漠視安全 chrome儲存密碼的瘋狂策略

2022-09-23 09:06:10 字數 1360 閱讀 3252

在登入各種**的過程中,我們常常會使用不同的使用者名稱和密碼,這會造成記憶上的負擔。如果你是 chrome 使用者,在登入新**的時候,會看到它儲存密碼的提示,並且很可能點了「確定」。這樣做的話,你可以自動登入各種**,而且在不同的電腦同步,真的非常方便。不過,你是否考慮過安全問題?

或許你會想,google 肯定把密碼加密後儲存在系統之中了吧,或者乾脆就是儲存在雲端。如果是這樣,準備震驚一下自己和小夥伴們吧。現實情況是,chrome 並沒有給你的密碼加密,更可怕的是,任何乙個人都能夠看到你的密碼,無需任何黑客技術。

進入設定,檢視「密碼和表單」專案,點選「管理已儲存的密碼」,(或者直接訪問chrome://settings/passwords),你會發現自己儲存的所有使用者名稱和密碼。沒錯,密碼都是以小黑點顯示的。但是,如果你點選一下,就會發現在密碼後面出現了「顯示」二字,點選它,你就能看到密碼了。就是這麼簡單。

google 的天才工程師竟然也會犯愚蠢的錯誤!等等,等等,這樣明顯的安全漏洞不可能是錯誤,應該是一種功能吧?恭喜你猜對了。因為 chrome 安全主管說,這的確是故意的,而且他們不打算做出什麼改變。

軟體開發者 elliott kember 在部落格上撰文提到了這個問題,在他看來,chrome 儲存密碼的策略是瘋狂的。每次他向懂技術的人反映這個問題,得到的答覆是這樣的:

用 1pass

當別人直接接觸到計算機的時候,它已經不安全了

密碼管理就應該是這個樣子的

問題是,普通使用者並不知道密碼是這樣儲存的。

找乙個不懂技術的人。借用他們的電腦。訪問 chrome://settings/passwords,然後在密碼行那裡點選「顯示」,看看他們會怎麼說。我打賭他們不會說,「密碼管理就是這個樣子的。」

elliott kember 的文章在 hackernews 上獲得了很大關注,於是 chrome 安全主管 justin schuh 也來回覆了。

他說,elliot kember 完全是小白使用者的看法,他們花費了多年的時間考慮這個問題,並且有大量的資料支援這個決定,在他看來,如果有人入侵了你的系統使用者賬號,即使再多的安全措施也是無用的。密碼加密的想法雖然出自好意,但是 chrome 團隊不想給使用者安全的錯覺或者鼓勵危險的行為。那不是他們處理安全問題的方式。

啊?「安全的錯覺」?難道普通使用者會去設定裡了解明文儲存的事實麼?如果 chrome 明確提示說「密碼會以明文」儲存,或許使用者不會有「安全的錯覺」,但在沒有更多提示的情況下,使用者反而會產生「安全的錯覺」吧。另外,根據 google 工程師的邏輯,一旦壞人進了你的家門,所有的東西都有危險,所以任何櫃子都不要加鎖麼?古怪的邏輯,而且在現實中,安全問題一定是來自專業黑客麼?

我們不知道 google 的天才工程師是否會改變想法。但是,如果你注重安全問題的話,趕快把儲存的密碼全部刪除,然後在 chrome 提示你儲存密碼的時候,點選「否」吧。

chrome刪除儲存的密碼

該管理器是將我們的密碼管理在google的賬號中,當然,谷歌是說用了加密技術儲存的,不會儲存明文。基本的格式就是下面這樣的,每一條密碼記錄包含了 url 使用者名稱 密碼。當你第一次儲存了密碼,下次再遇到這個 的時候,就可以幫你自動填充了。我這邊為啥要清除呢,因為換公司後,很多原公司的url 一般是...

Chrome明文儲存密碼

1.最近實在過於閒。2.對於chrome把密碼儲存在什麼地方,以及怎麼存的比較好奇。出於以上兩點原因,稍微翻了翻,總結如下 chrome儲存使用者儲存的登陸使用者名稱和密碼的位置 儲存的方式 明文儲存在sqlite資料庫 檢視的辦法 下乙個sqliteviewer就可以了,正常情況下有兩個table...

儲存使用者密碼的安全方法

作為一名iphone 開發者,你需要對你的使用者安全負責.請問,你是怎麼儲存使用者的密碼 的?直接儲存到plist裡?加密?aes?des?能保證你的 不被反編譯拿到你的加密 key?這也未免太不蘋果 了吧.我google了一下,國內的開發者根本沒有注意到這個問題.蘋果系統中有個程式叫 鑰匙串 ke...