发现一个 chrome 的安全隐患,吓得我赶紧把自动保存的密码都删了

2017-12-21 09:00:13 +08:00
 RogerHzb

我是 windows 10, chrome 设置里已保存的密码,是可以看明文的, 验证方式出人意料,竟然是 windows 的登录密码, 一般习惯下,windows 登录密码应该算是密码里级别最弱的, 谁没事设置一个复杂的密码每天都得登录好几次的=。= 按我的思维,应该得验证 chrome 账户的密码吧?

总的来说呢,只要我有了你的 windows 电脑的登录密码, 就可以打开你的 chrome 查看所有你自动保存的网页密码, 所以自动保存密码的时候要再慎重一点了

15918 次点击
所在节点    Chrome
94 条回复
yingfengi
2017-12-21 18:36:28 +08:00
+1
geelaw
2017-12-21 18:44:48 +08:00
……我就提醒一下:借给别人用电脑的时候,请你看着,或者开全盘加密 + 给对方建一个临时的账户。

@wclebb 这并不算是分两种,要这样说的话你还忘了考虑 AAD 和 AD。本地账户和 Microsoft 账户的身份权威(身份提供者,identity authority, the authority that issues identity )不同,一个是本机,一个是 Microsoft。AAD 和 AD 则是域控制器。

@gaolycn 这怎么就是程序员思维了呢?楼主的想法是安全小白的思维。
Shura
2017-12-21 19:33:10 +08:00
这是一个 feature https://support.google.com/chrome/answer/95606?hl=zh-Hans
dhssingle
2017-12-21 20:31:57 +08:00
GG 还是 MM 啊
mxalbert1996
2017-12-21 20:59:37 +08:00
你可以设置「使用您自己的同步密码加密已同步的数据」啊
wclebb
2017-12-21 21:01:44 +08:00
@geelaw #82 非常感谢你的解释。
不过,我不是「忘记」。
而是不知道……
88080398
2017-12-21 23:35:03 +08:00
涉及钱和不为人知的密码,统统记在脑子里。
sensui7
2017-12-22 01:44:57 +08:00
一般安全策略都要假定用户的机器是安全的。

如果这个前提都没有,那已经没有任何策略管用了。

你的电脑都被别人使用了,你还要什么安全?
SlipStupig
2017-12-22 03:32:51 +08:00
@xian 暗箱盲打也不行,因为击键的会有声音区别,把你整个过程声音录下来,慢慢还原,也能恢复出你的按键
20015jjw
2017-12-22 06:53:31 +08:00
@GuLuDaDuiZhang 借给人家不开访客账户那不是活该被偷密码么

心疼 lz 的安全常识
shenyu1996
2017-12-22 08:14:52 +08:00
很方便啊,之前经常 steam,origin 什么的密码忘掉,就是这么找回来的啊 2333
trotyoung
2017-12-22 08:49:13 +08:00
@RogerHzb 看视频可以用来宾账户,都进系统了,还有什么安全可言。或者说基本上摸到硬件,就已经不安全了。
zckevin
2017-12-23 10:29:22 +08:00
都物理接触了还谈啥安全不安全的。
colorwin
2017-12-23 11:04:58 +08:00
你知道 cookie 吗,登陆你的电脑还有什么安全可言

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/416432

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX