V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
ppbaozi
V2EX  ›  程序员

chrome 是怎么知道你有多少密码被泄露的,有没有内部人士来说说

  •  
  •   ppbaozi · 2022-01-25 22:52:33 +08:00 · 4484 次点击
    这是一个创建于 1011 天前的主题,其中的信息可能已经有所发展或是发生改变。
    第 1 条附言  ·  2022-01-26 20:22:32 +08:00
    我是问,chrome 是怎么知道密码泄露了
    不是问,有哪些渠道可以知道密码被泄露

    也就是说只有 chrome 项目相关人才能知道细节吧,不是你们扔几个网站上来就是答案了
    16 条回复    2022-01-27 11:20:10 +08:00
    kernelpanic
        1
    kernelpanic  
       2022-01-25 22:54:29 +08:00   ❤️ 1
    cxtrinityy
        2
    cxtrinityy  
       2022-01-26 00:07:35 +08:00
    密码泄漏都是各种数据库啊, 一比对不就知道了, raidforums 上卖的库的多了去了, 网易、优酷、twitter 、tumblr 、taobao 的
    cxtrinityy
        3
    cxtrinityy  
       2022-01-26 00:13:46 +08:00
    说的不太严谨, 大厂可能都是保存的 hash 什么的, 但是一个人一码通的情况很普遍的, 但凡一个网站保存了明文, 你密码就 GG 了, 然后如果密码挺简单的, 那保存 hash 也没啥用, john 或者 hashcat 轮一下就出来了, 更不要说 crackstation 这种公开的预计算 hash 比对服务
    MengiNo
        4
    MengiNo  
       2022-01-26 06:47:38 +08:00 via Android
    @cxtrinityy 可是每个厂商自己的盐不是不一样么。同样 123456 最终进到淘宝库里的数据和 jd 库里的数据应该不会一样吧,他怎么比的出来呢。而且 chrome 这种是直接拿你的明文密码比么,那不是也挺危险的,等于 chrome 是直接保管明文密码的?
    jiagm
        5
    jiagm  
       2022-01-26 07:27:02 +08:00 via Android
    @MengiNo Chrome 需要自动填写明文密码,怎么可能会不可逆加密……这和“明文保管”是两码事嘛。
    dbpe
        6
    dbpe  
       2022-01-26 08:34:19 +08:00
    @MengiNo 历史遗留..有些可能就是一个 MD5...并没有盐
    fredcc
        7
    fredcc  
       2022-01-26 09:08:58 +08:00
    @MengiNo chrome 不保存明文密码怎么在浏览器里面自动填充啊
    irainsoft
        8
    irainsoft  
       2022-01-26 09:13:46 +08:00
    @MengiNo #4 所有密码管理器不都掌握着你的密码?就算它们加密了,它们也可以解密啊。


    有了网上已经确认泄漏的帐号密码,再跟密码管理器中当前存在的帐号密码一对比,不就查出了你哪些网站的帐号存在风险了吗?这么简单的逻辑,这要什么内部人士解释...
    Leonard
        9
    Leonard  
       2022-01-26 09:19:10 +08:00
    这不要内部人士吧,我用 iCloud Keychain ,被泄露过的密码会提示,过于简单的密码会提示,不同站重复的密码也会提示。
    maichael
        10
    maichael  
       2022-01-26 09:40:53 +08:00
    @MengiNo #4 浏览器保存密码某种程度上来说是“明文存储”的。
    Rache1
        11
    Rache1  
       2022-01-26 09:41:59 +08:00
    你的密码本来就是被 Chrome 明文保存的。另外,这里提示你的 “密码泄露”,其实只是指 “密码” 泄露,跟你保存的网站、用户名无关。

    大致原理就是,Chrome 使用的某个泄露数据库中新增了一个被泄露的密码 “123456” ,然后他就会检查你保存在 Chrome 的密码,如果里面有 “123456” 这个密码,他就会告诉你泄露。

    他并不会比较网站和用户名。
    Nich0la5
        12
    Nich0la5  
       2022-01-26 09:48:20 +08:00
    泄露一般就是指的那几次大的拖库行为,很好统计的
    agagega
        13
    agagega  
       2022-01-26 12:49:30 +08:00 via iPhone
    是的,Chrome 就是明文存储的,和 1Password 这种还不一样
    cxtrinityy
        14
    cxtrinityy  
       2022-01-26 18:16:51 +08:00
    @MengiNo 盐不一样只是表示某些网站加了盐呀, 所以我也提到一码通的情况, 就算大厂的库爆了不能破密, 你不能保证其他什么杂七杂八的网站也会加盐 hash, 而且就像 11 楼说的, chrome 提示的密码泄漏不是指定你某个网站某个密码泄漏了, 因为只要知道有了这个密码, 再被收录到像比较常用的 rockyou 这种单个 wordlist 或者 github 上维护的 seclists 这种 wordlist 集合里, 随便什么人都能用来暴力破解了
    cloverzrg2
        15
    cloverzrg2  
       2022-01-26 19:02:59 +08:00
    把泄漏的数据库都下下来,然后找找就知道了。haveibeenpwned.com 提供这种服务
    journey0ad
        16
    journey0ad  
       2022-01-27 11:20:10 +08:00
    不要用浏览器自带的保存密码,相当于明文存储在本地,任意程序都能获取而且不需要 uac 权限,包括历史记录、下载记录、收藏夹、cookie 之类
    https://github.com/moonD4rk/HackBrowserData
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2741 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 12:35 · PVG 20:35 · LAX 05:35 · JFK 08:35
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.