V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
nothing2
V2EX  ›  问与答

快 3202 年了,用 chrome 记住密码到底安全了不?

  •  
  •   nothing2 · 2022-09-29 07:09:28 +08:00 · 4310 次点击
    这是一个创建于 777 天前的主题,其中的信息可能已经有所发展或是发生改变。
    第 1 条附言  ·  2022-09-30 08:29:33 +08:00
    firefox 的记住密码又怎样呢?
    33 条回复    2022-09-29 22:02:03 +08:00
    god7d
        1
    god7d  
       2022-09-29 07:12:46 +08:00 via iPhone
    不安全,前两天电脑中毒密码全部泄漏
    god7d
        2
    god7d  
       2022-09-29 07:15:10 +08:00 via iPhone
    不过那人似乎只对 steam 账户和谷歌账户感兴趣
    sdra1984
        3
    sdra1984  
       2022-09-29 07:28:13 +08:00 via Android
    非常不靠谱,建议浏览器定期清除密码,换密码管理器保存最好。
    Syueking
        4
    Syueking  
       2022-09-29 07:28:21 +08:00 via iPhone
    当然不安全,重要密码都记在备忘录了
    hjq632233317
        5
    hjq632233317  
       2022-09-29 07:51:40 +08:00 via Android
    安不安全的 对我来讲反正百分之九十的东西都不怕被盗号
    ltkun
        6
    ltkun  
       2022-09-29 07:53:19 +08:00 via Android
    都 3202 年了 自建个密码服务器很麻烦吗?
    hash
        7
    hash  
       2022-09-29 07:55:30 +08:00
    Chrome 有 Chrome 的问题
    但是主要还是瘟到死不够安全,是个阿猫阿狗都能扫你盘
    zxCoder
        8
    zxCoder  
       2022-09-29 08:41:36 +08:00
    你在 v2 问肯定不安全,肯定要自建个什么保存密码的工具啥的
    yyf1234
        9
    yyf1234  
       2022-09-29 09:00:19 +08:00 via iPhone
    问就是不安全,问就是自建
    Roanapur
        10
    Roanapur  
       2022-09-29 09:00:46 +08:00
    @ltkun 这话就有点莫名其妙了。
    MarkToWin
        11
    MarkToWin  
       2022-09-29 09:09:20 +08:00   ❤️ 1
    就存 chrome ,我武装了最大的防火墙「贫穷」.
    frankies
        12
    frankies  
       2022-09-29 09:10:31 +08:00 via Android
    及其不安全,现在第三方软件恶意读取浏览器本地存储密码有大面积泛滥的趋势,特别是各种破解软件之类的。
    我发过一个类似的帖子及初步解决方案:
    https://v2ex.com/t/877410
    阻止读取本地敏感文件夹只是防君子不防小人,因为部分国产流氓软件直接装驱动程序绕过,对这种小人行径,很遗憾,目前几乎无解。
    Roanapur
        13
    Roanapur  
       2022-09-29 09:11:36 +08:00
    建议:
    一些简单的,不怕被盗的,存 chrome 。
    一些重要的,存 keepass 之类的。
    zhijiansha
        14
    zhijiansha  
       2022-09-29 09:12:16 +08:00 via iPhone
    我想知道,chrome 记住的密码会不会无故丢失?比如数据同步出现问题?
    mscsky
        15
    mscsky  
       2022-09-29 09:12:59 +08:00
    弄个带密码的 sqlite3 来保存密码
    totoro625
        16
    totoro625  
       2022-09-29 09:15:33 +08:00
    下载这个程序,杀毒软件信任一下,再运行,能出密码就不安全: https://github.com/moonD4rk/HackBrowserData/releases

    目前给出的二进制程序已经被杀毒软件记录了,但是基于这个程序的自编译项目可以绕过杀毒软件,你可以认为目前流氓程序都是用的这套代码
    icySoda
        17
    icySoda  
       2022-09-29 09:37:19 +08:00 via iPhone
    @MarkToWin 怕了怕了,穷了不起
    eycode
        18
    eycode  
       2022-09-29 09:41:08 +08:00
    keePass 不挺好的嘛????
    2NUT
        19
    2NUT  
       2022-09-29 10:01:02 +08:00
    @frankies #12 本地缓存 为啥不加密? 我还以为谷歌存密码很安全呢
    frankies
        20
    frankies  
       2022-09-29 10:13:42 +08:00
    @2NUT 详见 16 楼的项目,可以直接读取 chrome 浏览器保存的账号、密码明文、cookies 等。
    PS:chrome 的本地密码是加密的,但是对称加密可以比较容易解密的
    2NUT
        21
    2NUT  
       2022-09-29 10:23:51 +08:00
    @frankies #20 对称加密 8 位以上就 事实上无法暴力破解了吧;难道是 绕过了密码校验?
    sky96111
        22
    sky96111  
       2022-09-29 11:23:18 +08:00 via Android
    @2NUT 不是,Chrome 的对称加密所有人密码都是一样,并且开源在代码里的
    Dorcoin
        23
    Dorcoin  
       2022-09-29 11:24:01 +08:00
    脑子域名维吉尼亚加密法
    registerrr
        24
    registerrr  
       2022-09-29 11:28:06 +08:00
    @totoro625 #16 一下子全出来了,慌了慌了
    wph95
        25
    wph95  
       2022-09-29 11:31:15 +08:00
    chrome 的记住密码跟纸糊的一样

    https://blog.talosintelligence.com/2022/08/recent-cyber-attack.html

    > During the investigation, it was determined that a Cisco employee’s credentials were compromised after an attacker gained control of a personal Google account where credentials saved in the victim’s browser were being synchronized.
    sosilver
        26
    sosilver  
       2022-09-29 12:21:40 +08:00 via Android
    Linux 本人都在用
    dcsuibian
        27
    dcsuibian  
       2022-09-29 12:40:26 +08:00
    安全和便利性永远是在平衡的。

    Chrome 的策略其实就是借助 windows 用户登录,只要你登录了,就认为是本人了。如果你的系统是安全的,那么它就是安全的。如果你系统不安全,那它也不安全。

    我觉得这就是一种安全和便利性的选择,没有啥不妥的。如果你要更安全,就上其它专业、高定制型的密码管理器,要更安全就全记自己脑子里。
    binux
        28
    binux  
       2022-09-29 12:53:18 +08:00 via Android
    如果“部分国产流氓软件直接装驱动程序绕过”,所谓 keepass 之类的安全性就和 Mac Linux 之于 Windows 一样,仅仅来源于用得人少。
    qazplkm
        29
    qazplkm  
       2022-09-29 13:03:45 +08:00 via Android
    对小白不安全
    xiao109
        30
    xiao109  
       2022-09-29 13:27:38 +08:00
    乱装软件、乱点链接 连 QQ 都能被盗了何况这个。
    AoEiuV020CN
        31
    AoEiuV020CN  
       2022-09-29 17:25:27 +08:00
    edge 天天偷 chrome 的密码,
    callmesmc
        32
    callmesmc  
       2022-09-29 19:25:57 +08:00 via iPhone
    chrome 存密码就是完全裸奔,所有也别怪有老哥说自建啥的...

    要是不想折腾也有很多商业产品
    auvt
        33
    auvt  
       2022-09-29 22:02:03 +08:00 via iPhone
    @dcsuibian 请问在 mac 上用 chrome 会不会好点呢?
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1135 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 36ms · UTC 18:58 · PVG 02:58 · LAX 10:58 · JFK 13:58
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.