手机:
华为手机,新安装的 Microsoft Authenicator ,使用的 QQ 邮箱(账号 A )登录的。 手机上有 Chrome ,使用账号 Gmail 邮箱(账号 B )登录的,Chrome 中未开启同步功能,自带密码管理器中默认开启了保存密码功能。保存的密码列表里只有一个路由器密码。
电脑:
Windows 10 ,Chrome 中也使用账号 B 登陆了,同样,未开启同步功能。自动保存了一些不太重要的密码。
我无法理解的是,我使用的是不同的设备(手机,电脑),不同的操作系统(安卓,Windows 10 ),不同的厂商( Microsoft ,Google )开发的不同的 App ( Authenticator ,Chrome ),登录的是不同的账号( A ,B ),这居然密码都能互通?我电脑 Chrome 上保存的所有密码都在 Authenticator 里看的一清二楚啊……
谁能帮我分析一下?
44 条回复 • 2024-12-26 14:16:34 +08:00
 |
1
ntedshen 9 天前
猜测是 edge 悄咪咪的导入了你的数据,然后和你的微软账户绑定了。。。
|
 |
2
yuhaofe 9 天前
Authenticator 里的密码就是 edge 的,可能是 edge 悄悄导入的 chrome 数据,或者询问你的时候你点太快直接同意了,浏览器自带的密码管理器对电脑里的其他软件相当于明文,不建议用
|
 |
3
jaysonmac 9 天前
Chrome 的密码基本属于裸奔,建议弃用,Edge 也一样。
|
 |
4
kneo OP |
 |
5
mgrddsj 9 天前 via Android  8
微软现在很鸡贼的,我隔三差五就在 Windows 开机/偶然间开启 Edge 时得到一个全屏弹窗,大意是“是否开启时不时从其它浏览器导入数据的功能”,默认是勾选的,如果没看清就点了下一步,Edge 里这个功能就会被打开。介意的话建议在 Edge 设置里找找相关选项关掉。
|
 |
6
ltkun 9 天前 via Android
取消浏览器记住密码功能 用自建密码管理器
不要用微软的 Authenticator 开源第三方多得是 不要用微软的其他东西 否则就忍受吧 |
 |
7
YuiTH 9 天前
@jaysonmac Chrome 最近版本引入了一个每次取保存的密码需要用 Windows Hello 验证的功能,这个应该是做了加密吧?
Edge 就不说了,确实是明文存储的。 |
 |
8
dobelee 9 天前
符合巨婴的阴间做派。可能你误点了导入 edge 。
|
 |
9
kokerkov 9 天前
什么?你还没删除 edge ?留着过年吗?
|
 |
10
falcon05 9 天前 via iPhone
第一次试用 edge 就算不勾选从 chrome 导入数据,它也能导入,我都不知道哪里出了问题。
|
 |
11
yazinnnn0 9 天前
别说 chrome, 我在手机上装了这个, 连系统的密码箱都接管了....
|
 |
12
totoro625 9 天前
|
 |
13
Mogamigawa 9 天前 via Android
搜索 反 edge 联盟
|
 |
14
Insolitude 9 天前 via Android
电脑上可以用组策略把 edge 的账号同步,登录,数据导入功能全禁用了。
|
 |
15
gletec 9 天前 via Android
建议别用微软的 authenicator
|
 |
17
MYDB 9 天前
装完 chrome 第一件事就是卸载 edge ,第二件事就是禁止 chrome 更新
|
 |
18
maix27 9 天前
微软和谷歌的 Authenicator App 都没问题,主要是 Chrome 太粪了,edge 尤粪,粪的 Chrome 和其他浏览器搞了个反 edge 联盟。
|
 |
19
chen05 9 天前
edge Chrome 之前的密码策略基本都是裸奔
现在用 edge+bitwarden,不用自带的密码管理器 微软的 Auth 主要是强绑定微软账号,偶尔需要验证账号用 |
 |
20
SOLIDxRaiden 9 天前
bitwarden 部署在自己 NAS 上,开个反向代理+singbox 逆向翻墙就完事了
|
 |
21
zgsf 9 天前
Edge 现在这么流氓了
|
 |
22
COW 9 天前 via Android
别用浏览器存密码就行了,跟 Authenicator 没什么关系。
|
 |
23
Just1n 9 天前
华为啥手机?可以直接使用微软的 Authenticator 嘛?
|
 |
24
prodeity 9 天前
我的苹果也是这个问题,包括很多我都不记得的网站都添加进来了.全乱了!!
|
 |
26
Flowing 9 天前
问下各位大佬,如果不用浏览器存密码,怎么方便的在浏览器里使用密码填充?
|
 |
28
hyodun 8 天前
是不是 firefox 相比 edge 和 chrome 要好些?
|
 |
29
zed1018 8 天前
|
 |
30
wanghoi 8 天前
Edge Password Manager 是闭源的,微软说是啥就是啥,也不知道有没有漏洞已经被利用了。
为了个人信息安全,建议别使用 Edge 存储密码。 国内的 Edge 更是作恶,浏览器入口卖给了国内某大厂,国内特有的各种广告跟踪 ID 的下三滥套路都来了。 |
 |
31
takeshima 8 天前 via iPhone
chrome 在 windows 里面居然是明文保存密码的吗? Linux 版的 chrome 都把密码保存在 keyring 里面啊
|
 |
33
xmarsman 7 天前 1
27 楼正解。如果既需要 Chrome 保存密码图方便,也要安全,那么可以用火绒之类的软件,自定义一个防护,把“C:\Users\<yourusername>\AppData\Local\Google\Chrome\User Data\*”这个目录的读写权限改成报警。那么任何软件访问,火绒都会提问,你自己看通过不通过即可。
|
|
34
totoro625 7 天前
@zed1018 #32 搜索关键词:chrome login data 解密
密匙文件放在了 C:\Users\***\AppData\Local\Google\Chrome\User Data\Local State 中的 encrypted_key 字段里 密码信息放在 C:\Users\***\AppData\Local\Google\Chrome\User Data\Default\Login Data 中的 sqlite 数据库中 严格来说,是加密保存,但是密码就贴在旁边,大家都称之为明文保存 |
|
35
zed1018 7 天前
@totoro625 #30
为什么在本地加密数据? 为什么不将加密密钥存储在其他位置,或者使获取更加困难? Internet 浏览器 ((包括 Microsoft Edge) )没有配备防御措施来防范由于以用户身份在计算机上运行的恶意软件而危害整个设备的威胁。 但是,程序(如 Microsoft Defender SmartScreen )和操作系统级保护(如 Windows Defender )旨在确保设备从一开始就不会受到威胁。 尽管无法抵御完全信任的恶意软件,但本地数据加密在某些情况下很有用。 例如,如果攻击者找到了一种方法来窃取磁盘中的文件,而无法执行代码,或者窃取了未受完整磁盘加密保护的笔记本电脑,则本地数据加密将使小偷更难获取存储的数据。 |
|
36
totoro625 7 天前
@zed1018 #35 不需要复制一份官方“冠冕堂皇”的解释
事实就是设计缺陷+暗示隐瞒=导致恶果 浏览器内部设置一套解密动画,让用户输入密码解密,“误以为”数据是被加密的,从而放松警惕造成更大的损失 如果我不是接触了 V2EX 和 github ,我可能一辈子都沉浸在“被保护”的谎言内 压根就不会想到,用户自己需要靠密码读取的内容,其实是一个保险柜旁边挂着钥匙这样的加密保存 PS:官方的辩解 1 、浏览器是没问题的,我们有额外的杀毒软件保护你的系统 必装软件、驱动级软件、过白软件....哪一个都能逃过 QQ/微信/输入法,品牌机 BIOS ,甚至是一次简单的 Windows update ,就能自动安装上了 2 、本地数据加密将使小偷更难获取存储的数据 攻击者再读取一下加密密码,人家在自己的电脑上解密不就好了 意思是分成两个文件保存增加了盗取的难度吗 |
|
37
zed1018 7 天前
@totoro625 #32 那么按你这么理解,ssh key 也是设计缺陷,因为私钥的密码是 optional 的。让人误以为用了私钥比密码安全,压根就不会想到任何可以读取到 users 目录的程序都可以偷走私钥,甚至都不需要记录下来解密的钥匙。
|
|
38
zed1018 7 天前
@totoro625 #32 换句话讲,截止到目前为止,有多少人的账号密码,是仅仅是因为存储到 chromium 系浏览器的自动账号填充功能导致丢失的?反正我是没听说,并且我这么多年不管是 chrome 还是 edge 也没有因为这样丢失过。
反倒是所谓的什么密码管理软件,倒是发生了几次大规模的泄漏事件/安全漏洞。不管是在线的( lastpass )还是离线的( keepass )。 |
|
39
totoro625 7 天前
@zed1018 #37 YubiKey:感谢不安全的设计,才有他的市场空间
ssh key 的密码可以绕过吗?我不是程序员不清楚 ssh key 不会标记他是哪台服务器的 key ,相比 ssh key 每个人的电脑都有基于 Chromium 的浏览器 |
|
40
totoro625 7 天前
@zed1018 #38
1 、我自己的 Chrome cookie 被盗 Google 当天全部登出,推特被封 200 天后申述回来,Instagram 永久丢了 其他损失就不得而知了 2 、微软总能在你疏忽的时候“偷”到 Chrome 的密码,然后很贴心的帮你上传到云端 3 、在线的密码管理软件数据泄露并不能证明另一个带在线的密码管理功能的软件更加安全,相反的只能证明他们都没那么安全 保存在 Chrome ,面临微软+谷歌的双重云端不安全 + 本地不安全 至于离线密码管理软件的安全漏洞,个人觉得内网安全性大于外网 |
|
41
zed1018 7 天前
@totoro625 #35
ssh key 的密码是可以不设置的,并且很多教程去教学的时候也是说的用 key 来达到“免密”ssh 。并且不光可以不设置,甚至还有在线的网站去生成,身边统计学里告诉我是真的有人去用的。 回到浏览器这个,就现在实践结果来讲,这个安全模型在这个成本下,是可行的。不是说什么事情上来就一定做到最全面才是有效的方案。也不是说因为 B 存在所以证明 A 完全不可行,如果真是这样的话,password manager 那得是多大的生意。 |
|
42
totoro625 7 天前
@zed1018 #41 回到浏览器的话题
OP 的疑问概括一下就是:自己在 Chrome 本地保存的隐私数据,却被 Microsoft 上传到云端 这里面压根就不是隐私数据会不会泄露的问题,而是我不想上传的数据被上传了 问题发生的本质是:1 、Chrome 没做“真”加密; 2 、微软“偷”数据 今天是偷密码,明天是偷文档和照片,微软永远是那个微软 /t/1096908 /t/1097761 /t/977705 |
|
43
zed1018 7 天前
@totoro625 #38 然而我只讨论的是字面意义上说 chromium 浏览器密码是明文存储这件事罢了,至于 edge 浏览器是如何在设置层面做什么障碍让用户“无意中”触发浏览器数据迁移功能,是骂也好还是集体诉讼不在我回帖的讨论范围之内。
|
 |
44
dehuadian 4 天前
看楼上这么多讨论,谁都没法证明谁更安全,那建议重要的网站加 2 次登录验证,剩下的听天命~
|
Select Language