Chrome 会明文保存你的密码在本地电脑上已经不是什么新闻了,但是刚才看了一下, Chrome 已经把明文密码存到线上了。
而且,即使在电脑版 Chrome 中关闭自动保存密码功能,线上已经保存的密码也不会被删掉。
感受一下:
明文
线上
点这里可以看: https://passwords.google.com/
有人洗地吗?
1
viko16 2017-01-29 23:15:40 +08:00
我在想要不要写个脚本一键全部删掉
|
2
Akkuman 2017-01-29 23:17:35 +08:00 via Android
为了提升小白用户体验,其实很多你可以不使用的
|
3
choury 2017-01-29 23:19:37 +08:00 via Android
能显示不代表是明文,不能解密他怎么给你填
|
4
watermeter 2017-01-29 23:21:02 +08:00
chrome 本地不也是?一个用系统密码,一个用 google 账户密码。
|
6
garipan OP @watermeter Chrome 方面发言人针对之前密码明文保存在本地的事件,解释是『当别人拿到你电脑的那一刻,你电脑已经不安全了』
那现在保存在线上,连我电脑都不需要拿到了。 Google 方面肯定有预案会避免大规模恶劣事件发生,但是至少现在看来,这绝对是一个可行的攻击方法。 |
7
HXM 2017-01-29 23:28:58 +08:00 via Android
一直如此
我有时记不得一些密码了还会去看看😂 |
8
GuuJiang 2017-01-29 23:29:32 +08:00 via iPhone 10
@garipan 夭寿啦,只要知道了你的 lastpass 帐号和密码,你其他保存了的密码,在线上,就都可以看到啦
夭寿啦,只要知道了你的 1password 帐号和密码,你其他保存了的密码,在线上,就都可以看到啦 夭寿啦,只要知道了你的 keepass 帐号和密码,你其他保存了的密码,在线上,就都可以看到啦 |
10
nodin 2017-01-29 23:30:34 +08:00 via iPhone
如果你看到的不是明文密码,那这个密码有何用?如何自动填充自动登录?好奇葩的思维模式。 keepass 这种本地密码库里面的密码也是明文的。
|
11
garipan OP @GuuJiang 是的,但是 lastpass 类应用,首先使用者明确知道这件事的风险,第二用户水准相对高
Chrome 一声不吭把本地密码搬到线上,置无数小白用户于风险之中,这也能洗? 讲真,换成国内公司这么干,早就被喷死了吧 |
12
elgoog 2017-01-29 23:34:10 +08:00
你可以禁止 Chrome 同步你的密码啊
|
14
Biwood 2017-01-29 23:35:27 +08:00
你根本无法判断 Google 是否把“明文密码存到线上”,除非你能黑了 Google 的数据库,从里面取出的数据是明文的,那才叫“明文存储”
|
15
messyidea 2017-01-29 23:40:02 +08:00
我都是用这个保存那些不太重要的密码,那些重要的密码都是 从不记录 + 手打 的
|
16
Sharuru 2017-01-29 23:44:55 +08:00 via Android
呃,请先阅读 Google , Google Chrome 的服务条款以及隐私说明。
|
17
jacy 2017-01-29 23:58:54 +08:00
首先,你应该不保存 google 登陆状态
|
18
lan894734188 2017-01-29 23:59:07 +08:00 via Android
啊 我写出来的密码是明文的啊 怎么破 (滑稽
|
19
morethansean 2017-01-30 00:03:04 +08:00 2
楼主一口一个“洗”字,本来这内容都不想回的,但是太喜感了。
楼主一定要棒棒的哦~ |
20
jarry777 2017-01-30 00:04:40 +08:00 via Android
Saved passwords
You have secured your Chrome data with a sync passphrase. You can access your data within Chrome on your syncing devices, but not from this website. |
21
aaronlam 2017-01-30 00:08:25 +08:00
楼主你真的有认真的看过谷歌的用户条款就来发帖吗?
|
22
Orz 2017-01-30 00:08:59 +08:00
Chromepass 甚至不需要知道管理员密码直接获取密码,早都不保存 Chrome 密码了。
|
24
SharkIng 2017-01-30 00:14:40 +08:00 via iPhone
早就不用这个了
|
25
Perry 2017-01-30 00:14:44 +08:00 via iPhone
以前不设 passphrase 难道就不明文保存到线上了???
|
26
choury 2017-01-30 00:16:55 +08:00 via Android
@Orz 就算需要管理员密码意思又有多大?直接打开网页让 chrome 自动填充进去就好,就算显示的是*用下 F12 不也一样
|
27
doresu 2017-01-30 00:24:13 +08:00 via Android
难道不是一直都这样吗?
|
28
klesh 2017-01-30 00:26:19 +08:00 via Android
表示看不懂?你意思是指责人家明文存储了你的密码?还是吐槽能在网页中看到你密码明文?
莫非是你觉得能在网页中能看到明文就代表人家是按明文存储的? |
30
cos 2017-01-30 00:31:27 +08:00
所以,我的 Chrome 从来不登录 Google 帐户。。。
|
31
xfspace 2017-01-30 00:35:59 +08:00 via Android
|
32
caiych 2017-01-30 00:42:02 +08:00
我还是没懂 Chrome 和 *pass 们有什么区别
姑且不提没人看的用户协议 保存密码也是每次都会提示的吧,看了一下设置只有是否提示保存,取消了应该是不保存,没有默认保存选项 刚试了一次登录到一个新的 chrome 也会提示保存了密码,而且提示确认了两次 另外这不叫明文保存在线上啊…也就是明文显示…(明文保存这种事情除了脱裤没什么办法能实锤吧…… |
33
shiji 2017-01-30 00:51:33 +08:00
Saved passwords
You have secured your Chrome data with a sync passphrase. You can access your data within Chrome on your syncing devices, but not from this website. |
35
sammo 2017-01-30 01:08:45 +08:00
从来不用任何浏览器的 “表单和密码 保存 / 自动填充” 功能
|
36
hst001 2017-01-30 01:12:53 +08:00 via Android
谷歌的同步服务就会同步这些已保存的密码,但你新装 chrome 的时候,输入一个熟悉的网站,只管点登录按钮。怕隐私你应该一直使用隐身模式。
|
37
imn1 2017-01-30 01:16:08 +08:00
这里比较关键的一点是,假如之前已经 login google ,再打开 https://passwords.google.com/时, 是否需要再次输入账户密码,如果不用输入才能说是问题(我没测试)
其实就是说 google 是否把这个视为风险, google 就算 login (即使是信任的设备),打开一些 secure 相关的修改仍然是要再次输入帐密的 1pass 不知道, lastpass 就算扩展已登录,打开查看全部密码也是要再次输入帐密的 不像某宝,登入购物账户后可以直入对应的支付账户,这个业务逻辑是有问题的 |
38
SingeeKing 2017-01-30 01:20:00 +08:00 via iPhone
@garipan 你确定会有小白用户使用 Chrome 吗…好吧,假如真的有了的话也不会翻墙同步吧
|
39
scnace 2017-01-30 01:21:02 +08:00 via Android
两步验证可破
|
42
imn1 2017-01-30 01:27:26 +08:00
|
43
tracymcladdy 2017-01-30 02:12:33 +08:00 via Android
看到的是明文,但是保存的不是明文。
这个设计是合理的。 |
44
monnand 2017-01-30 02:18:38 +08:00 via Android
这个和 lastpass keepass 一样啊,老早以前就同步了。不愿意用可以选择不记住密码就可以了。谁告诉你这东西是明文存的? Google 存用户数据的安全级别是非常高的,加密这最基本的东西不可能不做。
|
45
g5 2017-01-30 02:44:28 +08:00 via Android
想让马儿跑的快,又不想让马儿吃草,马儿好难。
两部验证再加同步密码 如果还觉得不安全,别用了 |
46
akwIX 2017-01-30 02:46:18 +08:00
|
47
mxalbert1996 2017-01-30 03:02:43 +08:00 via Android
Google 没有强迫你保存密码,默认设置是每次保存密码前都需要确认,你觉得不安全可以不用,用了就表示你接受这个风险,你还可以通过两步验证来降低这个风险。
说到底楼主的论点就很奇怪,有没有这么一个可以查看保存的密码的网页对于安全性是没有任何影响的。楼主说「现在保存在线上,连我电脑都不需要拿到了」,但实际上如果你真的能够登录别人的 Google 帐号,那么在网页上和在 Chrome 里登录是一样的,就算没有这个网页也只需要一个 Chrome 就行。 |
48
Ahri 2017-01-30 03:16:46 +08:00
心疼楼主摸到 Google 粉丝 G 点。
|
49
jakiepaper 2017-01-30 03:29:04 +08:00 via iPhone
明文密码太不安全了,这地没的洗。请教怎么样设置个安全的暗文密码?
|
50
n7then 2017-01-30 03:41:39 +08:00 via Android
无理取闹,不喜欢你可以提前关闭。
而且 Chrome 除非你在 flags 设置不询问保存所有,那么每次都会在右上角有一个询问是否保存,你也可以不保存啊。而且,这玩意很早就有了。 |
52
irainsoft 2017-01-30 04:07:17 +08:00
开个两步验证不就可以了吗? 这么简单的事情
谷歌的想法就是你帐号已经够安全了,登陆进去肯定是你所以就直接给你显示,同样因为不能确定用你电脑的人是否是你所以在电脑上看本地密码要输入计算机密码 |
53
ynyounuo 2017-01-30 04:08:22 +08:00 via iPhone
奇怪,难道 V2 整个火星?这都多久以前的东西了?
早就存在了好么…… |
54
lucifer0114 2017-01-30 04:26:06 +08:00 via Android 5
谷歌不雇你当安全工程师简直是瞎啊 233
|
55
yangqi 2017-01-30 05:24:22 +08:00
明文显示不代表明文存储,楼主你就贴这个图就想证明密码明文存储了?太厉害了 word 哥
|
56
kulove 2017-01-30 07:00:04 +08:00 via iPhone
我记得 chrome 一直是在线保存密码的,至于安全性和什么 lastpass 1password 也差不多,还有这不叫明文保存密码。。
|
57
strongcoder 2017-01-30 07:40:39 +08:00 via iPhone
大过年的看你们喷楼主,哈哈哈
|
58
niuroumian 2017-01-30 07:55:31 +08:00 via iPhone
对衬加密保存密码,绝对不是明文!
|
59
chih 2017-01-30 07:58:00 +08:00 via Android
村通网?这功能早就有了好吧
|
60
xcv58 2017-01-30 07:58:08 +08:00 via iPhone
骗铜币吗?
|
63
tghgffdgd 2017-01-30 09:05:16 +08:00 via Android
我还以为终于跟 lp 一样可以在线看密码了,登录之后还是只看到以下提示:
保存的密码 您已使用同步密码来保障自己的 Chrome 数据的安全。您可以通过自己的同步设备存取自己在 Chrome 中的数据(但不能通过此网站存取)。 lz 太让我白高兴了。 |
64
loading 2017-01-30 09:08:16 +08:00 via Android
我在 linux ,每次都要先输入 key ring 才能用。
应该没问题的。 |
65
R18 2017-01-30 10:04:17 +08:00 via Android
要瘦了!可是这个功能不是一直都有么
|
66
imlonghao673 2017-01-30 10:18:20 +08:00 via Android
同 @loading ,每次打开都让我输入一个密码
|
67
wun 2017-01-30 10:55:03 +08:00 via Android
@loading +1 ,除非系统已经在启动时候设定好 keyring ,否则要在启动 chrome 的时候解 keyring
|
68
honeycomb 2017-01-30 11:13:02 +08:00 via Android
这不就是 play service 新的 smart lock 特性吗
|
69
0TSH60F7J2rVkg8t 2017-01-30 11:17:23 +08:00 7
说下 Chrome 实现这个的原理。楼主遇到的是 Chrome 同步功能的一部分,在 Chrome 支持同步功能后就直接存在了,也就是设置里的,同步书签、同步密码、同步扩展等一系列功能的选项。这个同步功能可以在多个浏览器之间共享书签和密码,实现你在别的电脑上登录 Google 账号后可以完全和自己主要电脑上一样的体验。在设计这个同步的时候, Google 给了 2 套方案,一套是,使用 Google 账号密码加密你的同步数据(注意,数据在 Google 服务器上还是加密的,只不过是用的是你的 Google 账户密码,并且在你更改密码后,会重新用新密码加密),由于 Google 知道你的 Google 当前密码、历史密码(即使是加盐的),就可以在同步的时候,解开你的数据,实现多台电脑的书签、密码同步(这类数据要同步下来必须得能解开,你难道需要一个 hash 的书签?)。这套方案的安全性就靠 Google 账户的安全性来保证了。对于有更高安全要求的用户 ,谷歌在同步的时候,提供了另一套独立的“同步密码”( https://support.google.com/chrome/answer/1181035 ),这套密码不同于 Google 账户密码,谷歌并不保存和记录,服务器上只记录下同步后的加密数据,当你需要在别的电脑上同步的时候,会把已加密的数据下载到本机,还需要你自己输入这个“同步密码”才能完成,如果忘记这个密码,则你只能通过 dashboard 删掉所有同步数据,然后重新使用同步功能来生成新数据。
好了,到这里,这一切都是 Chrome 同步功能之初就提供的安全措施。接着,到了移动互联网时代,手机上有的有 Chrome ,但也有部分手机无法安装 Chrome ,以及不是 Android 系统的地方,当你通过 Chrome 浏览器自动记录了许多账号密码之后,你在这些与 Google 不兼容的设备上就失去了对账号密码的访问权。于是这时候,才出来了 https://passwords.google.com 这个网址。所以它存在的目的是为了方便不能同步,或者无法使用 Chrome 作为移动设备中的默认浏览器使用的用户获取密码。即使你使用 https://passwords.google.com 也需要登录 Google 账户,已登录状态也需要再输入密码,况且开了二步验证之后,也需要再次验证才能进入,安全性已经很高了。如果你打开了“同步密码”的话, https://passwords.google.com 这里你是一个密码都看不到的。 既然 https://passwords.google.com 存在的目的是为了方便你提取你存储的账号密码,那它当然得给你显示个明文的密码啊?不然还有何意义?当然,从安全角度说,如果你没有使用“同步密码”的话, Google 当然能看到你的密码,如果对此敏感的话,那就请打开“同步密码”好了。 所以,它能显示明文密码不等于它就是明文存的密码。而且 Google 也给了你选项,能让你加密你的密码使其不被任何人(除了你)访问到,这样做我觉得已经足够了。 |
70
fan123199 2017-01-30 11:21:21 +08:00 via Android
特别不爽 lz 说 的这段话。
“首先使用者明确知道这件事的风险,第二用户水准相对高 Chrome 一声不吭把本地密码搬到线上,置无数小白用户于风险之中,这也能洗? ” 为什么 chrome 用户就必须是小白,就必须是什么都不懂。然后风险和易用 xl 性是相对的,你可以开启“十步验证”提高安全性。 Google 保证的是,传输过程以及数据库在 hack 后不泄漏数据。而不是你的密码被人知道后,数据会不会泄漏。 |
71
hinkal 2017-01-30 12:24:46 +08:00
赞同楼主!好害怕!百度贴吧竟然把我发的帖子明文放在网页上,微信竟然把我的朋友圈明文放在 app 里,微博竟然把我的博文明文写在手机上,这些都是我的隐私哎,人家如果知道我密码,岂不是能明文查看,想想就好害怕呀!
|
72
lyragosa 2017-01-30 13:41:10 +08:00
我开了同步密码的,所以这网站上的数据看不到。
|
73
lausius 2017-01-30 14:17:23 +08:00
从来不开保存密码和自动填写。
|
74
WalkingEraser 2017-01-30 16:15:04 +08:00 via Android
你不是落伍,你是不知道什么叫明文存储。。。
|
75
Jeremial 2017-01-30 17:11:22 +08:00
我的就没办法在网站中看到 |
76
zander 2017-01-30 17:14:52 +08:00
不明文显示怎么看啊。
|
77
xcodebuild 2017-01-30 18:47:36 +08:00
你理解的密文存储是指 ***** 么
|
79
xfspace 2017-01-30 19:55:05 +08:00 via Android
目测楼主被你们打脸打到要弃号了。
|
80
garipan OP @xfspace 不至于 都没说到点子上 除了攻击就是装逼 我为什么要弃号啊 (۶ૈ๑`ȏ´๑)۶ૈ=͟͟͞͞ ⌨
|
81
gouflv 2017-01-30 21:03:00 +08:00 via iPhone
哈哈哈 终于被发现了
|
83
G900 2017-01-30 23:02:56 +08:00
1 ,密码可以明文显示不代表是明文保存的;
2 ,你可以看到的密码不代表 Google 也能看到; 3 ,如果你这个逻辑成立,那么 iCloud keychain 也是不安全的,所有提供数据同步的服务都是不安全的。 |
84
HannibaI 2017-01-30 23:10:15 +08:00
开同步密码可以解决
既然有了你的账号密码,在网页能明文访问和在 Chrome 能明文访问这两者不都等价于能明文访问吗 没懂楼主的喷点 |