我做了一个插件,让你远离窃取 Chrome 明文密码的恶意软件

36 天前
 maggch97
Chrome 保存的密码并不安全,非常容易被恶意软件窃取。已经是一个老生常谈的话题。

我给自己做了一个插件,防止我的密码在我不知情的情况下全部泄露。


原理很简单,点击密码输入框时,会弹出一个二维码。用 iPhone 扫描,在 Safari 中打开二维码网址即可通过手机输入密码。




这样,所有的密码都可以随机生成后保存在世界上最安全的系统 iOS 上。
iCloud 也有 Windows App, 但是从我的角度,我觉得这个 App 比 Chrome 更不安全。如果系统环境本身不安全,客户端的所有加密都是徒劳,在 Windows 上用 iCloud 相当于把所有重要数据全部暴露在恶意软件面前。

安装方法: tampermonkey 安装脚本 https://github.com/SuperSafeMessage/PasswordFromPhone/raw/main/PasswordFromPhone.user.js

代码仓库: https://github.com/SuperSafeMessage/PasswordFromPhone


注意:
恶意软件依然可以在输入的时候窃取密码,依然可以在登陆后窃取 cookie 。
重要的操作还是在世界上最安全的 iOS 系统上用世界上最安全的 Safari 浏览器吧
3125 次点击
所在节点    分享创造
37 条回复
wzwzwwzw
35 天前
滥用"最"字不是好习惯啊,iOS 自己说这种话都沾点违反广告法
WizardLeo
35 天前
不信任把密码保护当饭碗的公司,不信任无数人审计过代码的开源软件,反而信任一个把自己的密码上传到个人部署的第三方仓库中转的软件。
ios 很安全?那想必 ios 一定没有任何取证软件吧,系统越狱也是从虚空中诞生,反正他就绝对不可能被外部攻破。
yuhaofe
35 天前
Windows 相对其他系统风险的确更大,更容易碰到恶意软件木马等,我的 Edge 保存的 300 多个随机密码都泄露了,虽然说根本上应该是自己运行了不安全的软件或者扩展导致的。
不过其实 passkey 或者硬件密钥更符合你这种需求,根本都不用密码了,设备支持的好的话可以在 windows 上通过蓝牙调用手机的 passkey ,就是网站支持的太少了。
Wy4q3489O1z996QO
35 天前
所以如果我是恶意插件在你花里花哨的任何方式的输入完再获取你输入到文本框的密码不行吗?
P.S 如果你发帖且不接受别人的质疑,请关闭 v2ex😄
Hawthorne
35 天前
你猜我为什么要让浏览器“记住密码”?
maggch97
35 天前
@romotc 没看见我说什么吗,你的密码从 iOS 的密码管理器输入到 Safari 那一刻就是不安全的。你要是用这个软件输入银行密码,谁也救不了你。

在一个不安全的系统上,做一个绝对安全的插件,软件,抱歉我没这个能力

没有对应的 Security Practices ,iOS 也能被你降级越狱玩成漏洞百出的

质疑前提是先提高一下自己的水平

@yuhaofe 是的,passkey 是最优解,但是大部分小的,不重要的网站都没有这个功能。所以我只能做一个类似的解决这个问题。祝楼上质疑的人永远碰不到你遇到的恶意软件。
maggch97
35 天前
@maggch97 类似指的是将密码保存在手机上,避免一次泄露所有密码。
ajan
34 天前
Chrome: 还有我不知道的? :doge
sashit48bast
34 天前
@maggch97
1. 密码安全不等于系统安全,“系统环境本身不安全,客户端的所有加密都是徒劳”这句话就相当无力,各种开闭源、本地或云的跨平台加密工具 LastPass 、Enpass 、Keepass 等对在密码保存及输入到浏览器的加密保护远胜常规密码管理器,在各种攻防演练中都有足量测试,不是你一句话就能否定的;仅对 Chrome ,Edge ,iCloud 这些而言,尚算认可
2.“这个插件为什么比密码库存在 Windows 更安全”,在关掉帖子前我想反驳几下。1 中质疑的点不必重复,你的密码保护手段主要在存储方面,在输入时安全性、便捷性反而大加削弱,私人服务器暴露导致的各种黑入、渗透、攻击怎么防范,在扩展上加入混淆
sashit48bast
34 天前
注入如何解决?“Windows 上的那些所谓加密的密码管理器能在系统不安全的情况下能保持安全吗?”专业加密工具本地保存会比 iCloud 或者 Safari 差?后者各种功能交互、权限越位带来的 day0 漏洞年年层出不穷,没比 Chrome 好哪去;更何况前者都有专业的浏览器扩展、密流传输、年年更迭的最新加密手段,这难道不比你的程序更能在系统不安全的情况下能保持安全吗?密码保存安全性比不过、输入安全性更是被完虐,不知道你说出这句话的勇气在哪?
sashit48bast
34 天前
3.其他含”最“字的言论懒得打字了,交给 GPT4 ,https://chatgpt.com/share/e91144ba-6a02-4a15-bc46-eb51788f8e93
charley008
34 天前
@bestkayle 这样没有 b 格。要用 iphone 扫一下才显出高端
maggch97
33 天前
@sashit48bast 我懒得骂你,lastpass cannot be safe if the system is not safe 。这是官方的回复,其次这是常识。

我本来就没想解决密码输入后的安全,因为就是无解。

还发个 gpt 答案,iOS 最近几个版本有在生命周期有被越狱吗,拿一堆 root 权限随便给的系统对标 iOS 真是笑死人了。

写了一大堆废话真是幸苦你了
maggch97
33 天前
@sashit48bast 问个问题,你有没有 iPhone 啊?没有 iPhone 请不要给我谈论安全。
mirtle
33 天前
给你五个铜币
alex177027
32 天前
所以你还是用的还是国行 iphone
kyuuseiryuu
30 天前
看了下代码,有点意思。
主要就是浏览器端生成密钥对,拿公钥作为识别移动端和桌面端的 ID 。
公钥通过二维码带到移动端。
移动端将公钥和公钥加密后的密文发送给服务器
服务器通过公钥找到对应的桌面端,将加密文本发送给桌面端有桌面端生成的私钥解密填充。

也许楼主把帖子标题改成《一种跨设备信息加密传输的方案》会更好一点。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1043094

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX