V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
garipan
V2EX  ›  信息安全

Google Chrome 现在会明文将你的密码保存在线上了

  •  
  •   garipan · 2017-01-29 23:10:03 +08:00 · 9704 次点击
    这是一个创建于 2851 天前的主题,其中的信息可能已经有所发展或是发生改变。

    Chrome 会明文保存你的密码在本地电脑上已经不是什么新闻了,但是刚才看了一下, Chrome 已经把明文密码存到线上了。
    而且,即使在电脑版 Chrome 中关闭自动保存密码功能,线上已经保存的密码也不会被删掉

    感受一下:
    明文
    线上
    点这里可以看: https://passwords.google.com/

    有人洗地吗?

    第 1 条附言  ·  2017-01-30 10:43:13 +08:00
    谷歌大法好,这么玩没问题,是我落伍了
    大家别回复了,谢谢。
    84 条回复    2017-01-30 23:10:15 +08:00
    viko16
        1
    viko16  
       2017-01-29 23:15:40 +08:00
    我在想要不要写个脚本一键全部删掉
    Akkuman
        2
    Akkuman  
       2017-01-29 23:17:35 +08:00 via Android
    为了提升小白用户体验,其实很多你可以不使用的
    choury
        3
    choury  
       2017-01-29 23:19:37 +08:00 via Android
    能显示不代表是明文,不能解密他怎么给你填
    watermeter
        4
    watermeter  
       2017-01-29 23:21:02 +08:00
    chrome 本地不也是?一个用系统密码,一个用 google 账户密码。
    garipan
        5
    garipan  
    OP
       2017-01-29 23:22:20 +08:00
    @choury 重点是,只要知道了你的 Google 帐号和密码,你其他保存了的密码,在线上,就都可以看到啦
    garipan
        6
    garipan  
    OP
       2017-01-29 23:25:36 +08:00
    @watermeter Chrome 方面发言人针对之前密码明文保存在本地的事件,解释是『当别人拿到你电脑的那一刻,你电脑已经不安全了』
    那现在保存在线上,连我电脑都不需要拿到了。
    Google 方面肯定有预案会避免大规模恶劣事件发生,但是至少现在看来,这绝对是一个可行的攻击方法。
    HXM
        7
    HXM  
       2017-01-29 23:28:58 +08:00 via Android
    一直如此
    我有时记不得一些密码了还会去看看😂
    GuuJiang
        8
    GuuJiang  
       2017-01-29 23:29:32 +08:00 via iPhone   ❤️ 10
    @garipan 夭寿啦,只要知道了你的 lastpass 帐号和密码,你其他保存了的密码,在线上,就都可以看到啦
    夭寿啦,只要知道了你的 1password 帐号和密码,你其他保存了的密码,在线上,就都可以看到啦
    夭寿啦,只要知道了你的 keepass 帐号和密码,你其他保存了的密码,在线上,就都可以看到啦
    choury
        9
    choury  
       2017-01-29 23:30:26 +08:00 via Android
    @garipan 随便一个能在线保存密码的被人拿到了主密码都能拿到密码啊,你要是担心这个开个两步验证嘛
    nodin
        10
    nodin  
       2017-01-29 23:30:34 +08:00 via iPhone
    如果你看到的不是明文密码,那这个密码有何用?如何自动填充自动登录?好奇葩的思维模式。 keepass 这种本地密码库里面的密码也是明文的。
    garipan
        11
    garipan  
    OP
       2017-01-29 23:32:18 +08:00
    @GuuJiang 是的,但是 lastpass 类应用,首先使用者明确知道这件事的风险,第二用户水准相对高
    Chrome 一声不吭把本地密码搬到线上,置无数小白用户于风险之中,这也能洗?
    讲真,换成国内公司这么干,早就被喷死了吧
    elgoog
        12
    elgoog  
       2017-01-29 23:34:10 +08:00
    你可以禁止 Chrome 同步你的密码啊
    garipan
        13
    garipan  
    OP
       2017-01-29 23:34:10 +08:00
    @nodin 大家当然都知道是明文存储才能自动填充,咱俩讨论的不是一个事儿。
    Biwood
        14
    Biwood  
       2017-01-29 23:35:27 +08:00
    你根本无法判断 Google 是否把“明文密码存到线上”,除非你能黑了 Google 的数据库,从里面取出的数据是明文的,那才叫“明文存储”
    messyidea
        15
    messyidea  
       2017-01-29 23:40:02 +08:00
    我都是用这个保存那些不太重要的密码,那些重要的密码都是 从不记录 + 手打 的
    Sharuru
        16
    Sharuru  
       2017-01-29 23:44:55 +08:00 via Android
    呃,请先阅读 Google , Google Chrome 的服务条款以及隐私说明。
    jacy
        17
    jacy  
       2017-01-29 23:58:54 +08:00
    首先,你应该不保存 google 登陆状态
    lan894734188
        18
    lan894734188  
       2017-01-29 23:59:07 +08:00 via Android
    啊 我写出来的密码是明文的啊 怎么破 (滑稽
    morethansean
        19
    morethansean  
       2017-01-30 00:03:04 +08:00   ❤️ 2
    楼主一口一个“洗”字,本来这内容都不想回的,但是太喜感了。

    楼主一定要棒棒的哦~
    jarry777
        20
    jarry777  
       2017-01-30 00:04:40 +08:00 via Android
    Saved passwords
    You have secured your Chrome data with a sync passphrase. You can access your data within Chrome on your syncing devices, but not from this website.
    aaronlam
        21
    aaronlam  
       2017-01-30 00:08:25 +08:00
    楼主你真的有认真的看过谷歌的用户条款就来发帖吗?
    Orz
        22
    Orz  
       2017-01-30 00:08:59 +08:00
    Chromepass 甚至不需要知道管理员密码直接获取密码,早都不保存 Chrome 密码了。
    garipan
        23
    garipan  
    OP
       2017-01-30 00:13:31 +08:00
    @aaronlam 你有认真看过吗?
    SharkIng
        24
    SharkIng  
       2017-01-30 00:14:40 +08:00 via iPhone
    早就不用这个了
    Perry
        25
    Perry  
       2017-01-30 00:14:44 +08:00 via iPhone
    以前不设 passphrase 难道就不明文保存到线上了???
    choury
        26
    choury  
       2017-01-30 00:16:55 +08:00 via Android
    @Orz 就算需要管理员密码意思又有多大?直接打开网页让 chrome 自动填充进去就好,就算显示的是*用下 F12 不也一样
    doresu
        27
    doresu  
       2017-01-30 00:24:13 +08:00 via Android
    难道不是一直都这样吗?
    klesh
        28
    klesh  
       2017-01-30 00:26:19 +08:00 via Android
    表示看不懂?你意思是指责人家明文存储了你的密码?还是吐槽能在网页中看到你密码明文?
    莫非是你觉得能在网页中能看到明文就代表人家是按明文存储的?
    aaronlam
        29
    aaronlam  
       2017-01-30 00:30:15 +08:00
    @garipan 说真的我没有,但是我只是想问一下你有吗?
    cos
        30
    cos  
       2017-01-30 00:31:27 +08:00
    所以,我的 Chrome 从来不登录 Google 帐户。。。
    xfspace
        31
    xfspace  
       2017-01-30 00:35:59 +08:00 via Android
    不想在网页中显示,请设置“同步密码”。
    https://support.google.com/chrome/answer/1181035


    朕已阅,下一位。
    caiych
        32
    caiych  
       2017-01-30 00:42:02 +08:00
    我还是没懂 Chrome 和 *pass 们有什么区别
    姑且不提没人看的用户协议
    保存密码也是每次都会提示的吧,看了一下设置只有是否提示保存,取消了应该是不保存,没有默认保存选项
    刚试了一次登录到一个新的 chrome 也会提示保存了密码,而且提示确认了两次

    另外这不叫明文保存在线上啊…也就是明文显示…(明文保存这种事情除了脱裤没什么办法能实锤吧……
    shiji
        33
    shiji  
       2017-01-30 00:51:33 +08:00
    Saved passwords
    You have secured your Chrome data with a sync passphrase. You can access your data within Chrome on your syncing devices, but not from this website.
    slrey
        34
    slrey  
       2017-01-30 01:00:50 +08:00
    @garipan 其实,身在墙内还能用 chrome 的,一般也都符合你说的“用户水准相对高”
    sammo
        35
    sammo  
       2017-01-30 01:08:45 +08:00
    从来不用任何浏览器的 “表单和密码 保存 / 自动填充” 功能
    hst001
        36
    hst001  
       2017-01-30 01:12:53 +08:00 via Android
    谷歌的同步服务就会同步这些已保存的密码,但你新装 chrome 的时候,输入一个熟悉的网站,只管点登录按钮。怕隐私你应该一直使用隐身模式。
    imn1
        37
    imn1  
       2017-01-30 01:16:08 +08:00
    这里比较关键的一点是,假如之前已经 login google ,再打开 https://passwords.google.com/时, 是否需要再次输入账户密码,如果不用输入才能说是问题(我没测试)
    其实就是说 google 是否把这个视为风险, google 就算 login (即使是信任的设备),打开一些 secure 相关的修改仍然是要再次输入帐密的

    1pass 不知道, lastpass 就算扩展已登录,打开查看全部密码也是要再次输入帐密的

    不像某宝,登入购物账户后可以直入对应的支付账户,这个业务逻辑是有问题的
    SingeeKing
        38
    SingeeKing  
       2017-01-30 01:20:00 +08:00 via iPhone
    @garipan 你确定会有小白用户使用 Chrome 吗…好吧,假如真的有了的话也不会翻墙同步吧
    scnace
        39
    scnace  
       2017-01-30 01:21:02 +08:00 via Android
    两步验证可破
    isnowify
        40
    isnowify  
       2017-01-30 01:21:09 +08:00 via Android
    @imn1 需要再次输入的 已验证
    scnace
        41
    scnace  
       2017-01-30 01:23:06 +08:00 via Android
    @imn1 我打开来是 请再次输入您的密码 啊~ 我已经是 login 状态了…
    imn1
        42
    imn1  
       2017-01-30 01:27:26 +08:00
    @garipan
    根据 40/41 楼 @isnowify @scnace 的验证, google 已经做了风控
    那就没什么好吐嘈的,实质上和其他在线密码保存是一样的
    tracymcladdy
        43
    tracymcladdy  
       2017-01-30 02:12:33 +08:00 via Android
    看到的是明文,但是保存的不是明文。
    这个设计是合理的。
    monnand
        44
    monnand  
       2017-01-30 02:18:38 +08:00 via Android
    这个和 lastpass keepass 一样啊,老早以前就同步了。不愿意用可以选择不记住密码就可以了。谁告诉你这东西是明文存的? Google 存用户数据的安全级别是非常高的,加密这最基本的东西不可能不做。
    g5
        45
    g5  
       2017-01-30 02:44:28 +08:00 via Android
    想让马儿跑的快,又不想让马儿吃草,马儿好难。
    两部验证再加同步密码
    如果还觉得不安全,别用了
    akwIX
        46
    akwIX  
       2017-01-30 02:46:18 +08:00
    naive ,一天就想搞大新闻
    mxalbert1996
        47
    mxalbert1996  
       2017-01-30 03:02:43 +08:00 via Android
    Google 没有强迫你保存密码,默认设置是每次保存密码前都需要确认,你觉得不安全可以不用,用了就表示你接受这个风险,你还可以通过两步验证来降低这个风险。
    说到底楼主的论点就很奇怪,有没有这么一个可以查看保存的密码的网页对于安全性是没有任何影响的。楼主说「现在保存在线上,连我电脑都不需要拿到了」,但实际上如果你真的能够登录别人的 Google 帐号,那么在网页上和在 Chrome 里登录是一样的,就算没有这个网页也只需要一个 Chrome 就行。
    Ahri
        48
    Ahri  
       2017-01-30 03:16:46 +08:00
    心疼楼主摸到 Google 粉丝 G 点。
    jakiepaper
        49
    jakiepaper  
       2017-01-30 03:29:04 +08:00 via iPhone
    明文密码太不安全了,这地没的洗。请教怎么样设置个安全的暗文密码?
    n7then
        50
    n7then  
       2017-01-30 03:41:39 +08:00 via Android
    无理取闹,不喜欢你可以提前关闭。
    而且 Chrome 除非你在 flags 设置不询问保存所有,那么每次都会在右上角有一个询问是否保存,你也可以不保存啊。而且,这玩意很早就有了。
    xfspace
        51
    xfspace  
       2017-01-30 03:41:41 +08:00 via iPad
    @akwIX akw 大佬好。
    irainsoft
        52
    irainsoft  
       2017-01-30 04:07:17 +08:00
    开个两步验证不就可以了吗? 这么简单的事情

    谷歌的想法就是你帐号已经够安全了,登陆进去肯定是你所以就直接给你显示,同样因为不能确定用你电脑的人是否是你所以在电脑上看本地密码要输入计算机密码
    ynyounuo
        53
    ynyounuo  
       2017-01-30 04:08:22 +08:00 via iPhone
    奇怪,难道 V2 整个火星?这都多久以前的东西了?
    早就存在了好么……
    lucifer0114
        54
    lucifer0114  
       2017-01-30 04:26:06 +08:00 via Android   ❤️ 5
    谷歌不雇你当安全工程师简直是瞎啊 233
    yangqi
        55
    yangqi  
       2017-01-30 05:24:22 +08:00
    明文显示不代表明文存储,楼主你就贴这个图就想证明密码明文存储了?太厉害了 word 哥
    kulove
        56
    kulove  
       2017-01-30 07:00:04 +08:00 via iPhone
    我记得 chrome 一直是在线保存密码的,至于安全性和什么 lastpass 1password 也差不多,还有这不叫明文保存密码。。
    strongcoder
        57
    strongcoder  
       2017-01-30 07:40:39 +08:00 via iPhone
    大过年的看你们喷楼主,哈哈哈
    niuroumian
        58
    niuroumian  
       2017-01-30 07:55:31 +08:00 via iPhone
    对衬加密保存密码,绝对不是明文!
    chih
        59
    chih  
       2017-01-30 07:58:00 +08:00 via Android
    村通网?这功能早就有了好吧
    xcv58
        60
    xcv58  
       2017-01-30 07:58:08 +08:00 via iPhone
    骗铜币吗?
    nodin
        61
    nodin  
       2017-01-30 08:18:36 +08:00 via iPhone
    @garipan 显示的是明文,至于是不是明文存储这得等你拿到数据库权限才能知道。
    Jafee
        62
    Jafee  
       2017-01-30 08:32:22 +08:00 via iPhone
    @chih 这个功能好几年了,楼主可能才知道……
    tghgffdgd
        63
    tghgffdgd  
       2017-01-30 09:05:16 +08:00 via Android
    我还以为终于跟 lp 一样可以在线看密码了,登录之后还是只看到以下提示:
    保存的密码
    您已使用同步密码来保障自己的 Chrome 数据的安全。您可以通过自己的同步设备存取自己在 Chrome 中的数据(但不能通过此网站存取)。

    lz 太让我白高兴了。
    loading
        64
    loading  
       2017-01-30 09:08:16 +08:00 via Android
    我在 linux ,每次都要先输入 key ring 才能用。
    应该没问题的。
    R18
        65
    R18  
       2017-01-30 10:04:17 +08:00 via Android
    要瘦了!可是这个功能不是一直都有么
    imlonghao673
        66
    imlonghao673  
       2017-01-30 10:18:20 +08:00 via Android
    同 @loading ,每次打开都让我输入一个密码
    wun
        67
    wun  
       2017-01-30 10:55:03 +08:00 via Android
    @loading +1 ,除非系统已经在启动时候设定好 keyring ,否则要在启动 chrome 的时候解 keyring
    honeycomb
        68
    honeycomb  
       2017-01-30 11:13:02 +08:00 via Android
    这不就是 play service 新的 smart lock 特性吗
    0TSH60F7J2rVkg8t
        69
    0TSH60F7J2rVkg8t  
       2017-01-30 11:17:23 +08:00   ❤️ 7
    说下 Chrome 实现这个的原理。楼主遇到的是 Chrome 同步功能的一部分,在 Chrome 支持同步功能后就直接存在了,也就是设置里的,同步书签、同步密码、同步扩展等一系列功能的选项。这个同步功能可以在多个浏览器之间共享书签和密码,实现你在别的电脑上登录 Google 账号后可以完全和自己主要电脑上一样的体验。在设计这个同步的时候, Google 给了 2 套方案,一套是,使用 Google 账号密码加密你的同步数据(注意,数据在 Google 服务器上还是加密的,只不过是用的是你的 Google 账户密码,并且在你更改密码后,会重新用新密码加密),由于 Google 知道你的 Google 当前密码、历史密码(即使是加盐的),就可以在同步的时候,解开你的数据,实现多台电脑的书签、密码同步(这类数据要同步下来必须得能解开,你难道需要一个 hash 的书签?)。这套方案的安全性就靠 Google 账户的安全性来保证了。对于有更高安全要求的用户 ,谷歌在同步的时候,提供了另一套独立的“同步密码”( https://support.google.com/chrome/answer/1181035 ),这套密码不同于 Google 账户密码,谷歌并不保存和记录,服务器上只记录下同步后的加密数据,当你需要在别的电脑上同步的时候,会把已加密的数据下载到本机,还需要你自己输入这个“同步密码”才能完成,如果忘记这个密码,则你只能通过 dashboard 删掉所有同步数据,然后重新使用同步功能来生成新数据。

    好了,到这里,这一切都是 Chrome 同步功能之初就提供的安全措施。接着,到了移动互联网时代,手机上有的有 Chrome ,但也有部分手机无法安装 Chrome ,以及不是 Android 系统的地方,当你通过 Chrome 浏览器自动记录了许多账号密码之后,你在这些与 Google 不兼容的设备上就失去了对账号密码的访问权。于是这时候,才出来了 https://passwords.google.com 这个网址。所以它存在的目的是为了方便不能同步,或者无法使用 Chrome 作为移动设备中的默认浏览器使用的用户获取密码。即使你使用 https://passwords.google.com 也需要登录 Google 账户,已登录状态也需要再输入密码,况且开了二步验证之后,也需要再次验证才能进入,安全性已经很高了。如果你打开了“同步密码”的话, https://passwords.google.com 这里你是一个密码都看不到的。

    既然 https://passwords.google.com 存在的目的是为了方便你提取你存储的账号密码,那它当然得给你显示个明文的密码啊?不然还有何意义?当然,从安全角度说,如果你没有使用“同步密码”的话, Google 当然能看到你的密码,如果对此敏感的话,那就请打开“同步密码”好了。

    所以,它能显示明文密码不等于它就是明文存的密码。而且 Google 也给了你选项,能让你加密你的密码使其不被任何人(除了你)访问到,这样做我觉得已经足够了。
    fan123199
        70
    fan123199  
       2017-01-30 11:21:21 +08:00 via Android
    特别不爽 lz 说 的这段话。
    “首先使用者明确知道这件事的风险,第二用户水准相对高
    Chrome 一声不吭把本地密码搬到线上,置无数小白用户于风险之中,这也能洗? ”
    为什么 chrome 用户就必须是小白,就必须是什么都不懂。然后风险和易用 xl 性是相对的,你可以开启“十步验证”提高安全性。 Google 保证的是,传输过程以及数据库在 hack 后不泄漏数据。而不是你的密码被人知道后,数据会不会泄漏。
    hinkal
        71
    hinkal  
       2017-01-30 12:24:46 +08:00
    赞同楼主!好害怕!百度贴吧竟然把我发的帖子明文放在网页上,微信竟然把我的朋友圈明文放在 app 里,微博竟然把我的博文明文写在手机上,这些都是我的隐私哎,人家如果知道我密码,岂不是能明文查看,想想就好害怕呀!
    lyragosa
        72
    lyragosa  
       2017-01-30 13:41:10 +08:00
    我开了同步密码的,所以这网站上的数据看不到。
    lausius
        73
    lausius  
       2017-01-30 14:17:23 +08:00
    从来不开保存密码和自动填写。
    WalkingEraser
        74
    WalkingEraser  
       2017-01-30 16:15:04 +08:00 via Android
    你不是落伍,你是不知道什么叫明文存储。。。
    Jeremial
        75
    Jeremial  
       2017-01-30 17:11:22 +08:00


    我的就没办法在网站中看到
    zander
        76
    zander  
       2017-01-30 17:14:52 +08:00
    不明文显示怎么看啊。
    xcodebuild
        77
    xcodebuild  
       2017-01-30 18:47:36 +08:00
    你理解的密文存储是指 ***** 么
    mjar
        78
    mjar  
       2017-01-30 19:47:16 +08:00
    @ahhui 谢谢,学到了新知识
    xfspace
        79
    xfspace  
       2017-01-30 19:55:05 +08:00 via Android
    目测楼主被你们打脸打到要弃号了。
    garipan
        80
    garipan  
    OP
       2017-01-30 20:54:49 +08:00 via iPhone
    @xfspace 不至于 都没说到点子上 除了攻击就是装逼 我为什么要弃号啊 (۶ૈ๑`ȏ´๑)۶ૈ=͟͟͞͞ ⌨
    gouflv
        81
    gouflv  
       2017-01-30 21:03:00 +08:00 via iPhone
    哈哈哈 终于被发现了
    fengxing
        82
    fengxing  
       2017-01-30 22:22:43 +08:00
    @imn1 #37 需要重新输入密码。重要的设置页面都需要重新输入密码才可以进入
    G900
        83
    G900  
       2017-01-30 23:02:56 +08:00
    1 ,密码可以明文显示不代表是明文保存的;
    2 ,你可以看到的密码不代表 Google 也能看到;
    3 ,如果你这个逻辑成立,那么 iCloud keychain 也是不安全的,所有提供数据同步的服务都是不安全的。
    HannibaI
        84
    HannibaI  
       2017-01-30 23:10:15 +08:00
    开同步密码可以解决
    既然有了你的账号密码,在网页能明文访问和在 Chrome 能明文访问这两者不都等价于能明文访问吗
    没懂楼主的喷点
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2833 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 30ms · UTC 15:17 · PVG 23:17 · LAX 07:17 · JFK 10:17
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.