1
kernelpanic 2022-01-25 22:54:29 +08:00 1
|
2
cxtrinityy 2022-01-26 00:07:35 +08:00
密码泄漏都是各种数据库啊, 一比对不就知道了, raidforums 上卖的库的多了去了, 网易、优酷、twitter 、tumblr 、taobao 的
|
3
cxtrinityy 2022-01-26 00:13:46 +08:00
说的不太严谨, 大厂可能都是保存的 hash 什么的, 但是一个人一码通的情况很普遍的, 但凡一个网站保存了明文, 你密码就 GG 了, 然后如果密码挺简单的, 那保存 hash 也没啥用, john 或者 hashcat 轮一下就出来了, 更不要说 crackstation 这种公开的预计算 hash 比对服务
|
4
MengiNo 2022-01-26 06:47:38 +08:00 via Android
@cxtrinityy 可是每个厂商自己的盐不是不一样么。同样 123456 最终进到淘宝库里的数据和 jd 库里的数据应该不会一样吧,他怎么比的出来呢。而且 chrome 这种是直接拿你的明文密码比么,那不是也挺危险的,等于 chrome 是直接保管明文密码的?
|
5
jiagm 2022-01-26 07:27:02 +08:00 via Android
@MengiNo Chrome 需要自动填写明文密码,怎么可能会不可逆加密……这和“明文保管”是两码事嘛。
|
8
irainsoft 2022-01-26 09:13:46 +08:00
@MengiNo #4 所有密码管理器不都掌握着你的密码?就算它们加密了,它们也可以解密啊。
有了网上已经确认泄漏的帐号密码,再跟密码管理器中当前存在的帐号密码一对比,不就查出了你哪些网站的帐号存在风险了吗?这么简单的逻辑,这要什么内部人士解释... |
9
Leonard 2022-01-26 09:19:10 +08:00
这不要内部人士吧,我用 iCloud Keychain ,被泄露过的密码会提示,过于简单的密码会提示,不同站重复的密码也会提示。
|
11
Rache1 2022-01-26 09:41:59 +08:00
你的密码本来就是被 Chrome 明文保存的。另外,这里提示你的 “密码泄露”,其实只是指 “密码” 泄露,跟你保存的网站、用户名无关。
大致原理就是,Chrome 使用的某个泄露数据库中新增了一个被泄露的密码 “123456” ,然后他就会检查你保存在 Chrome 的密码,如果里面有 “123456” 这个密码,他就会告诉你泄露。 他并不会比较网站和用户名。 |
12
Nich0la5 2022-01-26 09:48:20 +08:00
泄露一般就是指的那几次大的拖库行为,很好统计的
|
13
agagega 2022-01-26 12:49:30 +08:00 via iPhone
是的,Chrome 就是明文存储的,和 1Password 这种还不一样
|
14
cxtrinityy 2022-01-26 18:16:51 +08:00
@MengiNo 盐不一样只是表示某些网站加了盐呀, 所以我也提到一码通的情况, 就算大厂的库爆了不能破密, 你不能保证其他什么杂七杂八的网站也会加盐 hash, 而且就像 11 楼说的, chrome 提示的密码泄漏不是指定你某个网站某个密码泄漏了, 因为只要知道有了这个密码, 再被收录到像比较常用的 rockyou 这种单个 wordlist 或者 github 上维护的 seclists 这种 wordlist 集合里, 随便什么人都能用来暴力破解了
|
15
cloverzrg2 2022-01-26 19:02:59 +08:00
把泄漏的数据库都下下来,然后找找就知道了。haveibeenpwned.com 提供这种服务
|
16
journey0ad 2022-01-27 11:20:10 +08:00
不要用浏览器自带的保存密码,相当于明文存储在本地,任意程序都能获取而且不需要 uac 权限,包括历史记录、下载记录、收藏夹、cookie 之类
https://github.com/moonD4rk/HackBrowserData |