前几天电脑中毒了,虽然第一时间重装系统,但是隔天依然收到一大堆网站登录的 gamil 验证邮件,谷歌帐号也提示风险操作。密码管理一直用的 chrome 自带的,考虑是 chrome 保存的密码泄漏,于是连夜改了所有帐号密码,能二验的全部添加二验。然而第二天早上还是发现一台小鸡被人在 vps panel 里重装了 windows 系统,还好有数据备份,然后又改所有小鸡的 ssh 登陆密码。因为之前谷歌帐号开了二次验证,还好谷歌帐号没被登录。吃了这个惨痛的教训,我开始研究 chrome password manger 的安全问题,才发现 chrome 保存密码等于裸奔。
一篇解释如何获取 chrome 保存的密码的文章: https://ohyicong.medium.com/how-to-hack-chrome-password-with-python-1bedc167be3d
如果用 chrome 自带的密码管理保存密码,任何一个运行在你电脑上的程序,不需要管理员权限,都能解密并读取本地保存的密码。因为 chrome 的密码保存在本地加密的 sqlite 中,同时加解密密钥也明文保存在本地文件里,任何程序都能读取。
加密 sqlite 文件路径: C:\Users<PC Name>\AppData\Local\Google\Chrome\User Data\Default\Login Data
解密密钥文件路径 C:\Users<PC Name>\AppData\Local\Google\Chrome\User Data\Local State
额外说明一点是解密需要用到 win32 提供的 API CryptUnprotectData 函数,这个函数保证解密是和加密在同一台电脑(用户)进行的,所以如果直接复制硬盘的浏览器数据到其他电脑上是解密不了的,但是只要你的 Windows 登录了,任何程序只要想都可以解密 chrome 的密码然后上传。
现在考虑转 bitwarden 中。
101
lifansama 2022-08-14 18:45:24 +08:00 via Android
是时候拿出卡巴斯基来了?😂
|
102
keepMyselfClam 2022-08-14 18:55:41 +08:00
之前安装 edge 的时候,它提示可以将以前 chrome 的数据导入,然后我就点了个确认 书签和密码一起导入了 edge 中.
当时我就在想这玩意保存密码不安全(包括 chrome 和新版 edge). 之前我有看到有些密码保存软件除了在本地安装软件以外可以通过 chrome 的插件和浏览器联动. 每次输入密码时由插件从本地的密码保存软件中获取密码(这个过程需要你自己输入密码去解密本地数据库) 我觉得这种方式会更加安全.即使密码数据库被偷了也会由于没有解密密码而打不开. 但一直没什么时间去折腾,楼主要是有后续的实践经验,发出来看看呗. |
103
Laobai 2022-08-14 18:56:04 +08:00
我用 Chrome 保存密码很多年了,我去 o(╥﹏╥)o
|
104
Kanna 2022-08-14 19:15:58 +08:00
现在在用 Windows 的 iCloud 同步密码,不知道会不会有这个问题
|
105
MengiNo 2022-08-14 19:21:19 +08:00 2
@lcy630409 我相信这个论坛里至少一半人使用微信的同时都在慰问张小龙的妈。用不用某个软件至少在国内反正你的决定并不是很重要。
|
106
mobpsycho100 2022-08-14 19:21:36 +08:00
Windows sandbox ,sandboxie ,火绒开文件夹访问保护和联网控制行不行? Mac 下面 little snitch?
|
107
paradoxs 2022-08-14 19:22:44 +08:00 4
没人提到,原罪应该是 windows ??
都特么 2022 年了,还不能给系统每个软件默认自带沙箱环境,禁止软件之间相互读取。 (好歹给个可选项啊) |
108
proxytoworld 2022-08-14 19:23:29 +08:00 1
@lcy630409 #100
qq 扫浏览器怎么看 |
109
yvkino 2022-08-14 19:34:22 +08:00
换 bitwarden 一年多了,chrome 密码太多了懒得删
|
110
cccer 2022-08-14 19:35:58 +08:00 1
信任也是分等级的,虽然我信任电脑里运行的软件,并运行它们。可还没信任到将所有密码都明文放在它们眼底下,所以很早就从 Chrome 自带的密码管理切换到 Bitwarden ,每次自动填充时用指纹解锁也不麻烦。
|
111
sillyB 2022-08-14 20:10:43 +08:00
@juejinloop 你没表达清楚,眼睛也不好使吗?没看我写的“如果”?真想查明问题,把 病毒文件发出来,论坛有的是人帮你分析。不要没搞清楚,就在那儿乱喷
|
112
YaakovZiv 2022-08-14 20:10:50 +08:00
|
113
version0 2022-08-14 20:21:43 +08:00
吓得我赶紧用火绒加一条规则,鬼鬼,这也太恐怖了,按网址给的方案,只要有程序想读取就能读取啊,这尼玛这谁顶得住,感觉已经被看过了,我的 qq 啥的密码都保存在 chrome 的
|
114
gaabing 2022-08-14 20:28:42 +08:00
Edge 呢
|
115
hheng101 2022-08-14 20:29:08 +08:00
用火绒给 Login Data 、Bookmarks 和 Local State 添加自定义规则了,不知道有没有用...
|
116
aladdinding 2022-08-14 20:36:28 +08:00
弃用密码登录才是王道
|
117
CatCode 2022-08-14 20:43:00 +08:00
我现在只用 Chrome 浏览器存别人的密码
|
118
ysc3839 2022-08-14 20:46:39 +08:00 via Android
不仅是 Windows ,Linux BSD 等传统桌面操作系统都是没有应用级别的权限控制的。
目前权限控制做得最好的桌面操作系统 macOS 也不能限制一个程序读取别的程序保存的数据,只能限制读取桌面、下载等几个特定的文件夹。 |
119
ysc3839 2022-08-14 20:47:01 +08:00 via Android
@paradoxs 不仅是 Windows ,Linux BSD 等传统桌面操作系统都是没有应用级别的权限控制的。
目前权限控制做得最好的桌面操作系统 macOS 也不能限制一个程序读取别的程序保存的数据,只能限制读取桌面、下载等几个特定的文件夹。 |
121
QurakJaker 2022-08-14 20:55:46 +08:00 1
哈哈,我早就发现了,很早之前就把自己 Chrome 上 30 多个密码一个个删掉。现在的方案是,每月 12 元的 StrongBox 基于 Keepass ,加上 dropbox ,全平台同步。
|
123
laydown 2022-08-14 22:06:57 +08:00 2
我懂楼主,早知道 chrome 是这个德性,所以,我从来不在 chrome 上保存密码或者是表单数据。chrome 这个比放在记事本上明文都不安全,别人入侵你的电脑,如果你保存在记事本上,他们还得找一下是哪个记事本那段内容是帐号和密码的内容,然而如果是 chrome ,简直就是专为入侵者服务,可心无杂念直捣黄龙,上来就奔向 chrome 这里找帐号密码,还能自动登录。
|
124
Eiden 2022-08-14 22:16:24 +08:00
这么不安全的话, chrome 装机量这么大, 为啥没有发生大规模泄露事件呢? 一定是黑客们觉得没挑战性是吧
|
125
totoro625 2022-08-14 22:42:27 +08:00 2
@Eiden #124 还不得多亏了 360 带来的免费杀毒软件,而且偷你一堆密码也没用,难道还要挨个登录上去看看有没有价值?
例如:twitter 被盗然后转发广告,赚个一条五毛钱?不如直接锁了你的电脑勒索点钱 低端的: 这种盗取密码更容易发生在身边,你的同事,U 盘拷贝了一个网上免费下载的 HackBrowserData exe 文件过来,在你去卫生间的时候插入电脑,打开杀毒软件点击隔离区,点击恢复并添加到白名单,双击一下,获取了你全部的账户密码 cookie 表单数据,拔掉 U 盘走了。整个过程不会超过 1 分钟 然后他回到自己电脑上,用你的 cookie 欣赏你的百度网盘照片,看看你的论坛发言,找到你的小号记录 高级一点: 你的同事发来一个生日快乐.exe ,里面打包了 HackBrowserData 源码,搭配一个简单的上传小程序,一定要你打开看一下,在你打开的同时你的账户密码 cookie 表单数据全部被他获取,因为他花了点钱给软件加了壳,杀毒软件都以为是正规大公司的软件都没拦截,于是你在你同事面前就曝光了一切 终极一点: /t/632958 /t/848050 他不知道你的所有账户? 至少也要扫描浏览器历史记录 |
126
lightcreater 2022-08-14 22:44:17 +08:00
给我下吓一跳
感觉用火绒把 C:\Users\123\AppData\Local\Google\Chrome\User Data\Default 目录给加进去了 |
127
microxiaoxiao 2022-08-14 22:47:41 +08:00
楼主 不要在这瞎吹牛逼,我刚刚按照你的那篇文章看了,早没有 encrypt 这个字段了。你确定是 chrome 导致的?还是你自己用了一个很旧的版本。
|
128
MarioLuo 2022-08-14 22:55:55 +08:00 via Android
才从 lastpass 切换到 google chrome 的密码管理器,如果真是如主题所说的那样,又得切回去了
|
129
microxiaoxiao 2022-08-14 23:01:07 +08:00
我敢打保票,哪个哥们写的文章不可行(104.0.5112.81),他还写了一个简单的 Python 程序。在搜索引擎里面搜索 crack Chrome password ,能找到最新的文章就是这个。你这是现画靶在射箭的验证逻辑吧。
|
130
SekiBetu 2022-08-14 23:03:39 +08:00
|
131
byte10 2022-08-14 23:03:58 +08:00
会不会是没有安装 360 呢?,一般有杀毒软件都没啥问题,很多程序员用 windows 就不爱安装杀毒软件,很是奇怪
|
132
huntley 2022-08-14 23:05:57 +08:00
我早就发现这个安全隐患了,还在 v 站发过帖子,https://www.v2ex.com/t/855291#reply20 。还好我发现问题后及时转移了密码,以后不要用任何浏览器管理密码。
|
133
SekiBetu 2022-08-14 23:09:04 +08:00
最好的办法是使用微软的无密码账户,用你的手机的动态码或者短信来登录账号
|
134
yanyuechuixue 2022-08-14 23:23:24 +08:00 via Android
不懂请教一下,macos 存在这个问题么?
|
135
Sh3r1ock 2022-08-14 23:24:23 +08:00 via Android
有没有什么把 chrome 里的密码批量导入 bitwarden 的方案
|
136
huieh 2022-08-14 23:25:41 +08:00
标记下
|
137
ssdde 2022-08-14 23:28:29 +08:00
楼主如果 chrome 真像你说的这么弱智,Google 公司为什么不倒闭解散算了
|
138
Masterlxj 2022-08-14 23:34:48 +08:00
我用的 enpass
|
139
Admin8012 2022-08-14 23:47:26 +08:00 via Android
很简单刘慈欣早就告诉我们了:把字刻在石头上
|
140
Nitroethane 2022-08-14 23:54:58 +08:00 via iPhone
前段时间思科被黑客入侵了。原因就是一个员工的电脑被搞了,这位员工刚好把 vpn 的密码保存在 Chrome 里。当然 vpn 还有 mfa ,黑客继续用社工绕过了 mfa ,最终搞到公司内网了。前两天思科官方发文章了。有兴趣可以找找看
|
141
Helsing 2022-08-15 00:05:14 +08:00 via iPhone 6
看了一遍评论,很佩服某些人的洗地和对国外软件犯错的宽容度之高。要是国产软件,别说这么严重的安全问题,可能一个小问题就已经被喷出翔了……
|
142
patrickyoung 2022-08-15 00:12:34 +08:00 2
复习一下身份认证的三个要素:
- something you know - something you have - something you are 1. 你的终端是 something you have ,那么你主动运行了解密的程序,算是一种授权 2. Windows 系统账户登陆密码是 something you know ,你主动输入了密码 ( Windows 10 登陆状态下通过浏览器查看明文,需要二次输入账户密码。但是用了系统的 DPAPI CryptUnprotectData 函数解密是没问题的,你的终端都 Compromise 了,就好比:你家里已经进了贼,你跟贼说,别看这里。或者说:你家里已经进了贼 = 你已经把钥匙 /密码给了贼,然后你说 “贼,别看我小本本”,可能吗?是 Google 家的工程师是 SB 还是楼主半瓶醋? 你告诉我一下,如果你的终端已经 Compromise 什么有用? Master Key 加密后( 1Password )在本地的缓存密码同样是可以解密的,那按你的逻辑类推,1Password 只是用了不是系统从你的账户密码 Derive 出的 Key 而已,其他的都是使用了同样是公开的算法和 API ,网上有大把的解密程序,是不是 1Password 这样都不安全? 3. 你或许会说 Windows 有问题,为什么调用这种函数不二次验证?那么系统 Keychain , 也就是 @ysc3839 提到的 Credential Manager 里面的东西也是用这个函数加密的。系统里还有大量的需要加密的数据,这个过程是用户无感知的,如果每次都要这样验证对应的 Windows Desktop Session Token 对应的 Password ,那么我估计你下一个帖子就是微软的工程师是 SB 。 @juejinloop 至于你说 Linux / Mac 的就更是扯淡了,Mac 的系统 Keychain 依然是需要二次验证密码 / touch id / face id 。Linux 默认的 Chrome 密钥存储依赖于 org.freedesktop.secrets 的实现,狭义来说,目前 API 完善,使用广泛的就是 Gnome Keyring 和 KDE Kwallet ,也是类似的算法。也不是明文存储。 不要把其他家的工程师和 Security and Compliance 团队当 SB 。 |
143
ST0RMTR00PER 2022-08-15 00:13:21 +08:00
难道重点不是为什么会中毒吗?上网二十年都没中度过。
|
144
patrickyoung 2022-08-15 00:15:59 +08:00 2
@juejinloop 来,我告诉你,BitWarden 的 Desktop Client ,在你登陆解锁之后默认的 Vault Lockout 是 Never ,而且默认的 Clear Clipboard 也是 Never ,意味着什么?意味着只要你打开系统,解锁 Bitwarden 之后就是可以被任何人随意读取操作的,甚至你复制了密码,都会被任何能读取剪贴板的程序读取。
那么按照你的逻辑,Windows 下任何应用都可以读取 Clipboard ,在你的终端 Compromised 的情况下,任何人有权随时使用 RAT 操作你的电脑,接下来 Bitwarden 也是不安全的。 建议别用密码管理器,用脑子记着,忘了就自己认栽。 |
145
param 2022-08-15 00:32:28 +08:00 via Android
文件系统上有种东西叫做权限。
通常来说,你利用 nginx 的漏洞 hack 进了去了,也读不到 mysql 的存储文件,因为通常 nginx 会用一个特定的用户来运行,而这个特定的用户并没有权限读取 mysql 的数据文件。 有人提到从内存中 dump 数据的,只要有权限的区分,chrome 的数据存在专有的内存空间中,其他应用就没办法读取得到。 在 Android 上,微信 QQ 能随便读到 chrome 的内容吗?不能。因为给 chrome 存储数据的区域是 chrome 特有的,只能给 chrome 来读写,其他应用无法读取。 所以: 1. 要怪 chrome 没有利用好权限机制 2. 要怪 windows 没有良好的权限机制提供给 chrome 去使用 3. 要怪使用者自己没有做好权限控制。我看楼上有些人说用火绒可以自己加权限规则,2022 年了,这种权限机制还要靠第三方应用来实现吗? 以上说的只是运行第三方不可信程序时的应对方式,而楼主提到的「中毒」,应该是说已经被拿到最高权限的意思了吧?拿到最高权限,怎么控制权限都没用。 想象一种情况是,公安收走了你的设备,将硬盘数据拷了出来,而如果是 android ,只要对方无法解锁,那么数据还是安全的。而像 windows 这种,按照楼主的说法,也并不是完完全全的明文,还是需要调解密接口的吧,是不是只要 windows 不解锁,也一样无法解密呢? |
146
dototototo 2022-08-15 00:34:51 +08:00 via Android
没有实际在 Chrome 上保存过密码,如果真如楼主所说的这般,我会想到那些明文存储用户密码被脱裤的大厂们。
|
147
yvkino 2022-08-15 00:57:28 +08:00
webauthn 何时才能普及
|
149
ysc3839 2022-08-15 01:48:45 +08:00 via Android
@paradoxs 是的,但那仅仅对商店应用有效,非商店应用只能限制访问桌面、下载等几个特定的文件夹。
|
150
Osk 2022-08-15 01:52:33 +08:00
一直知道 Windows 上 chrome 不安全, 所以基本没有使用浏览器记录密码.
另外, edge 针对这个问题做过改进: 1. 填充密码时需要认证(Windows 账户密码), 但上面有人说了, 这是防 edge 自己的? 2. 使用主密码, 填充前需要输入主密码. |
151
ysc3839 2022-08-15 01:59:25 +08:00 via Android 3
@patrickyoung @param 我觉得本质的问题还是传统桌面操作系统没有应用级别的权限隔离,默认以用户身份运行就是用户授权了。Android 没有这个问题,正是因为它有应用级别的沙盒。
macOS 的 Keychain 就有“允许某程序访问该条目”的功能,一定程度上能缓解这种问题。 |
152
iseki 2022-08-15 02:13:47 +08:00 via Android
早就知道这个问题了,除了那种每次使用前要你输入主密钥或者过一次 Windows Hello 之类的东西,都不安全……
所以个人很反感电脑上运行国产 /其他看着就不太行的软件,Windows 没有对应用程序的隔离,这个问题就没什么办法 |
153
3dwelcome 2022-08-15 02:13:57 +08:00
楼主你要这样想,病毒能读取你的 C:\Users<PC Name>\AppData 信息,肯定也能读取你的磁盘,你的代码,你公司的 SSH 远程帐号。
被盗几个帐号不吓人,公司服务器被黑了,公司代码被盗了,那你可是要背大锅的。 |
154
3dwelcome 2022-08-15 02:19:51 +08:00
|
155
ysc3839 2022-08-15 03:31:40 +08:00 via Android
@3dwelcome 感觉这么做治标不治本,还是没有解决不同应用隔离的问题。而且微软员工曾经说过 UAC 不是安全机制,只有管理员和非管理员用户分开才能保证安全,那么这种做法对于大多数用户来说就是无效的。
https://devblogs.microsoft.com/oldnewthing/20160816-00/?p=94105 https://web.archive.org/web/20111216020913/http://channel9.msdn.com/Forums/Coffeehouse/473037-UAC-controversy-the-last-episode/773c9d79f8df4fa8bc489deb00e05c3d |
156
yagamil 2022-08-15 04:03:24 +08:00
平时一些交易类的网站,邮箱不会用 chrome 保存密码,论坛这种就使用自带的 chrome 保存密码。这种泄露了无伤大雅的网站就随缘了吧。 也许人家网站已经被人拖过 x 次库了。
|
157
huangsen365 2022-08-15 04:09:27 +08:00 via iPhone
所以 Chrome 默认自带了“建议设置复杂密码”随机复杂 然后 不要全部所有网站平台系统服务共用相同密码… 最后加上结合 MFA 验证码手机短信之类的… 不然 你保存在哪里还不是一样明文保存?
|
158
NIIIIIIIIIICE 2022-08-15 08:21:42 +08:00 via iPhone
enpass 好用
|
159
estk 2022-08-15 08:31:51 +08:00 via Android
win64 或者 mac 也可以被读取吗?
那个密码的密钥是跟着谷歌账号走吧?换电脑登陆谷歌账号密码也同步 |
160
MEIerer 2022-08-15 08:39:05 +08:00 via Android
感觉使用谨慎点就行
|
161
void59468 2022-08-15 08:50:52 +08:00
根本原因是 windows 和 linux 都没有进程级别的文件读取权限控制,它们的权限控制都是基于用户身份的
|
162
totoro625 2022-08-15 09:09:58 +08:00 2
@3dwelcome #153 病毒是个大帽子,谁都能往上扣
在这里 OP 只是举了一个病毒的例子,实际上流氓软件都可以是病毒,只是毒性较弱,没展现他更流氓的一面 大家并不担心能被杀毒软件识别的病毒读取 Chrome 而是担心那些白名单内的流氓软件读取你的 Chrome ,不光是常用软件,一些不常用的软件其实也在白名单内(甚至病毒) 至于腾讯系是已知的最爱读取浏览器历史记录的流氓软件了,他能直接读取你的密码,Chrome 就没锁门,他想读就能读,但是迫于商业软件的信任问题,目前设计上没读 怕的就是会有某个接口,某天想看指定人的隐私信息,点击一下让程序激活扫描你数据的功能。这个时候直接读 Chrome 又快又好,要是扫描你的磁盘,看你的文档,时间太长,数据量太大了 |
163
daolanfler 2022-08-15 09:14:24 +08:00
看了这么多,我打算买一个小本本,专门来记密码。小本本上也不写明文密码,简单加密一下
|
164
lcy630409 2022-08-15 09:28:52 +08:00
@daolanfler
不行,如果强盗直接闯入你家 拿枪指着你的头 让你解密,不还是明文 |
165
vone 2022-08-15 09:30:54 +08:00
|
166
ws52001 2022-08-15 09:40:04 +08:00
早就 Bitwarden 自建了,挺好用的。
|
167
wolfie 2022-08-15 09:41:39 +08:00
现在还分 密文密钥了,我记得几年前就是一个明文文件。
|
168
Unclev21x 2022-08-15 09:42:47 +08:00
加密 sqlite 文件路径: C:\Users<PC Name>\AppData\Local\Google\Chrome\User Data\Default\Login Data
解密密钥文件路径 C:\Users<PC Name>\AppData\Local\Google\Chrome\User Data\Local State 没有人验证以下这个嘛? Version 104.0.5112.81 (Official Build) (64-bit) 没有看到这 2 个文件夹。 |
169
clf 2022-08-15 09:42:54 +08:00
印象里所有的密码管理软件都支持本机 windows hello 验证。这应该和 chrome 验证的方式是一致的?
|
170
Unclev21x 2022-08-15 09:45:15 +08:00
@juejinloop #8
|
171
Unclev21x 2022-08-15 09:46:36 +08:00
|
172
YR1044 2022-08-15 09:49:56 +08:00 2
建议使用 keepass ,非对称加密,防键盘记录器,防剪贴板监听,防读内存,免费
|
173
totoro625 2022-08-15 10:03:07 +08:00 1
@Unclev21x #168
是文件不是文件夹,版本 104.0.5112.81 (正式版本) ( 64 位)有的 你是魔改版的 Chrome 吗,我用 everything 搜索了一下,电脑上 4 个基于 Chrome/Chromium 的浏览器都有这两个文件 你可以用 https://github.com/moonD4rk/HackBrowserData/releases/ 无需管理员权限直接导出你电脑上不设防的浏览器密码 |
174
cshzgz 2022-08-15 10:06:35 +08:00
自己電腦倒是沒有其他人使用,但是梯子可能是最大泄露的原因,用過共用的節點。
|
175
Danfi 2022-08-15 10:12:36 +08:00
针对这种问题我觉得看个人使用习惯,我是把密码分为重要和非重要两部分,其中重要的其实没多少,自己记住或者其他方法,而绝大部分都是不重要的,不重要的我选择相对方便的,用 Chrome 也没什么问题
|
176
yulgang 2022-08-15 10:20:41 +08:00
其实不只 Chrome ,用其他浏览器的密码也一样。。。参考 nirsoft_package 里面的浏览器密码查看工具。
建议楼主装个正经的杀毒软件,不运行来源不可信的程序😁 |
177
yy77 2022-08-15 10:27:49 +08:00
chrome 至少应该为想要的人加一个 master 密码,要求每次填写都必须手工输入。如果觉得麻烦且不在意的可以关掉。
|
178
zsxeee 2022-08-15 10:33:48 +08:00 2
其实上面有人的链接已经讨论过了,如果你没有给你的硬盘加 BitLocker 之类的,那甚至物理层面上有人用个 PE 就可以把密码拷走。
而根据所谓 Chrome 的安全负责人的说法,是不想提供“虚假的安全感”,用户需要知道有了电脑密码就拥有了一切权限。这个说法我倒是赞同,但浏览器也没有明确说明风险,而是依赖用户本身的安全意识,我相信大部分用户可能也就在其他浏览器迁移导入密码时才能发现端倪。而且除了 OEM 自带,也不会有多少用户会开 BitLocker 吧?更何况大部分用户装的 Windows 家庭版是没有 BitLocker 的。 上面“用户”的定义可能有些模糊,可以尝试带入大学生、毕业生这类刚装机的,而又不至于不关注安全的(宿舍属于半公共环境)。 |
179
hush3 2022-08-15 10:42:22 +08:00
卧槽终于发现有人和我一样了。我是随便找了个网站下了个 XX 皮肤盒子,然后打开发现是个下载器,就给删了。电脑有装火绒,可能没报毒也可能我给放行了不记得了。。。 第二天开始发现我的邮箱发来好多异地登录、重置密码等邮件,感觉不对劲。chrome 浏览器直接给我账户注销了说电脑存在不安全隐患,无法登陆。后来我重做了系统,受到的影响有 twitter ,youtube 出现了许多外国语言视频的观看记录,telegram 被盗用 spam 导致账户被禁言,等我登录上时发现许多对话记录,至今未解开等等。
|
180
loolac 2022-08-15 10:43:14 +08:00
中毒使第一道防线崩溃。后面就有 n 种方法获取你的密码了。
|
181
pkoukk 2022-08-15 10:54:02 +08:00
chrome 雀食不行
|
182
yedanten 2022-08-15 10:57:19 +08:00 via Android
chrome 存的是密文,用当前系统用户的 dpapikey 进行加解密。
提取 key 需要管理员权限。 中病毒后,能否获取到你机器上保存的密码,只是难度和时间的问题,这锅要谷歌背就很冤枉 |
183
fareware 2022-08-15 11:06:40 +08:00
mac 用 1password, 谁能用廉价的方案盗我(狗头)
|
184
huntagain2008 2022-08-15 11:20:13 +08:00
小白登进一台主机,想获取某个系统的登录密码,该系统只能通过 chrome 浏览器打开,我下载 nirsoft 的 WebBrowserPassViewer 尝试查看密码,结果什么也没有,在 chrome 浏览器查看也是什么也没有。然后我想电脑的使用者虽然不懂 IT 技术,但是密码从来都是通过自己的手机照片现场手动输入密码,从来都不让 chrome 记住密码。于是,只好作罢。
|
185
ZeroDu 2022-08-15 11:24:41 +08:00
这个老早之前就这样了;目前用火绒监控
|
186
totoro625 2022-08-15 11:31:10 +08:00
@hush3 #179 +1 我现在 twitter 被永久冻结,申诉至今为解开,用了好多年的老账户,关注了一堆有的没的,现在都看不到了
@yedanten #182 不需要管理员权限就能获取,例如 https://github.com/moonD4rk/HackBrowserData @loolac #180 Windows 下运行的来历不明 exe 真的多,但是杀毒软件并不是都能识别出来的,别说伪装成正常使用的软件了,更甚于腾讯软件已知的明目张胆翻看你的浏览器历史记录,扫描硬盘 有兴趣的话可以关注一下 3Q 大战,国民软件完全可以标记哪些人上了哪些网站,账户 id 是什么 |
189
Unclev21x 2022-08-15 11:47:31 +08:00
@Unclev21x #188 退出火绒,运行了一下,报错,然后出来的一个文件里面打开后,第一行出现的是这个目录:
C:\Users\XXX\AppData\Local\Google\Chrome\User Data\AutofillStates |
190
Felix2Yu 2022-08-15 11:55:26 +08:00
@Helsing 是的,绝了。还有说早就知道 Chrome 有这么个情况,然后结论是拒绝安装国产软件,免得被利用……
反思怪到这个程度也是想不到 |
191
totoro625 2022-08-15 12:04:04 +08:00
@Unclev21x #189 你的 Chrome 或许跟比尔不一样
我的 Firefox 加了主密码,运行完之后,exe 文件所在目录会出现 chromiumKey 、firefoxPassword 文件和 results 目录 results 目录里面是 chrome 、Firefox 和 edge 的一堆记录,除了 Firefox 防住了密码,其他都没防住 |
192
FengMubai 2022-08-15 12:11:26 +08:00
edge 可以使用设备密码加密 |
193
EeffDev 2022-08-15 12:32:26 +08:00
@nbndco 我也想确认下 mac 下到底安不安全,因为我从 chrome 迁移到 edge 的时候,我记得密码是直接过来的
|
194
DeWjjj 2022-08-15 12:47:02 +08:00 via iPhone
劫匪都进家门了,你还谈权限控制有啥用呢?没事别乱下东西。
|
195
greenskinmonster 2022-08-15 13:02:05 +08:00
搜索了一下,感觉这就是 Windows 的密码保护机制的问题,只要你登录系统了,在登录后运行的程序,就可以获取你保存的密码。这篇文章是 2020 年 4 月的,我不确定新的系统有没有变化。
https://blog.elcomsoft.com/2020/04/extracting-passwords-from-microsoft-edge-chromium/ 引用结论 (DeepL 翻译) 由 Chromium 驱动的新微软 Edge 与 Edge Legacy 有很大不同。与其他基于 Chromium 的浏览器共享的新密码保护引擎与传统 Edge 采用的 DPAPI 保险库和凭证管理器有很大的不同。新的密码保险库为用户提供了与旧版 Edge 相同的保护水平,但由于底层引擎的开源性质,使用第三方工具提取密码要容易得多--如果而且只有在能够接触到用户的 Windows 凭证或已经验证的会话的情况下。除非可以恢复用户的 Windows 密码,否则冷磁盘图像攻击仍然是不可能的。 |
196
ylqhust 2022-08-15 13:15:05 +08:00 3
真的离谱,chrome 你至少可以加个主密码好吧,需要的时候输入也不影响体验啊。现在纯纯裸奔,用户也完全不知道在裸奔,我一直都相信密码放在 chrome 是安全的,哪怕把不安全告诉用户也好啊,这种设计真的不干人事。
|
197
wydone 2022-08-15 13:22:30 +08:00 1
好巧,今天 hackernews 首页上有一篇文章:Browser password managers – flawed security, by design!
说浏览器厂商们为了最大的易用性,把这种安全性有缺陷的方式作为默认设置,虽然它们也都有设置主密码的选项。作者认为解决方法很简单,让这些浏览器默认要求用户设置主密码,就像那些真正的密码管理器一样。 https://fractionalciso.com/browser-password-managers-flawed-security-by-design/ |
198
raysonlu 2022-08-15 13:50:51 +08:00
所以,ios 的那套存储密码,是否也是 flawed security ?
|
199
DarkCat123 2022-08-15 13:58:53 +08:00
不光如此,还不支持第三方的 autofill 填充。。
见: https://bugs.chromium.org/p/chromium/issues/detail?id=1170065 |
200
Unclev21x 2022-08-15 14:16:42 +08:00
@totoro625 #191 谢谢。我重新搞了一次,密码确实全部被导出来了。细思极恐。咋整。离不开谷歌浏览器。而且,换个浏览器的话,比如用 edge ,打开 google 主页的时候,总是提醒你下载谷歌浏览器,好烦啊。
|