標籤:

Google Chrome 的密碼保存設計比起其他瀏覽器它是否存在更大的安全隱患?用戶有無更安全方便的密碼管理對策?

01-03

Chrome 保存的所有用戶名和密碼都可以變成明文密碼顯示,並同步在雲端。

開發者 Elliott Kember 在博客上撰文提到了這個問題,在他看來,Chrome 保存密碼的策略是瘋狂的。每次他向懂技術的人反映這個問題,得到的答覆是這樣的:

  • 用 1Pass
  • 當別人直接接觸到計算機的時候,它已經不安全了
  • 密碼管理就應該是這個樣子的

相關鏈接:Chrome』s insane password security strategy ? elliottkember

不回答太多重複的了,不過有個例子:

我以前寫過篇文章(我們那本《Web前端黑客技術揭秘》也提過):XSS_Hack-Steal_PWD_of_Browsers.pdf

教小夥伴們如何通過XSS獲取本地保存的明文密碼,XSS能得到,本地的其他技巧更可以了,瀏覽器這樣的便利的功能肯定是加大了攻擊風險。

Google這個做法只能說加大了攻擊風險。

額,其實這個事情很久之前就有了,只不過最近又被這位名為 Elliott Kember 的有志人士拿出來說了一下,這位 軟體開發工程師 指出,對任何人(接觸你曾使用 Chrome 登陸帳號的電腦,並且沒有註銷)來說窺探你的密碼都可以通過進入設置,查看「密碼和表單」項目,點擊「管理已保存的密碼」,(或者直接訪問 Chrome://settings/passwords)來查看用戶所有的用戶名和密碼。沒錯,密碼都是以小黑點顯示的。但是,如果你點擊一下,就會發現在密碼後面出現了「顯示」二字,點擊它,你就能看到密碼了。

乍看之下的確讓人有點害怕,不過事實上 FireFox 在密碼保存上也是採用了相類似的方法,只不過系統默認是關閉的。

好了,安全隱患這塊基本就是這麼回事了。至於更為安全方便的密碼管理,得從兩個方面看。

首先,Chrome 的安全主管對此回應是「這不是什麼大事兒~」,他認為 Elliot Kember 的看法略顯片面,谷歌是根據了多年的考慮和大量的研究數據得出的這個解決方案,在他看來,如果有人入侵了你的系統用戶賬號,即使再多的安全措施也是無用的。邏輯上說就是如果賊人進入了你的家中,那麼你家中所有的物品都是有危險的,密碼加密的想法雖然出自好意,但是他們並不想給用戶安全的錯覺或者鼓勵危險的行為,那不是他們處理安全問題的方式。

雖說谷歌回應的邏輯有些古怪,但仔細想來也確實,怎麼更加安全方便的管理密碼更多靠的是良好的瀏覽器使用習慣和自我意識。在我看來,電腦是一件非常「私人化」的物品,我在公司裡帶薪如廁的時候都會將電腦跳轉登陸界面,不是說裡面有什麼見不得人的內容,至少完全扼殺了這些在公司里無意間可能造成的隱私泄露。其他情況也是一樣,比如設定遊客帳戶給走親訪友的熊孩子玩… 要培養一個意識,你的系統用戶帳號只能你自己一個人用!

同樣的,如果對著一台別人也可以隨意登陸的電腦,我當然不會使用自己的帳戶登陸瀏覽器,這是對自己負責也是對別人負責。

其次是相應的軟體,用過幾款軟體比較好的當推 1Password,Mac PC 都有客戶端,Safari、Chrome、FireFox 等主流瀏覽器也都有插件,在一定時間內使用鑰匙串里的密碼需要輸入管理帳號,登陸之後非常方便,也支持隨即密碼生成,有 iOS 端,支持雲同步和 Dropbox 同步,使用起來比較方便,不過用久了我還是連一開始的輸入管理密碼都嫌煩,現在就用瀏覽器自帶的密碼了。

一家之言,大家可以到網站的專題帖里進行討論 安全隱患 - Chrome 的密碼管理近乎」全裸「

當你的電腦成為肉雞之後,所有的安全防禦都是扯犢子

用戶查看你的chrome密碼你可以給你的電腦設置密碼。或者是不保存密碼

要知道,任何的便利都是要有所付出的。就相當於你從北京到廣州,你可以選擇坐飛機,也可以選擇坐火車,但是你想花錢少又要最快到,那麼這個是否有些困難

google這麼做的邏輯差不多是這樣(我猜的)

  1. 瀏覽器保存的密碼在使用時是需要向伺服器發送的
  2. 向伺服器發送的密碼必須是原文
  3. 發送的密碼原文不可避免的會出現在內存中(如果網站連https之類的加密都不用,那還會存在http數據包里)

基於這樣的原因,能夠物理接觸到計算機的人,即使瀏覽器不能顯示你的密碼,居心不良的人只要在你電腦上安裝一個內存讀取的木馬,也就什麼都知道了。

所以,密碼管理器能否顯示密碼造成的密碼安全差距只是——那個接觸你電腦的傢伙會不會中木馬。

你覺得會偷偷在你電腦里看密碼的人會不會中木馬呢??

而google在這方面並非沒有做出努力:這個密碼其實是加密了的,只不過使用的時候可以解密而已

這方面參考以前知友的回答Chrome 瀏覽器的密碼保存為什麼顯示明文?這是安全問題嗎?

(竊以為這個問題里還有幾個答案是不錯的。。。)

注意看最後這句話

也就是說,要解密這個函數,就必須以相同的用戶登陸到系統,才能解密數據

這下明白了吧。只有一個能接觸到你的電腦,並且能把它弄開機的人,才能得到你的密碼。

也就是說即使你的電腦丟掉了,如果小偷不知道你的開機密碼,一樣拿不到你的密碼

綜上,在這抱怨chrome的密碼策略瘋狂還不如趕緊給自己的windows設置一個密碼。。。

(我表示好多地方密碼設置的很混亂都忘記了,查看密碼對我來說很有用啊 &>.&<)

按照這個描述,

和別的比隱患應該就是雲端同步可能有風險吧。

其實那幾點很對,不管你怎麼存密碼,既然你的瀏覽器能得到你的密碼,那麼能接觸你機器的人肯定用同樣的方法就好了。

需要保險,你應該選擇一個在使用保存的密碼的時候需要另一個密碼的工具,這樣你只記了一個密碼,比所有密碼都存在機器上相對安全。所以去用keepass吧。

很多回答都過時了,目前(2017/01)的Chrome密碼狀態是

1.Chrome 保存的所有用戶名和密碼一直都是加密後存儲的,不論是本地或雲端

2.查看保存的密碼需要用戶的登錄密碼

3.雲同步可以設定同步密碼,可保證Google也看不到數據

所以設定強開機登錄密碼是保證安全的關鍵中的關鍵。

具體參見 知乎專欄

推薦閱讀:

如何評價 Spartan 瀏覽器?
哪裡有 Chrome 開發者工具的官方文檔?
Google Chrome 為什麼沒有右鍵關閉標籤功能呢?
非高分屏升級Windows 10後Chrome字體渲染問題?
Chrome看視頻,有沒有可以彈出視頻窗口的插件?

TAG:GoogleChrome | 網路安全 | 密碼管理 |