Chrome 保存的密码并不安全,非常容易被恶意软件窃取。已经是一个老生常谈的话题。
我给自己做了一个插件,防止我的密码在我不知情的情况下全部泄露。
原理很简单,点击密码输入框时,会弹出一个二维码。用 iPhone 扫描,在 Safari 中打开二维码网址即可通过手机输入密码。
这样,所有的密码都可以随机生成后保存在世界上最安全的系统 iOS 上。
iCloud 也有 Windows App, 但是从我的角度,我觉得这个 App 比 Chrome 更不安全。如果系统环境本身不安全,客户端的所有加密都是徒劳,在 Windows 上用 iCloud 相当于把所有重要数据全部暴露在恶意软件面前。
安装方法: tampermonkey 安装脚本 https://github.com/SuperSafeMessage/PasswordFromPhone/raw/main/PasswordFromPhone.user.js
代码仓库: https://github.com/SuperSafeMessage/PasswordFromPhone
注意:
恶意软件依然可以在输入的时候窃取密码,依然可以在登陆后窃取 cookie 。
重要的操作还是在世界上最安全的 iOS 系统上用世界上最安全的 Safari 浏览器吧
我给自己做了一个插件,防止我的密码在我不知情的情况下全部泄露。
原理很简单,点击密码输入框时,会弹出一个二维码。用 iPhone 扫描,在 Safari 中打开二维码网址即可通过手机输入密码。
这样,所有的密码都可以随机生成后保存在世界上最安全的系统 iOS 上。
iCloud 也有 Windows App, 但是从我的角度,我觉得这个 App 比 Chrome 更不安全。如果系统环境本身不安全,客户端的所有加密都是徒劳,在 Windows 上用 iCloud 相当于把所有重要数据全部暴露在恶意软件面前。
安装方法: tampermonkey 安装脚本 https://github.com/SuperSafeMessage/PasswordFromPhone/raw/main/PasswordFromPhone.user.js
代码仓库: https://github.com/SuperSafeMessage/PasswordFromPhone
注意:
恶意软件依然可以在输入的时候窃取密码,依然可以在登陆后窃取 cookie 。
重要的操作还是在世界上最安全的 iOS 系统上用世界上最安全的 Safari 浏览器吧
第 1 条附言 · 24 天前
后续计划
1. 增加一个登录页面 url 的历史记录,可以了解哪些账号可能存在风险
1. 增加一个登录页面 url 的历史记录,可以了解哪些账号可能存在风险
第 2 条附言 · 24 天前
如果你觉得 Windows 和 iOS 一样安全或者更安全,iOS 密码管理器和 Chrome 的管理器一样不安全
我建议你把帖子关掉
我建议你把帖子关掉
第 3 条附言 · 24 天前
如果看不懂这个插件为什么比密码库存在 Windows 更安全的人,推荐你关掉帖子
第 4 条附言 · 22 天前
如果你没有 iPhone ,请直接关掉这个帖子。因为大概率安全对你不重要
37 条回复 • 2024-05-28 16:21:42 +08:00
 |
1
Kaka00Strawberry 24 天前
感谢你的开发,感谢你为安全的贡献
|
 |
2
drymonfidelia 24 天前  2
你也知道 “如果系统环境本身不安全,客户端的所有加密都是徒劳” “恶意软件依然可以在输入的时候窃取密码,依然可以在登陆后窃取 cookie”,那你做的这个软件解决了什么安全问题?
|
 |
3
maggch97 OP 回复#2, 可控的泄漏和不可控的泄漏是一样的吗
目的就是在不安全的环境里登陆一些不重要的网站,我都写明白了,重要的账号肯定还是要在 iOS 里操作 |
 |
4
Biggoldfish 24 天前 via Android
"Chrome 保存的密码并不安全,非常容易被恶意软件窃取"
"在 Windows 上用 iCloud 相当于把所有重要数据全部暴露在恶意软件面前" "世界上最安全的 iOS 系统上用世界上最安全的 Safari 浏览器吧" 甚至分不清是不是在反串 |
 |
5
blankmiss 24 天前
Safari 能用 ?
|
 |
6
neptuno 24 天前 3
所有数据都会经过 https://password-from-phone-proxy.maggch.workers.dev ,万一哪天你服务器被黑了或者仓库被黑了或者插件把公钥上传了,我输入的密码不都被记录了。
|
 |
7
forty 24 天前 1
你没说具体原理,以及防哪种窃取,你是防那种监听键盘或剪贴板的吗?
我个人习惯,是挺烦的那些有密码却还要强制扫码登录的系统,虽然不是每次都要扫,但也嫌麻烦。你这等于说每次登录网站都要扫码。 推荐你使用密码辅助插件,比如 LastPass 之类。 chrome 可比 Safari 安全太多了。 |
 |
8
RouJiANG14 24 天前
保存在世界上最安全的系统 iOS 上🙂🙂
|
 |
12
Greenm 24 天前
将一个鸡蛋从一个木头篮子放在另外一个玻璃篮子是吧?
我既不相信 iOS ,也不相信 windows 和 chrome ,更不相信你,那我为什么不用有审计开源的密码管理器呢? |
|
13
neptuno 24 天前
@maggch97 #11 写错了,我的意思是如果上传了我的私钥,那服务器都能解密了。另外我说的前提是你的服务器、插件代码被黑客窃取,并不是你本意。你也无法保证服务器不被黑
|
 |
14
mdgwmt0 24 天前 via iPhone
感谢!
|
 |
15
idealhs 24 天前
Man!
|
 |
16
bzj 24 天前
如果连 chrome 我都不信,那我要怎么相信你呢
|
|
17
drymonfidelia 24 天前 via iPhone
@maggch97 都不重要了,为什么我不直接输入密码?
|
 |
18
ray2023 24 天前
建议使用验证码登录 hh
|
 |
19
KgM4gLtF0shViDH3 24 天前
笑死,为啥不用 bitwarden ,1password🤣
|
 |
21
wzwzwwzw 23 天前
滥用"最"字不是好习惯啊,iOS 自己说这种话都沾点违反广告法
|
 |
22
WizardLeo 23 天前
不信任把密码保护当饭碗的公司,不信任无数人审计过代码的开源软件,反而信任一个把自己的密码上传到个人部署的第三方仓库中转的软件。
ios 很安全?那想必 ios 一定没有任何取证软件吧,系统越狱也是从虚空中诞生,反正他就绝对不可能被外部攻破。 |
 |
23
yuhaofe 23 天前
Windows 相对其他系统风险的确更大,更容易碰到恶意软件木马等,我的 Edge 保存的 300 多个随机密码都泄露了,虽然说根本上应该是自己运行了不安全的软件或者扩展导致的。
不过其实 passkey 或者硬件密钥更符合你这种需求,根本都不用密码了,设备支持的好的话可以在 windows 上通过蓝牙调用手机的 passkey ,就是网站支持的太少了。 |
 |
24
romotc 23 天前
所以如果我是恶意插件在你花里花哨的任何方式的输入完再获取你输入到文本框的密码不行吗?
P.S 如果你发帖且不接受别人的质疑,请关闭 v2ex😄 |
 |
25
Hawthorne 23 天前
你猜我为什么要让浏览器“记住密码”?
|
|
26
maggch97 OP |
 |
28
ajan 22 天前
Chrome: 还有我不知道的? :doge
|
 |
29
sashit48bast 22 天前 via Android
@maggch97
1. 密码安全不等于系统安全,“系统环境本身不安全,客户端的所有加密都是徒劳”这句话就相当无力,各种开闭源、本地或云的跨平台加密工具 LastPass 、Enpass 、Keepass 等对在密码保存及输入到浏览器的加密保护远胜常规密码管理器,在各种攻防演练中都有足量测试,不是你一句话就能否定的;仅对 Chrome ,Edge ,iCloud 这些而言,尚算认可 2.“这个插件为什么比密码库存在 Windows 更安全”,在关掉帖子前我想反驳几下。1 中质疑的点不必重复,你的密码保护手段主要在存储方面,在输入时安全性、便捷性反而大加削弱,私人服务器暴露导致的各种黑入、渗透、攻击怎么防范,在扩展上加入混淆 |
|
30
sashit48bast 22 天前
注入如何解决?“Windows 上的那些所谓加密的密码管理器能在系统不安全的情况下能保持安全吗?”专业加密工具本地保存会比 iCloud 或者 Safari 差?后者各种功能交互、权限越位带来的 day0 漏洞年年层出不穷,没比 Chrome 好哪去;更何况前者都有专业的浏览器扩展、密流传输、年年更迭的最新加密手段,这难道不比你的程序更能在系统不安全的情况下能保持安全吗?密码保存安全性比不过、输入安全性更是被完虐,不知道你说出这句话的勇气在哪?
|
|
31
sashit48bast 22 天前
3.其他含”最“字的言论懒得打字了,交给 GPT4 ,https://chatgpt.com/share/e91144ba-6a02-4a15-bc46-eb51788f8e93
|
 |
32
charley008 22 天前
@bestkayle 这样没有 b 格。要用 iphone 扫一下才显出高端
|
|
33
maggch97 OP @sashit48bast 我懒得骂你,lastpass cannot be safe if the system is not safe 。这是官方的回复,其次这是常识。
我本来就没想解决密码输入后的安全,因为就是无解。 还发个 gpt 答案,iOS 最近几个版本有在生命周期有被越狱吗,拿一堆 root 权限随便给的系统对标 iOS 真是笑死人了。 写了一大堆废话真是幸苦你了 |
|
34
maggch97 OP @sashit48bast 问个问题,你有没有 iPhone 啊?没有 iPhone 请不要给我谈论安全。
|
 |
35
mirtle 22 天前 via iPhone
给你五个铜币
|
 |
36
alex177027 20 天前 1
所以你还是用的还是国行 iphone
|
 |
37
kyuuseiryuu 19 天前
看了下代码,有点意思。
主要就是浏览器端生成密钥对,拿公钥作为识别移动端和桌面端的 ID 。 公钥通过二维码带到移动端。 移动端将公钥和公钥加密后的密文发送给服务器 服务器通过公钥找到对应的桌面端,将加密文本发送给桌面端有桌面端生成的私钥解密填充。 也许楼主把帖子标题改成《一种跨设备信息加密传输的方案》会更好一点。 |
Select Language