chrome 是怎么知道你有多少密码被泄露的,有没有内部人士来说说

2022-01-25 22:52:33 +08:00
 ppbaozi
4516 次点击
所在节点    程序员
16 条回复
kernelpanic
2022-01-25 22:54:29 +08:00
cxtrinityy
2022-01-26 00:07:35 +08:00
密码泄漏都是各种数据库啊, 一比对不就知道了, raidforums 上卖的库的多了去了, 网易、优酷、twitter 、tumblr 、taobao 的
cxtrinityy
2022-01-26 00:13:46 +08:00
说的不太严谨, 大厂可能都是保存的 hash 什么的, 但是一个人一码通的情况很普遍的, 但凡一个网站保存了明文, 你密码就 GG 了, 然后如果密码挺简单的, 那保存 hash 也没啥用, john 或者 hashcat 轮一下就出来了, 更不要说 crackstation 这种公开的预计算 hash 比对服务
MengiNo
2022-01-26 06:47:38 +08:00
@cxtrinityy 可是每个厂商自己的盐不是不一样么。同样 123456 最终进到淘宝库里的数据和 jd 库里的数据应该不会一样吧,他怎么比的出来呢。而且 chrome 这种是直接拿你的明文密码比么,那不是也挺危险的,等于 chrome 是直接保管明文密码的?
jiagm
2022-01-26 07:27:02 +08:00
@MengiNo Chrome 需要自动填写明文密码,怎么可能会不可逆加密……这和“明文保管”是两码事嘛。
dbpe
2022-01-26 08:34:19 +08:00
@MengiNo 历史遗留..有些可能就是一个 MD5...并没有盐
fredcc
2022-01-26 09:08:58 +08:00
@MengiNo chrome 不保存明文密码怎么在浏览器里面自动填充啊
irainsoft
2022-01-26 09:13:46 +08:00
@MengiNo #4 所有密码管理器不都掌握着你的密码?就算它们加密了,它们也可以解密啊。


有了网上已经确认泄漏的帐号密码,再跟密码管理器中当前存在的帐号密码一对比,不就查出了你哪些网站的帐号存在风险了吗?这么简单的逻辑,这要什么内部人士解释...
Leonard
2022-01-26 09:19:10 +08:00
这不要内部人士吧,我用 iCloud Keychain ,被泄露过的密码会提示,过于简单的密码会提示,不同站重复的密码也会提示。
maichael
2022-01-26 09:40:53 +08:00
@MengiNo #4 浏览器保存密码某种程度上来说是“明文存储”的。
Rache1
2022-01-26 09:41:59 +08:00
你的密码本来就是被 Chrome 明文保存的。另外,这里提示你的 “密码泄露”,其实只是指 “密码” 泄露,跟你保存的网站、用户名无关。

大致原理就是,Chrome 使用的某个泄露数据库中新增了一个被泄露的密码 “123456” ,然后他就会检查你保存在 Chrome 的密码,如果里面有 “123456” 这个密码,他就会告诉你泄露。

他并不会比较网站和用户名。
Nich0la5
2022-01-26 09:48:20 +08:00
泄露一般就是指的那几次大的拖库行为,很好统计的
agagega
2022-01-26 12:49:30 +08:00
是的,Chrome 就是明文存储的,和 1Password 这种还不一样
cxtrinityy
2022-01-26 18:16:51 +08:00
@MengiNo 盐不一样只是表示某些网站加了盐呀, 所以我也提到一码通的情况, 就算大厂的库爆了不能破密, 你不能保证其他什么杂七杂八的网站也会加盐 hash, 而且就像 11 楼说的, chrome 提示的密码泄漏不是指定你某个网站某个密码泄漏了, 因为只要知道有了这个密码, 再被收录到像比较常用的 rockyou 这种单个 wordlist 或者 github 上维护的 seclists 这种 wordlist 集合里, 随便什么人都能用来暴力破解了
cloverzrg2
2022-01-26 19:02:59 +08:00
把泄漏的数据库都下下来,然后找找就知道了。haveibeenpwned.com 提供这种服务
journey0ad
2022-01-27 11:20:10 +08:00
不要用浏览器自带的保存密码,相当于明文存储在本地,任意程序都能获取而且不需要 uac 权限,包括历史记录、下载记录、收藏夹、cookie 之类
https://github.com/moonD4rk/HackBrowserData

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/830595

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX