V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
conanskyforce
V2EX  ›  程序员

不看不知道,一看吓一跳!密码泄露了一大半

  •  2
     
  •   conanskyforce · 2020-08-17 09:35:59 +08:00 · 29404 次点击
    这是一个创建于 1560 天前的主题,其中的信息可能已经有所发展或是发生改变。

    如题,周末觉得 chrome 有点卡,完全删除了又重装,看到个密码检查的功能,然后扫描一看,吓一跳!

    图片: https://imgchr.com/i/dZ8gq1

    还有好多关键账户的密码也泄露了,吓的我连夜修改密码,但仔细一想, 网站的密码管理确实是个大问题。

    大家都用啥管理密码呢,1Password 吗? 感觉有点贵啊,有咩有靠谱的方案呢

    163 条回复    2020-08-19 15:29:39 +08:00
    1  2  
    chchyu1
        101
    chchyu1  
       2020-08-17 16:32:17 +08:00
    @redtea 这么方便的东西居然说不方便?
    reiji
        102
    reiji  
       2020-08-17 16:35:04 +08:00
    mypassword123@V2EX
    ↑我是这么给各个网站取密码的
    Yano
        103
    Yano  
       2020-08-17 16:49:59 +08:00
    我查了下,4 年前的内网账号都泄漏了,不过好在并不多
    wjm2038
        104
    wjm2038  
       2020-08-17 17:03:09 +08:00 via Android
    @winglight2016 彩虹表
    younghust
        105
    younghust  
       2020-08-17 17:05:49 +08:00
    你们是访问了些什么,能做到大量泄漏密码的。。。我查了一遍没一个泄露了(除了 localhost),chrome 密码管理用了几年了。
    as80393313
        106
    as80393313  
       2020-08-17 17:07:00 +08:00
    @reiji 666,值得学习一下
    suyuyu
        107
    suyuyu  
       2020-08-17 17:07:50 +08:00
    Chrome 无法检查您的密码。请检查您的互联网连接。[doge]
    lzl2000
        108
    lzl2000  
       2020-08-17 17:09:26 +08:00
    我这里两百多个密码,有 13 个密码已遭泄露:全是 192.168 等内网密码
    dallaslu
        109
    dallaslu  
       2020-08-17 17:13:27 +08:00
    @Kvip 这就是彩虹表啊
    SheyS
        110
    SheyS  
       2020-08-17 17:18:22 +08:00 via iPhone
    用 authenticator 设备锁跟设备绑定,最是安全吧。
    ihainan
        111
    ihainan  
       2020-08-17 17:24:35 +08:00
    泄露的密码几乎全都是内网测试网站的 =、=
    nekobest
        112
    nekobest  
       2020-08-17 17:39:14 +08:00
    mypassword-v2ex
    mypassword-wiki
    dingwen07
        113
    dingwen07  
       2020-08-17 17:44:16 +08:00 via iPhone
    @raysonlu #13 那你太年轻,太单纯,有时候很天真了。只要一个明文存储密码的网站被脱裤你的密码就泄露了
    miniwade514
        114
    miniwade514  
       2020-08-17 17:49:31 +08:00
    它这是怎么检测的?试了一下有十几个泄露,不过都是几年没登录过的了
    Pichai
        115
    Pichai  
       2020-08-17 18:28:58 +08:00
    检查了一下,就路由器的密码泄露了。
    derek80
        116
    derek80  
       2020-08-17 18:32:45 +08:00
    bitwarden 够用了。
    cdlnls
        117
    cdlnls  
       2020-08-17 18:43:11 +08:00 via Android
    现在遇到这种东西都不敢查了。

    你查一个别人记录一个,就算一开始没泄露,这样查一下还不是直接就泄露了。
    FS1P7dJz
        118
    FS1P7dJz  
       2020-08-17 18:57:46 +08:00
    @Kvip 这叫彩虹表
    而且实际上,MD5 已经在技术上存在可以碰撞的方法了
    实验中已经构建了 2 个 MD5 hash 一样的文件,但实际上并不相同
    caskeep
        119
    caskeep  
       2020-08-17 19:07:05 +08:00 via iPhone
    脑内算法生成密码 每个都不一样 重要账户密码更复杂 在社会工程学层次做好保护.
    qingxi
        120
    qingxi  
       2020-08-17 19:21:11 +08:00 via Android
    bitwarden
    liyongqiang1995
        121
    liyongqiang1995  
       2020-08-17 19:28:20 +08:00
    @yulihao +1 admin admin 哈哈哈
    yongliu
        122
    yongliu  
       2020-08-17 19:29:33 +08:00
    这个所谓的泄漏说的是帐号密码组合在某个网站上已经被泄漏,并不是说所有用这个帐号密码的站点都泄漏了。
    当然,只要一个站点被泄漏,其他地方离被发现也就不远了...
    FEDT
        123
    FEDT  
       2020-08-17 19:32:59 +08:00 via iPhone
    这个应该是根据非 https 页面登录来统计的吧
    kooze
        124
    kooze  
       2020-08-17 19:47:47 +08:00
    看了下,嗯。都是甲方的后台登录密码。我就放心了。
    24bit
        125
    24bit  
       2020-08-17 20:58:19 +08:00
    当初自己写的密码生成器,生成 16 位难记的密码,逼迫自己不同网站用不同的密码

    然后,我 TM 把它背下来了
    FengkuiChan
        126
    FengkuiChan  
       2020-08-17 21:04:45 +08:00 via Android
    @Yumwey 在 chrome,登录 Google 账号 A,退出再登陆 Google 账号 B,就算全部泄漏密码了。
    hdfg159
        127
    hdfg159  
       2020-08-17 21:51:03 +08:00
    给你说一下,我点一 i 下检测,我发现我的密码全部被上传了
    railgun
        128
    railgun  
       2020-08-17 22:06:54 +08:00
    看了下,泄露的都是内网开发用的弱密码,123456 这种
    exploreexe
        129
    exploreexe  
       2020-08-17 22:11:23 +08:00
    @las917vki #61 那个社工库跑路了
    eallion
        130
    eallion  
       2020-08-17 22:12:07 +08:00
    Bitwarden 自建。
    ghs55kai
        131
    ghs55kai  
       2020-08-17 22:13:02 +08:00 via iPhone
    准?
    katoyu
        132
    katoyu  
       2020-08-17 22:21:40 +08:00
    你这个是假的 chrome 的吧?我的怎么一个都没泄漏啊,一共 90 多个密码,全部安全。
    xinghen57
        133
    xinghen57  
       2020-08-17 22:30:52 +08:00 via iPhone
    我还收到谷歌庭外和解费申请的邮件
    input2output
        134
    input2output  
       2020-08-17 22:49:36 +08:00
    Keyes
        135
    Keyes  
       2020-08-17 23:12:33 +08:00
    Edge: ??????
    swordgreen
        136
    swordgreen  
       2020-08-17 23:24:36 +08:00
    @redtea 为什么不方便,很好用啊。
    Huelse
        137
    Huelse  
       2020-08-17 23:31:56 +08:00
    @Kvip #99 撞库,穷举就是这么来的,现代主流密码体系主要的衡量标准是穷举时间超过一定时间算安全
    nvkou
        138
    nvkou  
       2020-08-17 23:45:05 +08:00 via Android
    @Kvip 强迫症犯了。MD5 不是加密
    bglucas
        139
    bglucas  
       2020-08-17 23:46:45 +08:00 via Android
    所有密码都是 keepass 管理路过,主密码加一个 key 文件
    luckyyzc233
        140
    luckyyzc233  
       2020-08-18 00:20:34 +08:00
    试了一下,泄露的是无线路由器的原始密码...
    futandrew
        141
    futandrew  
       2020-08-18 05:03:34 +08:00 via iPhone
    我想知道 chrome 怎么知道密码被泄露了
    jackmod
        142
    jackmod  
       2020-08-18 07:37:50 +08:00
    按照自己的规则编的看似复杂的密码,再配合网站的 2FA 功能
    顺便 authy 兼容 google auth,手机坏了也不怕丢掉了
    janda
        143
    janda  
       2020-08-18 08:42:54 +08:00
    我是用 enpass 一次性买断的、密码自动同步到自己云盘,全平台支持
    aegon466
        144
    aegon466  
       2020-08-18 08:58:34 +08:00
    我是用脑子管理密码的
    crazyrock
        145
    crazyrock  
       2020-08-18 08:59:43 +08:00
    我 github 账号都泄露了,咋肥事?
    aero99
        146
    aero99  
       2020-08-18 09:07:57 +08:00
    对于几十元钱觉得贵的可能觉得密码还是不重要
    ddzy
        147
    ddzy  
       2020-08-18 09:09:22 +08:00
    xyjincan
        148
    xyjincan  
       2020-08-18 09:14:25 +08:00
    全匹配的 localhost,192.168
    en20
        149
    en20  
       2020-08-18 09:38:47 +08:00
    连 12306 都有...
    wolfan
        150
    wolfan  
       2020-08-18 09:41:52 +08:00 via Android
    彩虹表的密码才是最安全的(ღ˘⌣˘ღ)。
    terax
        151
    terax  
       2020-08-18 10:14:42 +08:00 via iPhone
    @reiji 这样不是泄露一个所有的就都泄露了么。。
    MsHan
        152
    MsHan  
       2020-08-18 14:26:11 +08:00
    吓得我赶紧去检查,提示没泄露
    xshwy
        153
    xshwy  
       2020-08-18 15:14:40 +08:00
    CSDN 为罪魁祸首
    reiji
        154
    reiji  
       2020-08-18 17:53:29 +08:00
    @terax 谁会对着你的账户一个一个人工试啦
    yaoguaishou
        155
    yaoguaishou  
       2020-08-18 21:08:36 +08:00 via Android
    @futandrew 用的 haveibeenpwd
    yaoguaishou
        156
    yaoguaishou  
       2020-08-18 21:09:13 +08:00 via Android
    yanqiyu
        157
    yanqiyu  
       2020-08-18 21:18:27 +08:00 via Android
    Chrome 的保存的密码是用你的 Windows 凭据加密的,登录就可以读取了
    yanqiyu
        158
    yanqiyu  
       2020-08-18 21:19:10 +08:00 via Android
    @yanqiyu 抱歉,没读题,我傻了。

    我用的 chrome 的随机密码
    mmqmyy
        159
    mmqmyy  
       2020-08-18 22:17:40 +08:00
    @wangritian 我也大量使用的是你描述的第三种,特别复杂的密码+网站标识,但最坏情况就是泄露了一个,就能大概猜到另一个网站的密码。因为前段部分都是一样的,再根据之前泄露的密码的网站标识部分,去尝试各种比较有可能的大小写组合,很容易就猜中了。举个例子,x 宝上泄露密码: xxxa@Tbao1,京东的密码大概率就是: xxxa@Jdong1 。即使不是,网站标识缩写和全称,以及大小写,换来换去无非也就几种组合,很容易猜。所以好像还是无规则的比较好。
    wangritian
        160
    wangritian  
       2020-08-19 09:42:47 +08:00
    @mmqmyy 无规则肯定要找地方记录吧,这也会增加额外风险和维护成本,密码泄露本身就是个小概率事件,程序员的安全意识一般还都很高,碰到针对你去猜测其他网站标识的应该会更少了
    AsianChampion
        161
    AsianChampion  
       2020-08-19 10:02:00 +08:00
    goodboy95
        162
    goodboy95  
       2020-08-19 13:49:13 +08:00
    我也放心了,只泄露了一个 localhost 密码,我甚至可以在这里再泄露一遍,密码 123456
    XiXiLocked
        163
    XiXiLocked  
       2020-08-19 15:29:39 +08:00
    @mmqmyy 提供一下我的思路, 我也是用的密码和网站标识然后脑内规则生成,不过用的不是直接 concat 的方式.

    举个例子比如密码 123456 在京东的,我就不是 123456@jingdong ,而是 1j2i3n4g5d6o,这样混插在一起的,要是原密码不是全数字的,插了几个字母,基本很难看出来规律,除非多处密码泄漏,人工主动去看才能看出来.
    混插的变种也很多 ji12ng34do56ng, j1in2gd345ong
    1  2  
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2722 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 29ms · UTC 10:04 · PVG 18:04 · LAX 02:04 · JFK 05:04
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.