你的位置: iPc 首页 > 全部文章 > 杂乱无章 > 阅读文章
科学X网    Office    苹果中国    微软中国    VPS

Chrome 疯狂的密码保存策略 - 登录新网站的时候保存密码,你是否考虑过安全问题?

10
八月

在登录各种网站的过程中,我们常常会使用不同的用户名和密码,这会造成记忆上的负担。如果你是 Chrome 用户,在登录新网站的时候,会看到它保存密码的提示,并且很可能点了“确定”。这样做的话,你可以自动登录各种网站,而且在不同的电脑同步,真的非常方便。不过,你是否考虑过安全问题……

保密

或许你会想,Google 肯定把密码加密后保存在系统之中了吧,或者干脆就是保存在云端。如果是这样,准备震惊一下自己和小伙伴们吧。现实情况是,Chrome 并没有给你的密码加密,更可怕的是,任何一个人都能够看到你的密码,无需任何黑客技术。

进入设置,查看“密码和表单”项目,点击“管理已保存的密码”,(或者直接访问 Chrome://settings/passwords),你会发现自己保存的所有用户名和密码。没错,密码都是以小黑点显示的。但是,如果你点击一下,就会发现在密码后面出现了“显示”二字,点击它,你就能看到密码了。就是这么简单。

Google 的天才工程师竟然也会犯愚蠢的错误!等等,等等,这样明显的安全漏洞不可能是错误,应该是一种功能吧?恭喜你猜对了。因为 Chrome 安全主管说,这的确是故意的,而且他们不打算做出什么改变。

软件开发者 Elliott Kember 在博客上撰文提到了这个问题,在他看来,Chrome 保存密码的策略是疯狂的。每次他向懂技术的人反映这个问题,得到的答复是这样的:

1、用 1Pass

2、当别人直接接触到计算机的时候,它已经不安全了

3、密码管理就应该是这个样子的

问题是,普通用户并不知道密码是这样保存的

找一个不懂技术的人。借用他们的电脑。访问 Chrome://settings/passwords,然后在密码行那里点击“显示”,看看他们会怎么说。我打赌他们不会说,“密码管理就是这个样子的。”

Elliott Kember 的文章在 hackernews 上获得了很大关注,于是 Chrome 安全主管 Justin Schuh 也来回复了。

他说,Elliot Kember 完全是小白用户的看法,他们花费了多年的时间考虑这个问题,并且有大量的数据支持这个决定,在他看来,如果有人入侵了你的系统用户账号,即使再多的安全措施也是无用的。密码加密的想法虽然出自好意,但是 Chrome 团队不想给用户安全的错觉或者鼓励危险的行为。那不是他们处理安全问题的方式。

“安全的错觉”?难道普通用户会去设置里了解明文保存的事实么?如果 Chrome 明确提示说“密码会以明文”保存,或许用户不会有“安全的错觉”,但在没有更多提示的情况下,用户反而会产生“安全的错觉”吧。另外,根据 Google 工程师的逻辑,一旦坏人进了你的家门,所有的东西都有危险,所以任何柜子都不要加锁么?古怪的逻辑,而且在现实中,安全问题一定是来自专业黑客么?

我们不知道 Google 的天才工程师是否会改变想法。但是,如果你注重安全问题的话,赶快把保存的密码全部删除,然后在 Chrome 提示你保存密码的时候,点击“否”吧。

关于本文
各种回音
  1. 说: 回复他/她

    你能不乱讲么?什么都不懂乱讲个毛? 换小编了?

  2. 说: 回复他/她

    支持GOOGLE,GOOGLE加油。

  3. 说: 回复他/她

    我只想说 chrome的存储没有啥问题, 在本地电脑上存储明码,如果别人可以看见 说明你电脑也没有安全性了,本质上说和你用IE中毒一个道理,就算你不用chrome 你用IE 中毒了 还不是密码被窃取, 安全从来都不是单方面的,要安全就要有好的使用习惯,电脑简单加密防的就是简单的用户. 抓这个问题来说不如去找chrome的bug,因为人人看得见的不是威胁,99.9%的人看不见的漏洞才是真的威胁!

    • 说:

      按你的理论只需要靠防盗门就行了,保险柜为嘛这么多人买?

    • 说:

      保险柜还能比银行更靠谱么?当然我朝银行除外,一般保险柜里想保存的大多是见不得人的吧? 至少连银行都不希望知道。 真的想偷你 一个小保险柜都给你整个偷走!

    • 说:

      你的回复依然没证明不需要保险柜只需要防盗门,亲

  4. 说: 回复他/她

    google明显没有站在用户角度考虑问题,只是将保密的责任推给用户,泄密了自己不用负责而已

  5. 说: 回复他/她

    只要获得电脑控制权限,ie,opera,safari,chrome,ff哪个浏览器看不了密码?!自己去搜下WebBrowserPassView,只要http传输不是明文就好了。google这么做只是方便忘记密码的用户罢了,等iOS7发布keychain出现,估计又有人出来黑了。没有chrome的发展,webkit哪有今天的繁荣,都回去用国产去。个人见解,仅供参考。

    • 说:

      主流浏览器的加密策略几乎都是调用Windows API函数CryptProtectData来加密的,这个是基于用户的,只要能够登录用户,所加密的数据被自动解密了。

  6. 说: 回复他/她

    从来都不让浏览器保存密码。。。。那是很傻的做法。。。

  7. 说: 回复他/她

    浏览器保存密码只能是不加密的。。然后下次用到这些密码的时候还要反向解密。。占用资源啊。

  8. 说: 回复他/她

    lastPass
    评论需要中文?

  9. 说: 回复他/她

    为什么我在这位置没看到有明文保存的密码?

  10. 说: 回复他/她

    都冲到你的电脑面前了,能物理接触了……还有什么保密的可能呢。

    如果点了显示密码而不显示才是功能错误呢,如果真的怕成这样的话就只能自己记在脑子里面了,哦……还得注意别人可以物理接触你的时候千万不要受不了说出去啊……

    用几个人的错误看法推导其他人,然后强迫其他人适应,这是强迫症吧?一定是的吧?

    • 说:

      物理接触不代表最高权限,很明显你忘记考虑时间和空间的约束:如果你的电脑是别人未经你授权接触的,那他的接触一定有时间限制,因为你随时可能回来,在这样的情况下,假设他要盗取的你密码,如果采用chrome明文密码的方式,很快他就能完成,如果chrome是加密的,他就需要工具,如果他没带工具呢?他就需要在网上下载,这个时间比起明文密码盗取的时间要多得多,时间一长,被人发现的风险自然就大,风险大了,这个人就 有可能放弃。
      这个道理就跟你家房子安装的防盗门,屋里面就不需要设置任何防盗措施了吗?小偷如果能进去你家,他当然可以做任何事,但是在家里把重要的东西不做任何防范,显然是很愚蠢的行为。你要知道小偷在头东西时,是有时间限制的,不是无限时间的,每增加一分钟他被抓或者被发现的风险就大一分,所以当你在家里也设置的防范的时候,就会无形中极大的增加小偷的盗取时间,在高风险下,小偷有极大可能选择放弃。
      所以说,你的这种任人宰割,消极的理论是错误的,误人的。持有这种理论的人不管做什么都成不了事。

    • 说:

      master说的很好!

  11. 说: 回复他/她

    感觉像某朝p.c说的戴套不算强奸

  12. 说: 回复他/她

    一些论坛的密码都是用的chrome保存的,省得自己每次都要输入,当然网银支付宝之类的重要性高的密码肯定不会用软件保存

    • 说:

      网银似乎都没有密码保存功能吧

  13. 说: 回复他/她

    用lastpass的表示无压力

  14. 说: 回复他/她

    至少也要第一次点显示密码的时候输入一个指定用于查看密码的密码吧。话说谷歌集成1Pass功能完全没一点问题,但是在这个隐私保护意识觉醒的时代,站在他们的立场,回避泄密责任风险才是主要考虑,那套密码管理的说辞只是对外的解释罢了,一点不是站在你们的角度“帮”你们想问题好么。

  15. 说: 回复他/她

    我觉得这样挺好的,无形中给用户提高了安全意识。不像很多吹嘘安全的浏览器,给用户的感觉是不用管安全问题,其实也不见得安全。万一你的电脑被入侵或被别人偷了,也就没什么秘密可言了。

    • 说:

      完全没有提高,它根本没有明显提醒大家密码是明文保存的,事实上是误导大家,反而降低安全。

  16. 说: 回复他/她

    可以设置个选项吧,使用密码安全策略就加密且只能修改不能查看。
    反正我是不会加密的,本来就是学这行的,军工级的都没什么安全性可言。不重要的保存,重要的还是自己输入吧。

    • 说:

      QQ多少,发个WinRAR 20位组合密码的压缩包给你,解开来看看,这比军工级的弱很多吧,你能解开吗?学习下。

  17. 说: 回复他/她

    要说多少遍,Chrome的账户保存主密码就是当前用户的用户密码,自己不注意保护的话,任何安全都是无效的.
    又见物理破解深党.已经不想再多说了

  18. 说: 回复他/她

    为什么我在这位置没看到有明文保存的密码? 我的是空的啊

  19. 说: 回复他/她

    这加密了也没用啊…自动登录填表的时候还是明文的啊

微博评论箱