总的来说呢,只要我有了你的 windows 电脑的登录密码, 就可以打开你的 chrome 查看所有你自动保存的网页密码, 所以自动保存密码的时候要再慎重一点了
1
codeeer 2017-12-21 09:03:00 +08:00 via iPhone 1
我的登录密码很复杂的,登录可以用 Pin 码的
|
2
zyqzyq08 2017-12-21 09:04:23 +08:00
那如果。。。windows 没登陆密码呢。。。
|
3
tghgffdgd 2017-12-21 09:07:18 +08:00 via Android 6
假设密码是密文的又怎么样,既然对方都进你 windows 了,直接上你保存密码的网站密码就自己填进去了,剩下你说呢
|
4
whwq2012 2017-12-21 09:07:42 +08:00 via Android
所以我转到 lastpass 了,现在 chrome 也只存不重要的密码
|
5
treo 2017-12-21 09:08:32 +08:00
如果攻击者能接触到受害者的计算机,还有了受害者的 win 登录密码,受害者的电脑还有什么安全可言?
还有 chrome 账户是什么? google 账户吗?难道每次启动 chrome 还输一遍密码? |
6
tghgffdgd 2017-12-21 09:08:49 +08:00 via Android
另外 chrome 是加密保存的,你文件复制到另一台电脑或用户里是解密不出来的
|
7
shench 2017-12-21 09:09:02 +08:00
你 F12 后把密码框改成文本框密码也会显示,那么问题来了,倒底怎样才安全呢?
|
8
Death 2017-12-21 09:09:15 +08:00 via Android
这没问题呀……系统登录密码本来就很重要呀,而且相对不容易忘。
|
9
vcfghtyjc 2017-12-21 09:09:38 +08:00 1
Keepass 用户表示从来不信任这种服务
|
10
cloudyz 2017-12-21 09:10:10 +08:00
没记错的话 ie 的 cookie 是明文的。chrome 好歹加密了下
|
11
anyclue 2017-12-21 09:16:51 +08:00
是你不理解设计的初衷而已,你不会用不是人家不安全
|
12
qcind 2017-12-21 09:17:12 +08:00
拔网线,拉电源,一劳永逸。
|
13
yyfearth 2017-12-21 09:18:23 +08:00 2
Mac 上面也一样啊 只要有系统秘密就可以看到 Chrome 和 Safari 以及 系统 KeyChain 所有密码
再说 如果你用 Google 账号密码加密 你愿意每次打开 Chrome 都输入一次? 你说可以缓存一下这 那么仍然可以打开对应的网页 直接读取 Password |
16
RogerHzb OP @treo 我的意思并不是极端的攻击,比如说原本我能容忍你在我电脑上用我的优酷账户看视频,但现在你可以偷偷拿到我的密码,你可以在自己的电脑上登录我的优酷账户,这对于我来说是一种意外的情况,密码本身就是秘密
|
17
a441023263 2017-12-21 09:28:03 +08:00
有啥好担心了,反正 windows 密码只有我知道
|
20
mayne95 2017-12-21 09:30:08 +08:00
我发现楼上两人的出发点不一样。 一个意思是在保存了密码的那个网站上,修改 type。一个是说在 chrome 的密码管理里面修改。 前者是可以的,后者不行。版本: 63.0.3239.84 (正式版本) ( 64 位)
|
21
Vanilla 2017-12-21 09:30:22 +08:00 12
你自动填充到网页里然后打开审查工具把 input type="password" 改成 type="text" 就都能看到了 什么漏不漏洞的,年轻人不要一天竟想着搞个大新闻然后把 Google 批判一番
|
22
jiezhi 2017-12-21 09:32:43 +08:00 via iPhone
大门的锁重要还是卧室的锁重要?
|
23
zlfzy 2017-12-21 09:35:19 +08:00
多余,现在大厂的产品不是你有密码就能登录了,像淘宝支付宝 QQ 微信京东这种登录的时候都是有非常用环境监测的,以为搞到密码就能随便一台机登录别人的账号怕是想多了。不过我还是建议你拔掉网线比较安全,小心你使用非 ssl 加密的产品被人抓包分析出密码来。
|
24
wclebb 2017-12-21 09:35:26 +08:00
Windows 帐号密码有分两种。
本机和 microsoft 帐号。 我是 microsoft 帐号,弹出 Chrome 查看密码时,是只能 microsoft 密码输入的。 但这也有问题,我是觉得 Chrome 也应当负责验证这个,Chrome 的密码验证了,那么保存的密码也可以查看,而不是由系统负责。 |
25
Bingbing 2017-12-21 09:36:12 +08:00
这个你电脑的登录密码只有自己知道吧,而且感觉这样也还可以吧,有时候密码忘记了可以去自己通过电脑登录密码查看下
|
26
340244120 2017-12-21 09:37:18 +08:00
不晓得 chrome 啥时候改的,反正 14 年之前的版本,连 windows 密码都不用输就能看~
|
27
mozutaba 2017-12-21 09:37:37 +08:00 1
我有你的指纹还能付款呐
|
28
chairuosen 2017-12-21 09:38:34 +08:00
都拿到你电脑了,并且用户密码都知道,还有什么不能干的?
|
29
gaolycn 2017-12-21 09:44:25 +08:00 via Android
楼主好年轻,都登录你操作系统了,密码本来就是自动填充的,有什么安全可言。不要太程序员思维。
|
30
stephenyin 2017-12-21 09:45:25 +08:00 1
重要的账号和重要的操作都要 2FA, 不怕.
|
31
hellommd 2017-12-21 09:47:00 +08:00
这个问题,Google 很早之前说过了。只是楼主以“安全隐患”命名标题会引起争议。
|
32
gaolycn 2017-12-21 09:48:55 +08:00 via Android
就算填充到密码文本框里的是星号,改 type 或者 F12 看下请求参数,分分钟得到明文密码,你说的用 Google 账号密码验证,只是程序员思维。
|
34
hyyou2010 2017-12-21 09:53:31 +08:00
留意过这个问题。FireFox 可以设置一个浏览器主密码,必须通过这个主密码才能查看浏览器保存的密码。印象中,Chrome 的方面认为 FireFox 这个保护其实很容易戳破,所以干脆不加这一层(我个人还是认为应该加这一层)。
|
35
boboliu 2017-12-21 09:54:48 +08:00 via Android
正在转移到 keepass,但是 chrome 保存的量着实有点大。。。只好慢慢来了
|
41
evagreenworking 2017-12-21 10:20:57 +08:00 1
@boboliu chrome://flags/#password-export; 胆子大的话还可以 chrome://flags/#PasswordImport
|
42
tjsdtc 2017-12-21 10:29:51 +08:00
控制台 $$('[type="password"]')[0].value 也能看到。
|
43
iVeego 2017-12-21 10:36:04 +08:00
这个问题很久前在 V2 就有过讨论了吧?到现在竟然还没有人回复:如果有人可以物理接触到你的电脑,就没有安全可言了。
|
44
jason19659 2017-12-21 10:39:03 +08:00
F12 抓个包都看到了
|
45
nfroot 2017-12-21 10:39:37 +08:00
不管你怎么牛逼
F12 后点登录,看网络请求,啥玩意都有,如果传输加密,自己搞个模拟表单也非常容易 总而言之,言而总之,一个坏蛋有你的密码,还能使用你的电脑,分分钟打开你的密码管理器是很容易的,就算打不开,做个模拟表单很难吗? 可能有人觉得提高了门槛,其实不然,如果需要这样做才能拿到密码,那么网上很快会出现这样的教程。反正操作起来不难。 |
46
UnknownR 2017-12-21 10:46:23 +08:00
@codeeer 查看的时候会像你要 credential,设置了 PIN 码会跳转到 PIN 码输入,不知道是不是只设置了 Windows Hello 了的才可以
|
47
nfroot 2017-12-21 10:48:50 +08:00
你想要方便,就会丢了安全性。特别是保存密码,保存了是为啥?是为了输入,就网页这种情景,第三方去做保存密码,想做到不泄露,太难,或者说不现实。
想要安全,首先你就得让浏览器无法让用户改变页面、脚本,你还得重新涉及网络请求,让嗅探无法存在,然后呢?然后你会发现,这玩意已经不能叫网页了,叫客户端吧。 然后你会发现,即便是客户端,也无法防止用户采用外挂的方式去盗号…… |
48
twor2 2017-12-21 10:50:58 +08:00
村通电
|
50
iyaozhen 2017-12-21 11:08:27 +08:00 via Android
这帖子每过一阵子就会出现一次
|
51
lukunlin 2017-12-21 11:11:36 +08:00
对,加个 ID,直接用 JS 也能直接获取的
|
52
Kimyx 2017-12-21 11:11:49 +08:00
虽然知道,但是 Chrome 密码自动填充还是太方便不舍得 我连 Enpass 插件都没用
|
53
heiyutian 2017-12-21 11:13:55 +08:00 via Android
能不能简单点,别的软件能不能把我 chrome 数据复制上传,然后他们就能查看我的密码?
|
54
skylancer 2017-12-21 11:17:07 +08:00
都能物理接触你的电脑了你还想要安全也是挺搞笑
|
55
skylancer 2017-12-21 11:17:49 +08:00
应付别人借电脑的需求我大概会建议卤煮开另一个账户或者直接用 Guest 会比较好
|
56
Davidwg 2017-12-21 11:26:42 +08:00
月经贴
为啥没人说 safrai 也是呢 |
57
bao3 2017-12-21 11:37:15 +08:00 via iPhone
照楼主这么说,mac 上没有浏览器可用了,safari,chrome 和 firefox 都是直接用登录密码来显示所有密码的。。。
|
58
dndx 2017-12-21 11:50:04 +08:00
浏览器保存密码肯定都是明文或者可逆加密的,而可逆加密基本上跟明文没啥区别,Chrome 这么做一点问题也没有。如果怕的话不保存就好了。
|
59
Clarencep 2017-12-21 11:54:37 +08:00
话说都有你电脑密码了,那都能随便操作你的电脑了。搞个木马或键盘监听器岂不更佳。
|
60
ZRS 2017-12-21 12:33:03 +08:00
Mac 的 Keychain 也是这样的..
|
61
konakona 2017-12-21 12:50:00 +08:00
Mac 也是这样的啊。
这个机能貌似么有问题啊- - |
62
t123yh 2017-12-21 12:51:18 +08:00 via Android
如果我有了你的登录密码了,我是不是可以在你的电脑上装一个键盘记录器之类的玩意儿,你的 Chrome 密码加密再复杂又有什么用呢。所以设置复杂的 Windows 登录密码才是正道。另外你说的“每天按好几次”,推荐你去了解一下 Windows 8 或者 10 的 PIN 登录功能。
|
63
ihjk 2017-12-21 12:52:32 +08:00
我的 win 登录密码借鉴手机滑屏,从 caps lock 滑到 enter。
|
64
oonnnoo 2017-12-21 12:58:28 +08:00 via Android
登录 Windows,电脑里文档、照片、小电影都可以看到,太可怕了,吓得赶紧删掉
|
65
xian 2017-12-21 13:49:45 +08:00 1
发现一个键盘的安全隐患,吓得我赶紧把我的键盘扔了
我是一个网吧键盘侠,我网上所有的密码都是我通过键盘输入的。 我发现我在输入密码的时候,隔壁是可以清楚看到我按了那些键的, 除非隔壁没人, 一般情况下,除非是穷死肥宅, 谁身边隔壁没个人啊=。= 按我的思维,键盘应该做成暗箱盲打,不能让隔壁看到你按了哪些键,不然密码还有什么安全可言? 手动 doge |
66
cai314494687 2017-12-21 14:10:33 +08:00
把 input type="password" 改成 type="text"
我经常用这招看以前我保存的是啥密码,因为手机登录需要输入密码的时候,我自己都忘记是啥密码了 |
67
jinhan13789991 2017-12-21 14:20:06 +08:00
话说,我是用谷歌账户登录的 v2,现在 v2 密码是什么都不知道了,实名认证都不能搞了
|
68
tabris17 2017-12-21 14:28:19 +08:00
google 说了,如果攻击者能物理接触你的电脑,那么表单密码是否加密根本不会影响到攻击者窃取你的密码。
我个人也认同 google 的说法。加密反而多此一举 |
70
xuboying 2017-12-21 14:30:42 +08:00 via Android
不是大新闻,不过提醒一下大家总是好的
|
71
crystom 2017-12-21 14:36:20 +08:00
好像 devtools 里面的 network 标签,对含密码的请求不会显示表单体
|
72
GuLuDaDuiZhang 2017-12-21 15:50:09 +08:00
关于谷歌的做法,不赞同也不反对。
不赞同是因为进了游览器,在设置里面就可以直接查看到保存的密码,这有特殊情况,电脑要给他人使用就容易泄露密码,这让人很不安啊。 不反对是因为查看密码大多数人不知道,把电脑给别人用的可能性也很小,你也肯定不会把电脑给不信任的人用,最重要的是绝大多数人对你的密码并不感兴趣。 比起担心保存的密码被人偷看,更应该担心的是密码被泄露。密码复杂度低,字典轻松攻破。密码全网通用,分分钟进社工库,然后被收入进字典。我两个常用密码几年前就进了社工库 T^T,虽然现在还在用。 |
73
Phariel 2017-12-21 15:51:01 +08:00 via Android
你这种想搞大新闻的我每年在 V2 上都能看到几个。。。
|
74
lixs 2017-12-21 16:48:33 +08:00 via Android
safari 也是啊~用密码插件多好~多平台同步也省事
|
75
a4854857 2017-12-21 17:38:32 +08:00
我觉得能让 chrome 保存的密码也不是重要的.
|
76
SourceMan 2017-12-21 17:41:27 +08:00
曾经有客户说,他在 devtools 下面的 network 选项卡下面,看到了明文传输的密码( HTTPS 协议),要我们进行加密传输。
|
77
robinlovemaggie 2017-12-21 17:47:12 +08:00
难道你电脑丢了,Google 也要为你的密码丢失负责?况且这个自动填充是你在点同意的前提下才有。
|
78
yonoho 2017-12-21 17:52:05 +08:00 1
最大的安全隐患是楼主认为 [windows 登录密码应该算是密码里级别最弱的]
|
80
jarnanchen 2017-12-21 18:15:49 +08:00
我认为楼主的提醒很有意义。
试了几个浏览器,基本上都是这样的实现。这也提醒了大家,电脑设置开机锁屏密码的重要性。 |
81
yingfengi 2017-12-21 18:36:28 +08:00 via Android
+1
|
82
geelaw 2017-12-21 18:44:48 +08:00
|
83
Shura 2017-12-21 19:33:10 +08:00
|
84
dhssingle 2017-12-21 20:31:57 +08:00
GG 还是 MM 啊
|
85
mxalbert1996 2017-12-21 20:59:37 +08:00 via Android
你可以设置「使用您自己的同步密码加密已同步的数据」啊
|
87
88080398 2017-12-21 23:35:03 +08:00 via Android
涉及钱和不为人知的密码,统统记在脑子里。
|
88
sensui7 2017-12-22 01:44:57 +08:00 via iPhone
一般安全策略都要假定用户的机器是安全的。
如果这个前提都没有,那已经没有任何策略管用了。 你的电脑都被别人使用了,你还要什么安全? |
89
SlipStupig 2017-12-22 03:32:51 +08:00
@xian 暗箱盲打也不行,因为击键的会有声音区别,把你整个过程声音录下来,慢慢还原,也能恢复出你的按键
|
90
20015jjw 2017-12-22 06:53:31 +08:00 via Android
|
91
shenyu1996 2017-12-22 08:14:52 +08:00 via Android
很方便啊,之前经常 steam,origin 什么的密码忘掉,就是这么找回来的啊 2333
|
92
trotyoung 2017-12-22 08:49:13 +08:00 via iPhone
@RogerHzb 看视频可以用来宾账户,都进系统了,还有什么安全可言。或者说基本上摸到硬件,就已经不安全了。
|
93
zckevin 2017-12-23 10:29:22 +08:00
都物理接触了还谈啥安全不安全的。
|
94
colorwin 2017-12-23 11:04:58 +08:00 via Android
你知道 cookie 吗,登陆你的电脑还有什么安全可言
|