V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
ppbaozi
V2EX  ›  程序员

chrome 是怎么知道你有多少密码被泄露的,有没有内部人士来说说

  •  
  •   ppbaozi · 122 天前 · 3476 次点击
    这是一个创建于 122 天前的主题,其中的信息可能已经有所发展或是发生改变。
    第 1 条附言  ·  121 天前
    我是问,chrome 是怎么知道密码泄露了
    不是问,有哪些渠道可以知道密码被泄露

    也就是说只有 chrome 项目相关人才能知道细节吧,不是你们扔几个网站上来就是答案了
    16 条回复    2022-01-27 11:20:10 +08:00
    kernelpanic
        1
    kernelpanic  
       122 天前   ❤️ 1
    cxtrinityy
        2
    cxtrinityy  
       122 天前
    密码泄漏都是各种数据库啊, 一比对不就知道了, raidforums 上卖的库的多了去了, 网易、优酷、twitter 、tumblr 、taobao 的
    cxtrinityy
        3
    cxtrinityy  
       122 天前
    说的不太严谨, 大厂可能都是保存的 hash 什么的, 但是一个人一码通的情况很普遍的, 但凡一个网站保存了明文, 你密码就 GG 了, 然后如果密码挺简单的, 那保存 hash 也没啥用, john 或者 hashcat 轮一下就出来了, 更不要说 crackstation 这种公开的预计算 hash 比对服务
    MengiNo
        4
    MengiNo  
       122 天前 via Android
    @cxtrinityy 可是每个厂商自己的盐不是不一样么。同样 123456 最终进到淘宝库里的数据和 jd 库里的数据应该不会一样吧,他怎么比的出来呢。而且 chrome 这种是直接拿你的明文密码比么,那不是也挺危险的,等于 chrome 是直接保管明文密码的?
    jiagm
        5
    jiagm  
       122 天前 via Android
    @MengiNo Chrome 需要自动填写明文密码,怎么可能会不可逆加密……这和“明文保管”是两码事嘛。
    dbpe
        6
    dbpe  
       122 天前
    @MengiNo 历史遗留..有些可能就是一个 MD5...并没有盐
    fredcc
        7
    fredcc  
       122 天前
    @MengiNo chrome 不保存明文密码怎么在浏览器里面自动填充啊
    irainsoft
        8
    irainsoft  
       122 天前
    @MengiNo #4 所有密码管理器不都掌握着你的密码?就算它们加密了,它们也可以解密啊。


    有了网上已经确认泄漏的帐号密码,再跟密码管理器中当前存在的帐号密码一对比,不就查出了你哪些网站的帐号存在风险了吗?这么简单的逻辑,这要什么内部人士解释...
    Leonard
        9
    Leonard  
       122 天前
    这不要内部人士吧,我用 iCloud Keychain ,被泄露过的密码会提示,过于简单的密码会提示,不同站重复的密码也会提示。
    maichael
        10
    maichael  
       122 天前
    @MengiNo #4 浏览器保存密码某种程度上来说是“明文存储”的。
    Rache1
        11
    Rache1  
       122 天前
    你的密码本来就是被 Chrome 明文保存的。另外,这里提示你的 “密码泄露”,其实只是指 “密码” 泄露,跟你保存的网站、用户名无关。

    大致原理就是,Chrome 使用的某个泄露数据库中新增了一个被泄露的密码 “123456” ,然后他就会检查你保存在 Chrome 的密码,如果里面有 “123456” 这个密码,他就会告诉你泄露。

    他并不会比较网站和用户名。
    Nich0la5
        12
    Nich0la5  
       122 天前
    泄露一般就是指的那几次大的拖库行为,很好统计的
    agagega
        13
    agagega  
       122 天前 via iPhone
    是的,Chrome 就是明文存储的,和 1Password 这种还不一样
    cxtrinityy
        14
    cxtrinityy  
       121 天前
    @MengiNo 盐不一样只是表示某些网站加了盐呀, 所以我也提到一码通的情况, 就算大厂的库爆了不能破密, 你不能保证其他什么杂七杂八的网站也会加盐 hash, 而且就像 11 楼说的, chrome 提示的密码泄漏不是指定你某个网站某个密码泄漏了, 因为只要知道有了这个密码, 再被收录到像比较常用的 rockyou 这种单个 wordlist 或者 github 上维护的 seclists 这种 wordlist 集合里, 随便什么人都能用来暴力破解了
    cloverzrg2
        15
    cloverzrg2  
       121 天前
    把泄漏的数据库都下下来,然后找找就知道了。haveibeenpwned.com 提供这种服务
    journey0ad
        16
    journey0ad  
       121 天前
    不要用浏览器自带的保存密码,相当于明文存储在本地,任意程序都能获取而且不需要 uac 权限,包括历史记录、下载记录、收藏夹、cookie 之类
    https://github.com/moonD4rk/HackBrowserData
    关于   ·   帮助文档   ·   API   ·   FAQ   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   2600 人在线   最高记录 5497   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 29ms · UTC 10:09 · PVG 18:09 · LAX 03:09 · JFK 06:09
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.