说下 Chrome 实现这个的原理。楼主遇到的是 Chrome 同步功能的一部分,在 Chrome 支持同步功能后就直接存在了,也就是设置里的,同步书签、同步密码、同步扩展等一系列功能的选项。这个同步功能可以在多个浏览器之间共享书签和密码,实现你在别的电脑上登录 Google 账号后可以完全和自己主要电脑上一样的体验。在设计这个同步的时候, Google 给了 2 套方案,一套是,使用 Google 账号密码加密你的同步数据(注意,数据在 Google 服务器上还是加密的,只不过是用的是你的 Google 账户密码,并且在你更改密码后,会重新用新密码加密),由于 Google 知道你的 Google 当前密码、历史密码(即使是加盐的),就可以在同步的时候,解开你的数据,实现多台电脑的书签、密码同步(这类数据要同步下来必须得能解开,你难道需要一个 hash 的书签?)。这套方案的安全性就靠 Google 账户的安全性来保证了。对于有更高安全要求的用户 ,谷歌在同步的时候,提供了另一套独立的“同步密码”(
https://support.google.com/chrome/answer/1181035 ),这套密码不同于 Google 账户密码,谷歌并不保存和记录,服务器上只记录下同步后的加密数据,当你需要在别的电脑上同步的时候,会把已加密的数据下载到本机,还需要你自己输入这个“同步密码”才能完成,如果忘记这个密码,则你只能通过 dashboard 删掉所有同步数据,然后重新使用同步功能来生成新数据。
好了,到这里,这一切都是 Chrome 同步功能之初就提供的安全措施。接着,到了移动互联网时代,手机上有的有 Chrome ,但也有部分手机无法安装 Chrome ,以及不是 Android 系统的地方,当你通过 Chrome 浏览器自动记录了许多账号密码之后,你在这些与 Google 不兼容的设备上就失去了对账号密码的访问权。于是这时候,才出来了
https://passwords.google.com 这个网址。所以它存在的目的是为了方便不能同步,或者无法使用 Chrome 作为移动设备中的默认浏览器使用的用户获取密码。即使你使用
https://passwords.google.com 也需要登录 Google 账户,已登录状态也需要再输入密码,况且开了二步验证之后,也需要再次验证才能进入,安全性已经很高了。如果你打开了“同步密码”的话,
https://passwords.google.com 这里你是一个密码都看不到的。
既然
https://passwords.google.com 存在的目的是为了方便你提取你存储的账号密码,那它当然得给你显示个明文的密码啊?不然还有何意义?当然,从安全角度说,如果你没有使用“同步密码”的话, Google 当然能看到你的密码,如果对此敏感的话,那就请打开“同步密码”好了。
所以,它能显示明文密码不等于它就是明文存的密码。而且 Google 也给了你选项,能让你加密你的密码使其不被任何人(除了你)访问到,这样做我觉得已经足够了。