今天无意间发现的,在 chrome 的密码管理器里面,可以直接看到原始的保存的密码!
mengjue · 2016-03-23 14:52:14 +08:00 · 6768 次点击这是一个创建于 2960 天前的主题,其中的信息可能已经有所发展或是发生改变。
这个密码管理器是用来保存“自动保存”的密码,建议大家还是不要把密码保存重要的代码是计算机上,如果借给别人用,或者硬盘被别人拿了,都是可怕的隐私泄露。
 |
1
isaced 2016-03-23 14:55:01 +08:00
Safari 保存的一样可以看到
|
 |
2
rock_cloud 2016-03-23 14:55:42 +08:00
Windows 上如果需要查看保存的密码需要用 Windows 密码解锁。
|
 |
3
lyragosa 2016-03-23 14:56:37 +08:00
不知道你的是什么版本,反正我这里无论是 windows 版还是 osx 版的 chrome ,都必须输入一次当前用户的密码鉴权才能看到用户的保存密码原文。
另外,如果别人都能物理接触你的机器了,那么也就无从谈起安全了。 |
 |
4
iVeego 2016-03-23 14:59:09 +08:00  1
 总想搞个大新闻。 |
 |
5
9hills 2016-03-23 15:00:30 +08:00
这不是废话么,任何一个密码管理器都能看到明文密码,否则要管理器干嘛?
|
 |
6
SpicyCat 2016-03-23 15:00:33 +08:00
想防硬件被盗?先全盘加密再说。
|
 |
7
ipconfiger 2016-03-23 15:00:46 +08:00
骗铜币的, 鉴定完毕
|
 |
8
mengjue OP @lyragosa ubuntu 14.04LTS ,显示密码时没有任何反应。这个密码文件应该保存在 profile 里,如果不在 linux 下保护,别的系统保护也没啥意义了。
|
|
9
mengjue OP @9hills 但是随意查看,这保护也太差了吧。 windows 有管理员密码保护,但是 ubuntu 里啥保护都没有。
|
 |
10
x86 2016-03-23 15:06:35 +08:00
表单填的密码会询问用户是否保存的
|
 |
11
asddsa 2016-03-23 15:14:03 +08:00
|
 |
12
lonelinsky 2016-03-23 15:45:39 +08:00
就算不能看,我直接打开对应的网页等自动填充密码之后就可以通过修改页面代码查看了呀 =。=
|
|
13
lonelinsky 2016-03-23 15:49:53 +08:00
借电脑给别人的话,可以考虑登出自己的 google 帐号…
|
 |
14
spance 2016-03-23 15:55:26 +08:00
OS Account -> chrome user + user data
这 2 个都被别人使用了,那就没有什么可以保证安全了。 |
 |
15
Orz 2016-03-23 16:19:45 +08:00
难道没人用过 ChromePass ,打开软件密码都在里面直接看到,我觉得 Chrome 很不安全。
|
 |
16
missqso 2016-03-23 16:28:28 +08:00
我记得以前讨论过这个问题的,而且 chrome 官方有人员出面回应,原文我不记得了,大意就是「我们觉得没有必要对这个密码进行加密,因为如果有人物理接触了你的硬件,你的硬件已经到了相当不安全的境地了……」
|
 |
17
50vip 2016-03-23 16:41:05 +08:00
加密没有意义,因为自动填充到网页输入框里面的内容肯定不可能是被加密过的。
|
 |
18
243205964 2016-03-23 16:46:38 +08:00
那就不要用保存密码功能好了。不然所有浏览器都会变得"不安全"。
|
 |
19
sheep3 2016-03-23 17:01:51 +08:00
只要是自动填充,就可以通过修改页面属性看啊。。。。。
|
 |
20
droiz 2016-03-23 17:19:08 +08:00
你机器都让别人拿到了,还谈什么安全性?
|
 |
21
onceyoung 2016-03-23 17:19:53 +08:00
要自动填充,不存原来的密码怎么填充?
|
 |
22
Lucups 2016-03-23 17:28:27 +08:00
安全都是相对的,没有绝对的安全。
我一直都是用 Chrome 来保存密码的,忘了就打开看一下( OS X 下需要 root 权限)。 借电脑给人的话,不妨新建一个用户。 |
 |
23
BOYPT 2016-03-23 17:35:13 +08:00
物理接触了还说什么安全
|
 |
24
zhicheng 2016-03-23 17:49:07 +08:00
这是故意不加密的,因为不想营造出加密存储之后密码很安全的假象。一个事实是,保存在本地的表单密码,除非每次自动填充的时候要求手工输入一个密码,别无它法。但这又违背了 __自动填充__ 功能的本意。
Chrome 就是明确的告诉你,你的自动填充密码保存的时候是不安全的,风险自担。 |
 |
25
kiwi95 2016-03-23 17:55:03 +08:00 via Android
当然是可以看到明文的,这个功能帮我找回了好多忘记的密码
|
 |
26
Khlieb 2016-03-23 18:00:07 +08:00 via Android
Firefox + Saved Password Manager ( https://addons.mozilla.org/zh-CN/firefox/addon/saved-password-editor/)也是一样的
|
 |
28
learnshare 2016-03-23 18:02:37 +08:00
系统设置锁屏密码,然后查看 Chrome 保存的密码时,就要求先输入锁屏密码了。
|
 |
29
DT27 2016-03-23 19:33:43 +08:00
我的 lastpass 特意设置的自动登录。。。只要打开浏览器就能看到密码,因为电脑只自己用。
|
 |
30
luban 2016-03-23 19:59:17 +08:00
加密也没用,就像楼上说的,自欺欺人,就算没有 win 密码,打开对应网站,自动填充, f12 , type 改成 text 就可以看了
|
 |
31
xbb7766 2016-03-23 20:23:06 +08:00 via Android
主帐号加密码文件也 bitlocker ,电脑借给别人就给他 guest 账号耍。
|
 |
32
Mavious 2016-03-23 20:35:39 +08:00 via Android
版本号 20 之前的火狐也是明码呀。又不是秘密。所以我用 keepass 了。
|
 |
33
InFaNg 2016-03-23 21:39:14 +08:00 via Android
不要把密码保存重要的代码是计算机上
😖 |
 |
34
cxbig 2016-03-23 21:41:12 +08:00
所以我用 1Password
|
 |
35
yangqi 2016-03-23 21:46:21 +08:00
楼主火星来的?哪个密码管理器里看不到原始密码?
|
 |
36
RqPS6rhmP3Nyn3Tm 2016-03-24 09:06:15 +08:00
的确是这样, Chrome 没有加密保存的密码,官方表示不加密更安全,我……
是时候换 1Password 了 |
 |
37
fork3rt 2016-03-24 10:23:36 +08:00
火星来的吗?
|
 |
38
cchange 2016-03-24 10:56:57 +08:00
欢迎回到地球
|
 |
39
WKPlus 2016-03-24 12:03:27 +08:00
就算看不到明文密码,只要我打开对应的 URL 让 chrome 填充,然后打开开发者工具,在登录的时候查看一下 post 出去的数据就可以查看密码了吧,都不用输入 OS 的密码
|
Select Language