘的浏览器数据到其他电脑上是解密不了的,但是只要你的 Windows 登录了,任何程序只要想都可以解密 chrome 的密码然后上传。

现在考虑转 bitwarden 中。

第 1 条附言  ·  2022-08-14 13:20:44 +08:00
很多人都说电脑中毒了,任何密码管理都白搭。对比一下,需要手动输入解密密钥的密码管理,和直接把解密密钥保存在本地固定路径,攻击面不同,难度完全不一样。 前者 malware 需要读取你的内存获取密码,而后者,任何程序只要加两行代码,都可以在你不知情的情况下读取解密并上传你的 chrome 密码。你能保证你电脑上运行的所有程序都是有过代码审查的吗?
第 2 条附言  ·  2022-08-14 13:34:33 +08:00
可以说这安全性还比不上在本地 txt 文件里保存密码,至少 malware 不知道你的路径还需要扫盘,而你还可以决定你保存密码的方式。而 chrome 在本地保存的密码文件,解密密钥路径,还有储存格式都是固定不变的。只要往程序里加两行固定的代码,你就可以读取所有运行你程序的电脑上 chrome 保存的密码,可以说肯定有人会(已经)这样做。你能保证你电脑运行的文件都是善意的,还是你只编译运行你自己代码审查过的程序?你只能乐观地希望所有程序开发人员都是有道德的,相当于你自己把家门敞开,地址告诉所有人,然后希望没人会做小偷,至少给自己家上把锁吧?虽然锁也会被暴力撬开,但是难度能一样吗?
第 3 条附言  ·  2022-08-14 15:55:35 +08:00
老是有人说中毒了怎么的,我特意置顶说明一下,我帖子里的所谓“病毒”就是个普通二进制工具,看上去没什么问题。问题是而且根本没有给管理员权限,能读取硬盘文件就行了。

重点:关键点不是中毒与否! chrome 相当于一点防护措施都没有,直接把你密码明文保存。脚本小子写个程序加个壳,打包成什么工具,顺带读取你浏览器密码,你完全意识不到,杀毒软件也不会报毒(亲自试验)。除非你设置自定义规则只允许 chrome 读取相关的文件,但是又有多少人有这个意识呢?

有的人的逻辑就是,中毒了你就完蛋了,什么措施都没有用,所以明文保存还是存内存里都一样,没有办法实现绝对的安全,那干脆裸奔算了。这种逻辑我就不一一反驳了,你家门锁专业的随便能开,以后你家就敞开大门就是了,反正没区别对吧。
287 条回复    2024-01-27 22:34:36 +08:00
1  2  3  
lifansama
    101
lifansama  
   2022-08-14 18:45:24 +08:00 via Android
是时候拿出卡巴斯基来了?😂
keepMyselfClam
    102
keepMyselfClam  
   2022-08-14 18:55:41 +08:00
之前安装 edge 的时候,它提示可以将以前 chrome 的数据导入,然后我就点了个确认 书签和密码一起导入了 edge 中.
当时我就在想这玩意保存密码不安全(包括 chrome 和新版 edge).

之前我有看到有些密码保存软件除了在本地安装软件以外可以通过 chrome 的插件和浏览器联动.
每次输入密码时由插件从本地的密码保存软件中获取密码(这个过程需要你自己输入密码去解密本地数据库)
我觉得这种方式会更加安全.即使密码数据库被偷了也会由于没有解密密码而打不开.
但一直没什么时间去折腾,楼主要是有后续的实践经验,发出来看看呗.
Laobai
    103
Laobai  
   2022-08-14 18:56:04 +08:00
我用 Chrome 保存密码很多年了,我去 o(╥﹏╥)o
Kanna
    104
Kanna  
   2022-08-14 19:15:58 +08:00
现在在用 Windows 的 iCloud 同步密码,不知道会不会有这个问题
MengiNo
    105
MengiNo  
   2022-08-14 19:21:19 +08:00   ❤️ 2
@lcy630409 我相信这个论坛里至少一半人使用微信的同时都在慰问张小龙的妈。用不用某个软件至少在国内反正你的决定并不是很重要。
mobpsycho100
    106
mobpsycho100  
   2022-08-14 19:21:36 +08:00
Windows sandbox ,sandboxie ,火绒开文件夹访问保护和联网控制行不行? Mac 下面 little snitch?
paradoxs
    107
paradoxs  
   2022-08-14 19:22:44 +08:00   ❤️ 4
没人提到,原罪应该是 windows ??

都特么 2022 年了,还不能给系统每个软件默认自带沙箱环境,禁止软件之间相互读取。 (好歹给个可选项啊)
proxytoworld
    108
proxytoworld  
   2022-08-14 19:23:29 +08:00   ❤️ 1
@lcy630409 #100
qq 扫浏览器怎么看
yvkino
    109
yvkino  
   2022-08-14 19:34:22 +08:00
换 bitwarden 一年多了,chrome 密码太多了懒得删
cccer
    110
cccer  
   2022-08-14 19:35:58 +08:00   ❤️ 1
信任也是分等级的,虽然我信任电脑里运行的软件,并运行它们。可还没信任到将所有密码都明文放在它们眼底下,所以很早就从 Chrome 自带的密码管理切换到 Bitwarden ,每次自动填充时用指纹解锁也不麻烦。
sillyB
    111
sillyB  
   2022-08-14 20:10:43 +08:00
@juejinloop 你没表达清楚,眼睛也不好使吗?没看我写的“如果”?真想查明问题,把 病毒文件发出来,论坛有的是人帮你分析。不要没搞清楚,就在那儿乱喷
YaakovZiv
    112
YaakovZiv  
   2022-08-14 20:10:50 +08:00
```
@msaionyc 其实是有的,如果你愿意记住一个保险箱密码(每次填写密码前都输入 master password 解密 vault ),那还是有区别的。但是如果你想的是不要记住任何一个密码,我家谁都能进,但只有我能拿钱,那我只能说多少层多高级的保险箱都是毫无意义的 security theater 了。
```

@msaionyc 参考这种想法,那安全行业岂不是完全没价值了,这种观点有点偏激了。
version0
    113
version0  
   2022-08-14 20:21:43 +08:00
吓得我赶紧用火绒加一条规则,鬼鬼,这也太恐怖了,按网址给的方案,只要有程序想读取就能读取啊,这尼玛这谁顶得住,感觉已经被看过了,我的 qq 啥的密码都保存在 chrome 的
gaabing
    114
gaabing  
   2022-08-14 20:28:42 +08:00
Edge 呢
hheng101
    115
hheng101  
   2022-08-14 20:29:08 +08:00
用火绒给 Login Data 、Bookmarks 和 Local State 添加自定义规则了,不知道有没有用...
aladdinding
    116
aladdinding  
   2022-08-14 20:36:28 +08:00
弃用密码登录才是王道
CatCode
    117
CatCode  
   2022-08-14 20:43:00 +08:00
我现在只用 Chrome 浏览器存别人的密码
ysc3839
    118
ysc3839  
   2022-08-14 20:46:39 +08:00 via Android
不仅是 Windows ,Linux BSD 等传统桌面操作系统都是没有应用级别的权限控制的。
目前权限控制做得最好的桌面操作系统 macOS 也不能限制一个程序读取别的程序保存的数据,只能限制读取桌面、下载等几个特定的文件夹。
ysc3839
    119
ysc3839  
   2022-08-14 20:47:01 +08:00 via Android
@paradoxs 不仅是 Windows ,Linux BSD 等传统桌面操作系统都是没有应用级别的权限控制的。
目前权限控制做得最好的桌面操作系统 macOS 也不能限制一个程序读取别的程序保存的数据,只能限制读取桌面、下载等几个特定的文件夹。
crstudio
    120
crstudio  
   2022-08-14 20:52:31 +08:00
@msaionyc 嗯?!你认真的吗?一个抽屉和几百斤重的保险箱,区别不大?
QurakJaker
    121
QurakJaker  
   2022-08-14 20:55:46 +08:00   ❤️ 1
哈哈,我早就发现了,很早之前就把自己 Chrome 上 30 多个密码一个个删掉。现在的方案是,每月 12 元的 StrongBox 基于 Keepass ,加上 dropbox ,全平台同步。
paradoxs
    122
paradoxs  
   2022-08-14 21:04:24 +08:00
@ysc3839 如果你的软件是从 AppStore 里面下的,APP 就只能看到自己的根目录以及沙箱容器目录。
laydown
    123
laydown  
   2022-08-14 22:06:57 +08:00   ❤️ 2
我懂楼主,早知道 chrome 是这个德性,所以,我从来不在 chrome 上保存密码或者是表单数据。chrome 这个比放在记事本上明文都不安全,别人入侵你的电脑,如果你保存在记事本上,他们还得找一下是哪个记事本那段内容是帐号和密码的内容,然而如果是 chrome ,简直就是专为入侵者服务,可心无杂念直捣黄龙,上来就奔向 chrome 这里找帐号密码,还能自动登录。
Eiden
    124
Eiden  
   2022-08-14 22:16:24 +08:00
这么不安全的话, chrome 装机量这么大, 为啥没有发生大规模泄露事件呢? 一定是黑客们觉得没挑战性是吧
totoro625
    125
totoro625  
   2022-08-14 22:42:27 +08:00   ❤️ 2
@Eiden #124 还不得多亏了 360 带来的免费杀毒软件,而且偷你一堆密码也没用,难道还要挨个登录上去看看有没有价值?
例如:twitter 被盗然后转发广告,赚个一条五毛钱?不如直接锁了你的电脑勒索点钱

低端的:
这种盗取密码更容易发生在身边,你的同事,U 盘拷贝了一个网上免费下载的 HackBrowserData exe 文件过来,在你去卫生间的时候插入电脑,打开杀毒软件点击隔离区,点击恢复并添加到白名单,双击一下,获取了你全部的账户密码 cookie 表单数据,拔掉 U 盘走了。整个过程不会超过 1 分钟
然后他回到自己电脑上,用你的 cookie 欣赏你的百度网盘照片,看看你的论坛发言,找到你的小号记录

高级一点:
你的同事发来一个生日快乐.exe ,里面打包了 HackBrowserData 源码,搭配一个简单的上传小程序,一定要你打开看一下,在你打开的同时你的账户密码 cookie 表单数据全部被他获取,因为他花了点钱给软件加了壳,杀毒软件都以为是正规大公司的软件都没拦截,于是你在你同事面前就曝光了一切

终极一点:
/t/632958
/t/848050
他不知道你的所有账户?
至少也要扫描浏览器历史记录
lightcreater
    126
lightcreater  
   2022-08-14 22:44:17 +08:00
给我下吓一跳
感觉用火绒把 C:\Users\123\AppData\Local\Google\Chrome\User Data\Default 目录给加进去了
microxiaoxiao
    127
microxiaoxiao  
   2022-08-14 22:47:41 +08:00
楼主 不要在这瞎吹牛逼,我刚刚按照你的那篇文章看了,早没有 encrypt 这个字段了。你确定是 chrome 导致的?还是你自己用了一个很旧的版本。
MarioLuo
    128
MarioLuo  
   2022-08-14 22:55:55 +08:00 via Android
才从 lastpass 切换到 google chrome 的密码管理器,如果真是如主题所说的那样,又得切回去了
microxiaoxiao
    129
microxiaoxiao  
   2022-08-14 23:01:07 +08:00
我敢打保票,哪个哥们写的文章不可行(104.0.5112.81),他还写了一个简单的 Python 程序。在搜索引擎里面搜索 crack Chrome password ,能找到最新的文章就是这个。你这是现画靶在射箭的验证逻辑吧。
SekiBetu
    130
SekiBetu  
   2022-08-14 23:03:39 +08:00
byte10
    131
byte10  
   2022-08-14 23:03:58 +08:00
会不会是没有安装 360 呢?,一般有杀毒软件都没啥问题,很多程序员用 windows 就不爱安装杀毒软件,很是奇怪
huntley
    132
huntley  
   2022-08-14 23:05:57 +08:00
我早就发现这个安全隐患了,还在 v 站发过帖子,https://www.v2ex.com/t/855291#reply20 。还好我发现问题后及时转移了密码,以后不要用任何浏览器管理密码。
SekiBetu
    133
SekiBetu  
   2022-08-14 23:09:04 +08:00
最好的办法是使用微软的无密码账户,用你的手机的动态码或者短信来登录账号
yanyuechuixue
    134
yanyuechuixue  
   2022-08-14 23:23:24 +08:00 via Android
不懂请教一下,macos 存在这个问题么?
Sh3r1ock
    135
Sh3r1ock  
   2022-08-14 23:24:23 +08:00 via Android
有没有什么把 chrome 里的密码批量导入 bitwarden 的方案
huieh
    136
huieh  
   2022-08-14 23:25:41 +08:00
标记下
ssdde
    137
ssdde  
   2022-08-14 23:28:29 +08:00
楼主如果 chrome 真像你说的这么弱智,Google 公司为什么不倒闭解散算了
Masterlxj
    138
Masterlxj  
   2022-08-14 23:34:48 +08:00
我用的 enpass
Admin8012
    139
Admin8012  
   2022-08-14 23:47:26 +08:00 via Android
很简单刘慈欣早就告诉我们了:把字刻在石头上
Nitroethane
    140
Nitroethane  
   2022-08-14 23:54:58 +08:00 via iPhone
前段时间思科被黑客入侵了。原因就是一个员工的电脑被搞了,这位员工刚好把 vpn 的密码保存在 Chrome 里。当然 vpn 还有 mfa ,黑客继续用社工绕过了 mfa ,最终搞到公司内网了。前两天思科官方发文章了。有兴趣可以找找看
Helsing
    141
Helsing  
   2022-08-15 00:05:14 +08:00 via iPhone   ❤️ 6
看了一遍评论,很佩服某些人的洗地和对国外软件犯错的宽容度之高。要是国产软件,别说这么严重的安全问题,可能一个小问题就已经被喷出翔了……
patrickyoung
    142
patrickyoung  
   2022-08-15 00:12:34 +08:00   ❤️ 2
复习一下身份认证的三个要素:
- something you know
- something you have
- something you are

1. 你的终端是 something you have ,那么你主动运行了解密的程序,算是一种授权
2. Windows 系统账户登陆密码是 something you know ,你主动输入了密码 ( Windows 10 登陆状态下通过浏览器查看明文,需要二次输入账户密码。但是用了系统的 DPAPI CryptUnprotectData 函数解密是没问题的,你的终端都 Compromise 了,就好比:你家里已经进了贼,你跟贼说,别看这里。或者说:你家里已经进了贼 = 你已经把钥匙 /密码给了贼,然后你说 “贼,别看我小本本”,可能吗?是 Google 家的工程师是 SB 还是楼主半瓶醋?

你告诉我一下,如果你的终端已经 Compromise 什么有用? Master Key 加密后( 1Password )在本地的缓存密码同样是可以解密的,那按你的逻辑类推,1Password 只是用了不是系统从你的账户密码 Derive 出的 Key 而已,其他的都是使用了同样是公开的算法和 API ,网上有大把的解密程序,是不是 1Password 这样都不安全?

3. 你或许会说 Windows 有问题,为什么调用这种函数不二次验证?那么系统 Keychain , 也就是 @ysc3839 提到的 Credential Manager 里面的东西也是用这个函数加密的。系统里还有大量的需要加密的数据,这个过程是用户无感知的,如果每次都要这样验证对应的 Windows Desktop Session Token 对应的 Password ,那么我估计你下一个帖子就是微软的工程师是 SB 。

@juejinloop 至于你说 Linux / Mac 的就更是扯淡了,Mac 的系统 Keychain 依然是需要二次验证密码 / touch id / face id 。Linux 默认的 Chrome 密钥存储依赖于 org.freedesktop.secrets 的实现,狭义来说,目前 API 完善,使用广泛的就是 Gnome Keyring 和 KDE Kwallet ,也是类似的算法。也不是明文存储。

不要把其他家的工程师和 Security and Compliance 团队当 SB 。
ST0RMTR00PER
    143
ST0RMTR00PER  
   2022-08-15 00:13:21 +08:00
难道重点不是为什么会中毒吗?上网二十年都没中度过。
patrickyoung
    144
patrickyoung  
   2022-08-15 00:15:59 +08:00   ❤️ 2
@juejinloop 来,我告诉你,BitWarden 的 Desktop Client ,在你登陆解锁之后默认的 Vault Lockout 是 Never ,而且默认的 Clear Clipboard 也是 Never ,意味着什么?意味着只要你打开系统,解锁 Bitwarden 之后就是可以被任何人随意读取操作的,甚至你复制了密码,都会被任何能读取剪贴板的程序读取。

那么按照你的逻辑,Windows 下任何应用都可以读取 Clipboard ,在你的终端 Compromised 的情况下,任何人有权随时使用 RAT 操作你的电脑,接下来 Bitwarden 也是不安全的。

建议别用密码管理器,用脑子记着,忘了就自己认栽。
param
    145
param  
   2022-08-15 00:32:28 +08:00 via Android
文件系统上有种东西叫做权限。
通常来说,你利用 nginx 的漏洞 hack 进了去了,也读不到 mysql 的存储文件,因为通常 nginx 会用一个特定的用户来运行,而这个特定的用户并没有权限读取 mysql 的数据文件。
有人提到从内存中 dump 数据的,只要有权限的区分,chrome 的数据存在专有的内存空间中,其他应用就没办法读取得到。
在 Android 上,微信 QQ 能随便读到 chrome 的内容吗?不能。因为给 chrome 存储数据的区域是 chrome 特有的,只能给 chrome 来读写,其他应用无法读取。

所以:
1. 要怪 chrome 没有利用好权限机制
2. 要怪 windows 没有良好的权限机制提供给 chrome 去使用
3. 要怪使用者自己没有做好权限控制。我看楼上有些人说用火绒可以自己加权限规则,2022 年了,这种权限机制还要靠第三方应用来实现吗?

以上说的只是运行第三方不可信程序时的应对方式,而楼主提到的「中毒」,应该是说已经被拿到最高权限的意思了吧?拿到最高权限,怎么控制权限都没用。

想象一种情况是,公安收走了你的设备,将硬盘数据拷了出来,而如果是 android ,只要对方无法解锁,那么数据还是安全的。而像 windows 这种,按照楼主的说法,也并不是完完全全的明文,还是需要调解密接口的吧,是不是只要 windows 不解锁,也一样无法解密呢?
dototototo
    146
dototototo  
   2022-08-15 00:34:51 +08:00 via Android
没有实际在 Chrome 上保存过密码,如果真如楼主所说的这般,我会想到那些明文存储用户密码被脱裤的大厂们。
yvkino
    147
yvkino  
   2022-08-15 00:57:28 +08:00
webauthn 何时才能普及
int80
    148
int80  
   2022-08-15 01:45:05 +08:00 via Android
@shequ2046 照你这逻辑,为什么还要有密码呢,全上 2fa 不就行了?
ysc3839
    149
ysc3839  
   2022-08-15 01:48:45 +08:00 via Android
@paradoxs 是的,但那仅仅对商店应用有效,非商店应用只能限制访问桌面、下载等几个特定的文件夹。
Osk
    150
Osk  
   2022-08-15 01:52:33 +08:00
一直知道 Windows 上 chrome 不安全, 所以基本没有使用浏览器记录密码.

另外, edge 针对这个问题做过改进:
1. 填充密码时需要认证(Windows 账户密码), 但上面有人说了, 这是防 edge 自己的?

2. 使用主密码, 填充前需要输入主密码.
ysc3839
    151
ysc3839  
   2022-08-15 01:59:25 +08:00 via Android   ❤️ 3
@patrickyoung @param 我觉得本质的问题还是传统桌面操作系统没有应用级别的权限隔离,默认以用户身份运行就是用户授权了。Android 没有这个问题,正是因为它有应用级别的沙盒。
macOS 的 Keychain 就有“允许某程序访问该条目”的功能,一定程度上能缓解这种问题。
iseki
    152
iseki  
   2022-08-15 02:13:47 +08:00 via Android
早就知道这个问题了,除了那种每次使用前要你输入主密钥或者过一次 Windows Hello 之类的东西,都不安全……
所以个人很反感电脑上运行国产 /其他看着就不太行的软件,Windows 没有对应用程序的隔离,这个问题就没什么办法
3dwelcome
    153
3dwelcome  
   2022-08-15 02:13:57 +08:00
楼主你要这样想,病毒能读取你的 C:\Users<PC Name>\AppData 信息,肯定也能读取你的磁盘,你的代码,你公司的 SSH 远程帐号。

被盗几个帐号不吓人,公司服务器被黑了,公司代码被盗了,那你可是要背大锅的。
3dwelcome
    154
3dwelcome  
   2022-08-15 02:19:51 +08:00
@ysc3839 感觉 chrome 可以申请用 windows 管理员运行,读写账号密码,只有超级管理员才有访问权限。

那么普通的病毒 exe 如果没有人工提权,敏感文件也是没办法读取的。
ysc3839
    155
ysc3839  
   2022-08-15 03:31:40 +08:00 via Android
@3dwelcome 感觉这么做治标不治本,还是没有解决不同应用隔离的问题。而且微软员工曾经说过 UAC 不是安全机制,只有管理员和非管理员用户分开才能保证安全,那么这种做法对于大多数用户来说就是无效的。
https://devblogs.microsoft.com/oldnewthing/20160816-00/?p=94105
https://web.archive.org/web/20111216020913/http://channel9.msdn.com/Forums/Coffeehouse/473037-UAC-controversy-the-last-episode/773c9d79f8df4fa8bc489deb00e05c3d
yagamil
    156
yagamil  
   2022-08-15 04:03:24 +08:00
平时一些交易类的网站,邮箱不会用 chrome 保存密码,论坛这种就使用自带的 chrome 保存密码。这种泄露了无伤大雅的网站就随缘了吧。 也许人家网站已经被人拖过 x 次库了。
huangsen365
    157
huangsen365  
   2022-08-15 04:09:27 +08:00 via iPhone
所以 Chrome 默认自带了“建议设置复杂密码”随机复杂 然后 不要全部所有网站平台系统服务共用相同密码… 最后加上结合 MFA 验证码手机短信之类的… 不然 你保存在哪里还不是一样明文保存?
NIIIIIIIIIICE
    158
NIIIIIIIIIICE  
   2022-08-15 08:21:42 +08:00 via iPhone
enpass 好用
estk
    159
estk  
   2022-08-15 08:31:51 +08:00 via Android
win64 或者 mac 也可以被读取吗?
那个密码的密钥是跟着谷歌账号走吧?换电脑登陆谷歌账号密码也同步
MEIerer
    160
MEIerer  
   2022-08-15 08:39:05 +08:00 via Android
感觉使用谨慎点就行
void59468
    161
void59468  
   2022-08-15 08:50:52 +08:00
根本原因是 windows 和 linux 都没有进程级别的文件读取权限控制,它们的权限控制都是基于用户身份的
totoro625
    162
totoro625  
   2022-08-15 09:09:58 +08:00   ❤️ 2
@3dwelcome #153 病毒是个大帽子,谁都能往上扣
在这里 OP 只是举了一个病毒的例子,实际上流氓软件都可以是病毒,只是毒性较弱,没展现他更流氓的一面

大家并不担心能被杀毒软件识别的病毒读取 Chrome
而是担心那些白名单内的流氓软件读取你的 Chrome ,不光是常用软件,一些不常用的软件其实也在白名单内(甚至病毒)
至于腾讯系是已知的最爱读取浏览器历史记录的流氓软件了,他能直接读取你的密码,Chrome 就没锁门,他想读就能读,但是迫于商业软件的信任问题,目前设计上没读

怕的就是会有某个接口,某天想看指定人的隐私信息,点击一下让程序激活扫描你数据的功能。这个时候直接读 Chrome 又快又好,要是扫描你的磁盘,看你的文档,时间太长,数据量太大了
daolanfler
    163
daolanfler  
   2022-08-15 09:14:24 +08:00
看了这么多,我打算买一个小本本,专门来记密码。小本本上也不写明文密码,简单加密一下
lcy630409
    164
lcy630409  
   2022-08-15 09:28:52 +08:00
@daolanfler
不行,如果强盗直接闯入你家 拿枪指着你的头 让你解密,不还是明文
ws52001
    166
ws52001  
   2022-08-15 09:40:04 +08:00
早就 Bitwarden 自建了,挺好用的。
wolfie
    167
wolfie  
   2022-08-15 09:41:39 +08:00
现在还分 密文密钥了,我记得几年前就是一个明文文件。
Unclev21x
    168
Unclev21x  
   2022-08-15 09:42:47 +08:00
加密 sqlite 文件路径: C:\Users<PC Name>\AppData\Local\Google\Chrome\User Data\Default\Login Data

解密密钥文件路径 C:\Users<PC Name>\AppData\Local\Google\Chrome\User Data\Local State

没有人验证以下这个嘛?

Version 104.0.5112.81 (Official Build) (64-bit)


没有看到这 2 个文件夹。
clf
    169
clf  
   2022-08-15 09:42:54 +08:00
印象里所有的密码管理软件都支持本机 windows hello 验证。这应该和 chrome 验证的方式是一致的?
Unclev21x
    170
Unclev21x  
   2022-08-15 09:45:15 +08:00
Unclev21x
    171
Unclev21x  
   2022-08-15 09:46:36 +08:00
@juejinloop #8

没找到这 2 个文件夹啊。
Version 104.0.5112.81 (Official Build) (64-bit)
YR1044
    172
YR1044  
   2022-08-15 09:49:56 +08:00   ❤️ 2
建议使用 keepass ,非对称加密,防键盘记录器,防剪贴板监听,防读内存,免费
totoro625
    173
totoro625  
   2022-08-15 10:03:07 +08:00   ❤️ 1
@Unclev21x #168
是文件不是文件夹,版本 104.0.5112.81 (正式版本) ( 64 位)有的

你是魔改版的 Chrome 吗,我用 everything 搜索了一下,电脑上 4 个基于 Chrome/Chromium 的浏览器都有这两个文件

你可以用 https://github.com/moonD4rk/HackBrowserData/releases/ 无需管理员权限直接导出你电脑上不设防的浏览器密码
cshzgz
    174
cshzgz  
   2022-08-15 10:06:35 +08:00
自己電腦倒是沒有其他人使用,但是梯子可能是最大泄露的原因,用過共用的節點。
Danfi
    175
Danfi  
   2022-08-15 10:12:36 +08:00
针对这种问题我觉得看个人使用习惯,我是把密码分为重要和非重要两部分,其中重要的其实没多少,自己记住或者其他方法,而绝大部分都是不重要的,不重要的我选择相对方便的,用 Chrome 也没什么问题
yulgang
    176
yulgang  
   2022-08-15 10:20:41 +08:00
其实不只 Chrome ,用其他浏览器的密码也一样。。。参考 nirsoft_package 里面的浏览器密码查看工具。

建议楼主装个正经的杀毒软件,不运行来源不可信的程序😁
yy77
    177
yy77  
   2022-08-15 10:27:49 +08:00
chrome 至少应该为想要的人加一个 master 密码,要求每次填写都必须手工输入。如果觉得麻烦且不在意的可以关掉。
zsxeee
    178
zsxeee  
   2022-08-15 10:33:48 +08:00   ❤️ 2
其实上面有人的链接已经讨论过了,如果你没有给你的硬盘加 BitLocker 之类的,那甚至物理层面上有人用个 PE 就可以把密码拷走。

而根据所谓 Chrome 的安全负责人的说法,是不想提供“虚假的安全感”,用户需要知道有了电脑密码就拥有了一切权限。这个说法我倒是赞同,但浏览器也没有明确说明风险,而是依赖用户本身的安全意识,我相信大部分用户可能也就在其他浏览器迁移导入密码时才能发现端倪。而且除了 OEM 自带,也不会有多少用户会开 BitLocker 吧?更何况大部分用户装的 Windows 家庭版是没有 BitLocker 的。

上面“用户”的定义可能有些模糊,可以尝试带入大学生、毕业生这类刚装机的,而又不至于不关注安全的(宿舍属于半公共环境)。
hush3
    179
hush3  
   2022-08-15 10:42:22 +08:00
卧槽终于发现有人和我一样了。我是随便找了个网站下了个 XX 皮肤盒子,然后打开发现是个下载器,就给删了。电脑有装火绒,可能没报毒也可能我给放行了不记得了。。。 第二天开始发现我的邮箱发来好多异地登录、重置密码等邮件,感觉不对劲。chrome 浏览器直接给我账户注销了说电脑存在不安全隐患,无法登陆。后来我重做了系统,受到的影响有 twitter ,youtube 出现了许多外国语言视频的观看记录,telegram 被盗用 spam 导致账户被禁言,等我登录上时发现许多对话记录,至今未解开等等。
loolac
    180
loolac  
   2022-08-15 10:43:14 +08:00
中毒使第一道防线崩溃。后面就有 n 种方法获取你的密码了。
pkoukk
    181
pkoukk  
   2022-08-15 10:54:02 +08:00
chrome 雀食不行
yedanten
    182
yedanten  
   2022-08-15 10:57:19 +08:00 via Android
chrome 存的是密文,用当前系统用户的 dpapikey 进行加解密。
提取 key 需要管理员权限。

中病毒后,能否获取到你机器上保存的密码,只是难度和时间的问题,这锅要谷歌背就很冤枉
fareware
    183
fareware  
   2022-08-15 11:06:40 +08:00
mac 用 1password, 谁能用廉价的方案盗我(狗头)
huntagain2008
    184
huntagain2008  
   2022-08-15 11:20:13 +08:00
小白登进一台主机,想获取某个系统的登录密码,该系统只能通过 chrome 浏览器打开,我下载 nirsoft 的 WebBrowserPassViewer 尝试查看密码,结果什么也没有,在 chrome 浏览器查看也是什么也没有。然后我想电脑的使用者虽然不懂 IT 技术,但是密码从来都是通过自己的手机照片现场手动输入密码,从来都不让 chrome 记住密码。于是,只好作罢。
ZeroDu
    185
ZeroDu  
   2022-08-15 11:24:41 +08:00
这个老早之前就这样了;目前用火绒监控
totoro625
    186
totoro625  
   2022-08-15 11:31:10 +08:00
@hush3 #179 +1 我现在 twitter 被永久冻结,申诉至今为解开,用了好多年的老账户,关注了一堆有的没的,现在都看不到了


@yedanten #182 不需要管理员权限就能获取,例如 https://github.com/moonD4rk/HackBrowserData


@loolac #180 Windows 下运行的来历不明 exe 真的多,但是杀毒软件并不是都能识别出来的,别说伪装成正常使用的软件了,更甚于腾讯软件已知的明目张胆翻看你的浏览器历史记录,扫描硬盘
有兴趣的话可以关注一下 3Q 大战,国民软件完全可以标记哪些人上了哪些网站,账户 id 是什么
zsxeee
    187
zsxeee  
   2022-08-15 11:31:50 +08:00
@clf windows hello 是基于硬件 TPM 来保存的密钥,你不输密码无法解密
Unclev21x
    188
Unclev21x  
   2022-08-15 11:42:14 +08:00
@totoro625 #173 正常安装的,日常都是自动更新的。

那个软件被谷歌浏览器提示有风险,然后直接被火绒干掉了
Unclev21x
    189
Unclev21x  
   2022-08-15 11:47:31 +08:00
@Unclev21x #188 退出火绒,运行了一下,报错,然后出来的一个文件里面打开后,第一行出现的是这个目录:
C:\Users\XXX\AppData\Local\Google\Chrome\User Data\AutofillStates
Felix2Yu
    190
Felix2Yu  
   2022-08-15 11:55:26 +08:00
@Helsing 是的,绝了。还有说早就知道 Chrome 有这么个情况,然后结论是拒绝安装国产软件,免得被利用……
反思怪到这个程度也是想不到
totoro625
    191
totoro625  
   2022-08-15 12:04:04 +08:00
@Unclev21x #189 你的 Chrome 或许跟比尔不一样
我的 Firefox 加了主密码,运行完之后,exe 文件所在目录会出现 chromiumKey 、firefoxPassword 文件和 results 目录
results 目录里面是 chrome 、Firefox 和 edge 的一堆记录,除了 Firefox 防住了密码,其他都没防住
FengMubai
    192
FengMubai  
   2022-08-15 12:11:26 +08:00

edge 可以使用设备密码加密
EeffDev
    193
EeffDev  
   2022-08-15 12:32:26 +08:00
@nbndco 我也想确认下 mac 下到底安不安全,因为我从 chrome 迁移到 edge 的时候,我记得密码是直接过来的
DeWjjj
    194
DeWjjj  
   2022-08-15 12:47:02 +08:00 via iPhone
劫匪都进家门了,你还谈权限控制有啥用呢?没事别乱下东西。
greenskinmonster
    195
greenskinmonster  
   2022-08-15 13:02:05 +08:00
搜索了一下,感觉这就是 Windows 的密码保护机制的问题,只要你登录系统了,在登录后运行的程序,就可以获取你保存的密码。这篇文章是 2020 年 4 月的,我不确定新的系统有没有变化。

https://blog.elcomsoft.com/2020/04/extracting-passwords-from-microsoft-edge-chromium/

引用结论 (DeepL 翻译)
由 Chromium 驱动的新微软 Edge 与 Edge Legacy 有很大不同。与其他基于 Chromium 的浏览器共享的新密码保护引擎与传统 Edge 采用的 DPAPI 保险库和凭证管理器有很大的不同。新的密码保险库为用户提供了与旧版 Edge 相同的保护水平,但由于底层引擎的开源性质,使用第三方工具提取密码要容易得多--如果而且只有在能够接触到用户的 Windows 凭证或已经验证的会话的情况下。除非可以恢复用户的 Windows 密码,否则冷磁盘图像攻击仍然是不可能的。
ylqhust
    196
ylqhust  
   2022-08-15 13:15:05 +08:00   ❤️ 3
真的离谱,chrome 你至少可以加个主密码好吧,需要的时候输入也不影响体验啊。现在纯纯裸奔,用户也完全不知道在裸奔,我一直都相信密码放在 chrome 是安全的,哪怕把不安全告诉用户也好啊,这种设计真的不干人事。
wydone
    197
wydone  
   2022-08-15 13:22:30 +08:00   ❤️ 1
好巧,今天 hackernews 首页上有一篇文章:Browser password managers – flawed security, by design!

说浏览器厂商们为了最大的易用性,把这种安全性有缺陷的方式作为默认设置,虽然它们也都有设置主密码的选项。作者认为解决方法很简单,让这些浏览器默认要求用户设置主密码,就像那些真正的密码管理器一样。

https://fractionalciso.com/browser-password-managers-flawed-security-by-design/
raysonlu
    198
raysonlu  
   2022-08-15 13:50:51 +08:00
所以,ios 的那套存储密码,是否也是 flawed security ?
DarkCat123
    199
DarkCat123  
   2022-08-15 13:58:53 +08:00
不光如此,还不支持第三方的 autofill 填充。。
见: https://bugs.chromium.org/p/chromium/issues/detail?id=1170065
Unclev21x
    200
Unclev21x  
   2022-08-15 14:16:42 +08:00
@totoro625 #191 谢谢。我重新搞了一次,密码确实全部被导出来了。细思极恐。咋整。离不开谷歌浏览器。而且,换个浏览器的话,比如用 edge ,打开 google 主页的时候,总是提醒你下载谷歌浏览器,好烦啊。
1  2  3  
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   850 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 33ms · UTC 22:13 · PVG 06:13 · LAX 14:13 · JFK 17:13
Developed with CodeLauncher
♥ Do have faith in what you're doing.