我在手机上下载了一个微软的 Authenticator,发现能看到我电脑上 Chrome 中存的密码……

54 天前
 kneo

手机:

华为手机,新安装的 Microsoft Authenicator ,使用的 QQ 邮箱(账号 A )登录的。 手机上有 Chrome ,使用账号 Gmail 邮箱(账号 B )登录的,Chrome 中未开启同步功能,自带密码管理器中默认开启了保存密码功能。保存的密码列表里只有一个路由器密码。

电脑:

Windows 10 ,Chrome 中也使用账号 B 登陆了,同样,未开启同步功能。自动保存了一些不太重要的密码。

我无法理解的是,我使用的是不同的设备(手机,电脑),不同的操作系统(安卓,Windows 10 ),不同的厂商( Microsoft ,Google )开发的不同的 App ( Authenticator ,Chrome ),登录的是不同的账号( A ,B ),这居然密码都能互通?我电脑 Chrome 上保存的所有密码都在 Authenticator 里看的一清二楚啊……

谁能帮我分析一下?

6462 次点击
所在节点    信息安全
46 条回复
zgsf
53 天前
Edge 现在这么流氓了
COW
53 天前
别用浏览器存密码就行了,跟 Authenicator 没什么关系。
Just1n
53 天前
华为啥手机?可以直接使用微软的 Authenticator 嘛?
prodeity
53 天前
我的苹果也是这个问题,包括很多我都不记得的网站都添加进来了.全乱了!!
kneo
53 天前
@Just1n Mate40Pro ,官方商店里就有。第一次启动的时候说没有 Google 服务,好像无视就行。
Flowing
53 天前
问下各位大佬,如果不用浏览器存密码,怎么方便的在浏览器里使用密码填充?
xmlf
53 天前
@Flowing 浏览器存密码也可以。用火绒之类阻止其他软件读取就行了
hyodun
53 天前
是不是 firefox 相比 edge 和 chrome 要好些?
zed1018
53 天前
看楼上的传谣真是太有意思了

https://learn.microsoft.com/zh-cn/deployedge/microsoft-edge-security-password-manager-security?form=MG0AV3
wanghoi
53 天前
Edge Password Manager 是闭源的,微软说是啥就是啥,也不知道有没有漏洞已经被利用了。
为了个人信息安全,建议别使用 Edge 存储密码。

国内的 Edge 更是作恶,浏览器入口卖给了国内某大厂,国内特有的各种广告跟踪 ID 的下三滥套路都来了。
takeshima
52 天前
chrome 在 windows 里面居然是明文保存密码的吗? Linux 版的 chrome 都把密码保存在 keyring 里面啊
hwb
52 天前
@totoro625 明文存哪个路径了?
xmarsman
52 天前
27 楼正解。如果既需要 Chrome 保存密码图方便,也要安全,那么可以用火绒之类的软件,自定义一个防护,把“C:\Users\<yourusername>\AppData\Local\Google\Chrome\User Data\*”这个目录的读写权限改成报警。那么任何软件访问,火绒都会提问,你自己看通过不通过即可。
totoro625
52 天前
@zed1018 #32 搜索关键词:chrome login data 解密
密匙文件放在了 C:\Users\***\AppData\Local\Google\Chrome\User Data\Local State 中的 encrypted_key 字段里
密码信息放在 C:\Users\***\AppData\Local\Google\Chrome\User Data\Default\Login Data 中的 sqlite 数据库中

严格来说,是加密保存,但是密码就贴在旁边,大家都称之为明文保存
zed1018
52 天前
@totoro625 #30

为什么在本地加密数据? 为什么不将加密密钥存储在其他位置,或者使获取更加困难?

Internet 浏览器 ((包括 Microsoft Edge) )没有配备防御措施来防范由于以用户身份在计算机上运行的恶意软件而危害整个设备的威胁。 但是,程序(如 Microsoft Defender SmartScreen )和操作系统级保护(如 Windows Defender )旨在确保设备从一开始就不会受到威胁。

尽管无法抵御完全信任的恶意软件,但本地数据加密在某些情况下很有用。 例如,如果攻击者找到了一种方法来窃取磁盘中的文件,而无法执行代码,或者窃取了未受完整磁盘加密保护的笔记本电脑,则本地数据加密将使小偷更难获取存储的数据。
totoro625
52 天前
@zed1018 #35 不需要复制一份官方“冠冕堂皇”的解释
事实就是设计缺陷+暗示隐瞒=导致恶果

浏览器内部设置一套解密动画,让用户输入密码解密,“误以为”数据是被加密的,从而放松警惕造成更大的损失
如果我不是接触了 V2EX 和 github ,我可能一辈子都沉浸在“被保护”的谎言内
压根就不会想到,用户自己需要靠密码读取的内容,其实是一个保险柜旁边挂着钥匙这样的加密保存

PS:官方的辩解
1 、浏览器是没问题的,我们有额外的杀毒软件保护你的系统
必装软件、驱动级软件、过白软件....哪一个都能逃过
QQ/微信/输入法,品牌机 BIOS ,甚至是一次简单的 Windows update ,就能自动安装上了
2 、本地数据加密将使小偷更难获取存储的数据
攻击者再读取一下加密密码,人家在自己的电脑上解密不就好了
意思是分成两个文件保存增加了盗取的难度吗
zed1018
51 天前
@totoro625 #32 那么按你这么理解,ssh key 也是设计缺陷,因为私钥的密码是 optional 的。让人误以为用了私钥比密码安全,压根就不会想到任何可以读取到 users 目录的程序都可以偷走私钥,甚至都不需要记录下来解密的钥匙。
zed1018
51 天前
@totoro625 #32 换句话讲,截止到目前为止,有多少人的账号密码,是仅仅是因为存储到 chromium 系浏览器的自动账号填充功能导致丢失的?反正我是没听说,并且我这么多年不管是 chrome 还是 edge 也没有因为这样丢失过。

反倒是所谓的什么密码管理软件,倒是发生了几次大规模的泄漏事件/安全漏洞。不管是在线的( lastpass )还是离线的( keepass )。
totoro625
51 天前
@zed1018 #37 YubiKey:感谢不安全的设计,才有他的市场空间
ssh key 的密码可以绕过吗?我不是程序员不清楚

ssh key 不会标记他是哪台服务器的 key ,相比 ssh key 每个人的电脑都有基于 Chromium 的浏览器
totoro625
51 天前
@zed1018 #38
1 、我自己的 Chrome cookie 被盗
Google 当天全部登出,推特被封 200 天后申述回来,Instagram 永久丢了
其他损失就不得而知了

2 、微软总能在你疏忽的时候“偷”到 Chrome 的密码,然后很贴心的帮你上传到云端

3 、在线的密码管理软件数据泄露并不能证明另一个带在线的密码管理功能的软件更加安全,相反的只能证明他们都没那么安全
保存在 Chrome ,面临微软+谷歌的双重云端不安全 + 本地不安全
至于离线密码管理软件的安全漏洞,个人觉得内网安全性大于外网

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://tanronggui.xyz/t/1099204

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX