V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
lwjcjmx123
V2EX  ›  问与答

chrome 浏览器竟然是明文保存密码。。。

  •  
  •   lwjcjmx123 · 2016-08-26 19:42:58 +08:00 · 20398 次点击
    这是一个创建于 3040 天前的主题,其中的信息可能已经有所发展或是发生改变。

    今天查看 chrome 浏览器高级设置,点密码管理进去看到 chrome 居然是明文保存密码。。。
    我的天,我的浏览器保存了两百多个密码都是明文的,假如我的电脑丢了岂不是什么都泄露了。。。 我以前居然不知道,以为这么大个浏览器总会有点加密措施吧。。。现在不敢用浏览器保存密码了。求 v 友们推荐好用的密码管理软件。

    第 1 条附言  ·  2016-08-27 12:43:16 +08:00
    额,我只是偶然看到了明文保存密码感觉不安全,想问问 v 友们有什么好的可以推荐的密码管理软件。不想用浏览器保存密码而已了。这种想法有错么,怎么就衍变成人身攻击了?各人有各人自己的想法,我觉得这种方式不是很好我就是错的?就因为和你们想的不一样所以就应该受批判?互联网的精神本来就是自由的,还不能有点自己的想法?
    第 2 条附言  ·  2016-08-27 14:04:41 +08:00
    好吧,我的表述方法有问题。。。我本来的意思是在 chrome 浏览器里能直接看到密码。这个不能叫明文保存密码。。。恩,我觉得能直接看到有点不安全。然后就是总有刁民想害朕,好吧,我想太多了。我这种想法是不对的,对不起党对不起人民。。。我深刻的反省!违背了社会主义核心价值观,没有一起共建和谐社会。。。 blabla 。。
    89 条回复    2018-12-03 18:44:07 +08:00
    lwjcjmx123
        1
    lwjcjmx123  
    OP
       2016-08-26 19:45:24 +08:00
    刚刚学会 markdown 语言,本来在预览。。。准备调下样式的,手抖点到发布上去了。。奇怪的排版请 v 友们勿怪
    frqk
        2
    frqk  
       2016-08-26 20:05:27 +08:00 via iPhone
    善用站内搜索
    chineselittleboy
        3
    chineselittleboy  
       2016-08-26 20:07:48 +08:00 via Android
    查看密码是要输 windows 密码的
    SourceMan
        4
    SourceMan  
       2016-08-26 20:20:15 +08:00 via iPhone   ❤️ 1
    不用搜索了,直接给你那个帖子的结论:
    总有刁民想害朕
    paloalto
        5
    paloalto  
       2016-08-26 20:21:13 +08:00
    /t/265757 今天无意间发现的,在 chrome 的密码管理器里面,可以直接看到原始的保存的密码!
    /t/78555 在 Chrome 浏览器中保存的密码有多安全?
    wevsty
        6
    wevsty  
       2016-08-26 20:24:17 +08:00
    keepass 作为密码管理软件挺好的
    popok
        7
    popok  
       2016-08-26 20:25:49 +08:00 via iPhone
    一直都是这样的哦
    beingbin
        8
    beingbin  
       2016-08-26 20:26:50 +08:00
    不知道是不是我的错觉,如果换成国产浏览器势必会被喷成翔。建议以后此类标题不要指明具体产品,按照:“某浏览器保存密码竟然是明文的”,这样才能看出大家真实的想法:)
    gdtv
        9
    gdtv  
       2016-08-26 20:38:47 +08:00
    nolo
        10
    nolo  
       2016-08-26 20:39:44 +08:00
    echo1937
        11
    echo1937  
       2016-08-26 20:40:19 +08:00   ❤️ 1
    我仔细理解了一下全文,是不是可以这样理解:

    “ keepass 和 chrome ,两者保存的密码都可以恢复出明文,而前者借助独立主密码,后者沿用 OS 的用户登录密码”

    那我觉得 2 者在安全性上没什么区别啊,我的设备如果都能被物理接触并登录进去了,还有什么安全性可言,

    什么杀毒都给你关掉,什么键盘记录都给你安上不就好了。
    Trim21
        12
    Trim21  
       2016-08-26 20:43:18 +08:00 via Android
    @echo1937 谷歌保存的密码还,在 passwords.google 还可以用谷歌账户的密码查看,安全性应当是不如 keepass 的
    echo1937
        13
    echo1937  
       2016-08-26 20:46:26 +08:00
    @Trim21 keepass 没有云端功能吗?我记得不是有些密码软件都有多平台同步功能的吗?
    VmuTargh
        14
    VmuTargh  
       2016-08-26 20:51:44 +08:00 via Android
    @echo1937 keepass 可以 Webdav 或者直接 SkyDrive Google drive 啥的
    ayiis
        15
    ayiis  
       2016-08-26 21:11:19 +08:00
    但无论用什么加密,在登录口 post 数据的时候都得是明文
    yangqi
        16
    yangqi  
       2016-08-26 21:14:18 +08:00   ❤️ 1
    你能看到明文不代表是明文保存的好吗?
    lwjcjmx123
        17
    lwjcjmx123  
    OP
       2016-08-26 21:15:29 +08:00
    @frqk
    @chineselittleboy
    @SourceMan
    @paloalto
    @wevsty
    @Trim21
    @echo1937
    @VmuTargh
    我一开始很奇怪,你们都在说什么啊。。点进帖子才知道有人发过了。。我是今天突然直接看到了浏览器保存的密码,就想着上 v 站来吐槽一下,另外你们都是推荐的都是用 keepass 么,我在 chrome 应用商店搜索了下,评分不怎么高啊
    @nolo 我看了下官方的回复。这不是扯淡么,你多加一层保护总比直接明文要好点吧。
    @beingbin 有可能。但是我觉得吧,虽然咱不怎么用国内的浏览器,也没必要去贬低他们吧 。
    lwjcjmx123
        18
    lwjcjmx123  
    OP
       2016-08-26 21:16:30 +08:00
    @yangqi 哦,可能是我表述的不太客观,我的意思是只要在我的电脑上就可以直接看到明文密码。
    aheadlead
        19
    aheadlead  
       2016-08-26 21:32:05 +08:00
    再也不用 Chrome 了
    ChinaTelecom
        20
    ChinaTelecom  
       2016-08-26 21:34:24 +08:00   ❤️ 2
    不保存明文怎么提交给网站。。。。
    hpeng
        21
    hpeng  
       2016-08-26 21:36:30 +08:00
    如果不是明文,又是不可逆的,那自动表单填充怎么办?如果可逆的,你点开查看验证权限只给看密文?这是没看谷歌官方说明自己理解的。
    matrix67
        22
    matrix67  
       2016-08-26 21:38:36 +08:00 via Android
    搞个大新闻,哈哈😄
    whwq2012
        23
    whwq2012  
       2016-08-26 21:43:53 +08:00 via Android
    要用当前 windows 用户的密码才能看到,反正我的是这样的
    v1024
        24
    v1024  
       2016-08-26 21:43:53 +08:00 via iPhone   ❤️ 2
    这么说来,所有密码管理器都是“明文”
    contactfront
        25
    contactfront  
       2016-08-26 21:53:32 +08:00
    @lwjcjmx123 chromeIPass - 4 星 727 个评分, CKP - 4.5 星 306 个评分
    ynyounuo
        26
    ynyounuo  
       2016-08-26 22:00:52 +08:00 via iPhone   ❤️ 2
    楼主举个不明文存密码的例子,按照你的规则
    1OF7G
        27
    1OF7G  
       2016-08-26 22:03:35 +08:00
    理论上是需要系统账户密码的,然而自动填充 ***** 后,审查元素 改下 input 的类型,就变成明文了
    dangge
        28
    dangge  
       2016-08-26 22:05:10 +08:00
    登录谷歌账户,可以在云端看到你 chrome 存储的所有明文密码
    与其担心自己浏览器,倒不如给自己的 google 账号开启二步验证
    mxalbert1996
        29
    mxalbert1996  
       2016-08-26 22:07:15 +08:00 via Android
    看了 LZ 的回复,还在说什么“多加一层保护”“直接明文”,只能你根本就没有理解楼上那些人在说什么。在说什么。
    sheep3
        30
    sheep3  
       2016-08-26 22:20:02 +08:00
    = =,就算不是明文,最后填在网页上的时候仍然是明文,你改一下 type 为 text 就可以看了
    nolo
        31
    nolo  
       2016-08-26 22:24:18 +08:00 via Android
    @lwjcjmx123 chrome 存储的密码是有加密的。它是用你的系统密钥加密的。如果你设置了开机自动登录,你看密码的时候, chrome 会让你输入系统密钥。如果你把你的密码文件放到别人的电脑上是打不开的。 chrome 认为安全是整体上的。
    gqfBzoLVY3Wl4Tng
        32
    gqfBzoLVY3Wl4Tng  
       2016-08-26 23:11:14 +08:00
    打死不用 windows 和 chrome 了
    来自__谷歌浏览器 53.0.2785.80 beta-m (64-bit) WIN10 的 x64 版本
    nodin
        33
    nodin  
       2016-08-26 23:17:37 +08:00 via Android
    不管是哪个密码管理器,在查看或输入时密码都是明文的,存储时才是加密的。保管好自己的电脑吧。
    paulagent
        34
    paulagent  
       2016-08-26 23:21:53 +08:00
    又是来推销密码管理软件的?
    onionnews
        35
    onionnews  
       2016-08-26 23:27:41 +08:00 via Android
    行行行,我买还不行吗
    kamen
        36
    kamen  
       2016-08-26 23:41:58 +08:00
    lastpass 居然直接能够看到明文密码!!!辣鸡,说好的“ PBKDF2 SHA-256 和加盐散列值执行了 AES-256 位加密”呢?
    fuermosi777
        37
    fuermosi777  
       2016-08-26 23:51:56 +08:00
    记得很久以前谷歌对此的解释是,如果攻击者已经能获得你的电脑的进入权限了,那密码明文还是加密已经没有意义了。
    shanks
        38
    shanks  
       2016-08-27 00:26:09 +08:00
    你可以选择不保存
    fulvaz
        39
    fulvaz  
       2016-08-27 00:44:06 +08:00
    你还不如吐槽中国移动的通行证用的是明文密码.......
    Perry
        40
    Perry  
       2016-08-27 00:46:42 +08:00
    看了下不是之前洋葱发的,就不喷了
    hehe XD
    itisthecon
        41
    itisthecon  
       2016-08-27 01:03:31 +08:00
    如果不是可逆加密的话你登录的时候怎么提交给网站?
    ipconfiger
        42
    ipconfiger  
       2016-08-27 01:06:32 +08:00
    大惊小怪
    icedx
        43
    icedx  
       2016-08-27 01:08:52 +08:00   ❤️ 1
    太好了 说不用 Chrome 的都可以 Block 了
    bibizhang
        44
    bibizhang  
       2016-08-27 01:14:22 +08:00   ❤️ 3
    我脑中存储的密码居然是明文!假如别人胁迫我说出岂不是什么都泄露了?以为人脑这么复杂总会有点加密措施吧。。。现在不敢用大脑记密码了。。。
    Ubuntuu
        45
    Ubuntuu  
       2016-08-27 01:16:18 +08:00
    chrome 设置单独的同步密码后,在 passwords.google 是查看不了密码的
    Ubuntuu
        46
    Ubuntuu  
       2016-08-27 01:19:19 +08:00   ❤️ 1
    kingcos
        47
    kingcos  
       2016-08-27 01:35:26 +08:00
    。。。那估计没什么密码软件你可以用了, 1Password 还能看到密码,居然还能看到我以前的密码,太可怕了。。。
    iCloud KeyChain 居然也可以。。。
    garipan
        48
    garipan  
       2016-08-27 02:37:40 +08:00
    其实这个还是挺科学的
    1.能拿到你电脑那一刻本来就已经不安全了
    2.就算加密存储在本地终究每次登录都要召唤出原文来,加密了也没什么意义
    lyragosa
        49
    lyragosa  
       2016-08-27 02:52:51 +08:00
    你电脑都被物理接触了,就不要提安全性问题了。
    Sasasu
        50
    Sasasu  
       2016-08-27 07:24:46 +08:00 via Android
    你给我举一个同类型的软件不使用明文密码的例子
    henneko
        51
    henneko  
       2016-08-27 08:07:26 +08:00 via iPhone
    @beingbin 好像大多数国产浏览器也是明文保存的
    ZoddessYoung
        52
    ZoddessYoung  
       2016-08-27 08:15:09 +08:00
    咋不说火狐的连 windows 密码都不用输入就可以查看保存的密码
    Shura
        53
    Shura  
       2016-08-27 08:28:12 +08:00 via Android
    Windows 登录密码就被楼主直接忽视了?
    zhang1215
        54
    zhang1215  
       2016-08-27 08:40:44 +08:00
    选择一律不保存即可
    coolcfan
        55
    coolcfan  
       2016-08-27 08:42:10 +08:00
    > We encrypt your saved passwords on your hard disk. To access these passwords, someone would either need to log in as you or circumvent the encryption.

    所以说确实是加密保存的,只不过作为一个登录了的用户,去查看的时候它会自动解密显示出来……
    而楼主可能想要的就是帖子里说的“ master password ”,像密码管理器那样,想看到主界面要先输入一次主密码?
    0TSH60F7J2rVkg8t
        56
    0TSH60F7J2rVkg8t  
       2016-08-27 08:57:14 +08:00
    看热闹不嫌事儿大,来来来,戳这里,挨个双击试试:
    http://www.nirsoft.net/password_recovery_tools.html
    Cursive
        57
    Cursive  
       2016-08-27 08:58:34 +08:00
    这么好用的功能,非要被你大惊小怪的
    gancl
        58
    gancl  
       2016-08-27 09:54:28 +08:00
    取现一定要用手机关联, 重要的网站一定要设置谷歌验证码,尽量减少有资金在里面的网站. 支付宝\微信里的钱都要安全设置一下,定期更改密码
    gancl
        59
    gancl  
       2016-08-27 09:55:35 +08:00
    不点击垃圾邮件,不随意注册网站
    johnbliss
        60
    johnbliss  
       2016-08-27 10:05:02 +08:00
    记得有个软件可以不需要输入管理员密码就可以读取到保存的密码
    Lucius
        61
    Lucius  
       2016-08-27 10:15:27 +08:00   ❤️ 1
    1 、 LZ 以为看到的密码是明文的 ,所以密码就是以明文方式储存的。

    2 、你看到明文的密码是因为密码通过"Windows 用户密码校验"后被解密还原成了明文。

    3 、任何保存密码的软件 最终都需要还原成明文,你才能得到原始密码。


    如果加密了还原不了明文你还存个蛋啊。。。密码直接丢失了
    soland
        62
    soland  
       2016-08-27 11:09:14 +08:00
    电脑都丢了,管理员密码都别别人知道了,然后怪 chrome 没给你保密。
    Orz
        63
    Orz  
       2016-08-27 11:23:08 +08:00 via Android
    好像有一个叫 Chromepass 的软件不用验证 Windows 密码直接查看 Chrome 保存的密码。
    nicevar
        64
    nicevar  
       2016-08-27 11:34:42 +08:00 via iPhone
    这是来讲笑话活跃气氛还是来推销软件的
    mcone
        65
    mcone  
       2016-08-27 12:06:14 +08:00
    一个机器物理上都不能保证安全,还想让里面的内容保证安全?就是 RSA ,只要有人想真想弄,不也就是几十年的事儿嘛,更何况现在 CPU+GPU 速度越来越快了

    我觉得楼主是之前那个智障营销卖自己加密软件的人派来的……
    Khlieb
        66
    Khlieb  
       2016-08-27 12:08:16 +08:00
    @yangqi @mcone @nicevar @soland @Lucius
    我觉得楼主需要一个屏风
    mind3x
        67
    mind3x  
       2016-08-27 12:52:01 +08:00
    总有刁民想害朕 +1
    tghgffdgd
        68
    tghgffdgd  
       2016-08-27 13:05:48 +08:00
    结果大家讲了半天你依然认为 chrome 这是明文保存密码。
    你可以把 Login Data 复制到别的电脑去看看能不能解的开密码。里面 url 和帐户名都是明文哦
    Lucius
        69
    Lucius  
       2016-08-27 13:30:33 +08:00
    互联网的精神本来就是自由的,有自己的想法 这个态度是对的。

    但是 LZ 通过正确的态度表达出来的观点( Chrome 保存的是明文密码) 是错误的。
    Lucius
        70
    Lucius  
       2016-08-27 13:36:37 +08:00
    "我觉得 Chrome 保存密码不安全,所以我不想用 Chrome 了" 这个完全正确 没有错误,你喜欢用什么是你的自由。




    "我听别人说 Chrome 保存了明文密码,所以 Chrome 就是保存了明文密码。所以是不安全的" 这个就是错误的了


    LZ 你想表达的是哪一种观点?
    tabris17
        71
    tabris17  
       2016-08-27 15:18:26 +08:00
    某个版本以前的 chrome 是明文保存的,后来加密了。因为缺乏安全感的傻逼太多了。

    事实上 google 说的没错,能接触到你的物理机,说明你的数据已经无法保证安全了。

    就算保存加密了,只要用 chrome 打开保存密码的网页,就能在表单里看到密码明文了。加密有个卵用
    ninqq
        72
    ninqq  
       2016-08-27 15:29:04 +08:00
    输入系统密码查看密码这个很好的 有的时候密码忘记 就去里面看下
    tmplinshi
        73
    tmplinshi  
       2016-08-27 16:27:46 +08:00
    Chromepass 不用验证 windows 登录密码就能查看 Chrome 保存的密码,而且还支持命令行调用保存到文本中。想象一下某个软件捆绑 Chromepass ,然后隐藏运行获取密码后上传...

    所以确实不安全啊。
    bumz
        74
    bumz  
       2016-08-27 16:30:33 +08:00
    已添加到 RECOMMENDED_BLACKLIST_FOR_V2EX
    xiao201261
        75
    xiao201261  
       2016-08-27 16:54:10 +08:00
    自己电脑没设密码系列
    sola97
        76
    sola97  
       2016-08-27 17:59:54 +08:00
    电脑丢了随便用个 PE 都能改管理员密码,好不安全啊
    Balthild
        77
    Balthild  
       2016-08-27 23:07:04 +08:00 via Android
    不明文的話,怎麽在頁面上使用?
    zhangxiaoqiang
        78
    zhangxiaoqiang  
       2016-08-29 11:06:19 +08:00
    @Perry 洋葱是个啥?
    Dexter0
        79
    Dexter0  
       2016-08-29 11:06:26 +08:00
    Chrome 方面之前就这个问题解释过(非官方):“主密码提供了一种虚假的安全感,保护敏感数据的最可行保护方式是要取决于系统的整体安全性。”
    Dexter0
        80
    Dexter0  
       2016-08-29 11:08:38 +08:00
    @Perry
    >>> 看了下不是之前洋葱发的,就不喷了 ,hehe XD

    你不怕这贴是我小号发的吗?
    Perry
        81
    Perry  
       2016-08-29 11:15:58 +08:00 via iPhone
    @Dexter0 服 大写的服
    bigpigeon
        82
    bigpigeon  
       2016-08-29 11:24:32 +08:00
    大哥,加密了你的密码还能用么,这是作为客户端保存的啊,不同网站传输密码的方式不一样又没有一个标准当然只能这么做啦,如果你害怕泄漏就不要选择让 chrome 保存密码
    ipcjs
        83
    ipcjs  
       2017-02-10 14:28:07 +08:00
    @1OF7G 卧槽,还能这样直接看明文呀。。。看来电脑真不能随便给人用
    dmv2e
        84
    dmv2e  
       2018-07-25 18:01:18 +08:00
    @tmplinshi
    最近发现 edge/firefox 可以不需确认直接导入 chrome 密码,才了解到 chromepass。
    那就是说 只要软件想做,可以直接拿到所有密码哎。。。应该是这个意思吧
    dmv2e
        85
    dmv2e  
       2018-07-25 19:07:27 +08:00
    @tghgffdgd 小白问一下。chromepass 之类的软件可以直接看密码,那是不是说只要其他软件集成了 chromepass 的功能,就可以直接拿到明文密码并上传啊
    dmv2e
        86
    dmv2e  
       2018-07-25 19:07:46 +08:00
    @ahhui
    小白问一下 chromepass 之类的软件可以直接看密码,那是不是说只要其他软件集成了 chromepass 的功能,就可以直接拿到明文密码并上传啊
    0TSH60F7J2rVkg8t
        87
    0TSH60F7J2rVkg8t  
       2018-07-25 19:51:29 +08:00 via iPhone
    @dmv2e 是的。很多恶意软件都会读浏览器保存的密码
    dmv2e
        88
    dmv2e  
       2018-07-25 22:04:26 +08:00
    @ahhui 靴靴
    arnoldxiao
        89
    arnoldxiao  
       2018-12-03 18:44:07 +08:00
    多虑了,谷歌保存的肯定是多重加密过的串,你查看的只是经过浏览器解密后的~
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   982 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 29ms · UTC 23:06 · PVG 07:06 · LAX 15:06 · JFK 18:06
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.