V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Get Google Chrome
Vimium · 在 Chrome 里使用 vim 快捷键
yhvictor
V2EX  ›  Chrome

如何保证 chrome 的密码安全?

  •  
  •   yhvictor · 2019-07-01 14:21:05 +08:00 · 3010 次点击
    这是一个创建于 1968 天前的主题,其中的信息可能已经有所发展或是发生改变。

    在 windows 下一直开开心心地用 chrome 保存密码。 前几天无聊下了个新版 edge,发现 edge 居然能直接读 chrome 密码,不需要任何管理员身份之类的。

    我原本以为 chrome 密码是通过 keychain 之类的东西并限制只有自己的能访问,看来不是这样的。 还是说 windows 用自己的 key 签名 edge,edge 就能拿到任意 app 的信息?(毕竟只懂安卓,我是这样理解的)

    然后想到我机器上的 qq 之类的,不会哪天幺蛾子上传我密码吧?

    所以我怎样才能保证本地 chrome 的密码安全呢? 以及 chrome 的密码安全是什么机制?

    多谢

    第 1 条附言  ·  2019-07-01 17:15:52 +08:00
    刚刚调查了下,chrome 用的是 DPAPI。

    github 上有个简易的密码获取方法: https://github.com/byt3bl33d3r/chrome-decrypter/blob/master/chrome_decrypt.py

    这东西是算是用用户的密码加密的。

    我想了下,既然如此,我感觉把 chrome 用不同的用户启动好了。

    然后用了 windows 的 runas,算是暂时性解决问题。这样只是每次启动要输入下另一个账户的密码。
    4 条回复    2019-07-01 16:33:53 +08:00
    Jirajine
        1
    Jirajine  
       2019-07-01 14:49:27 +08:00 via Android
    我记得 chrome 是用 Windows 的账户加密授权的。。
    kxuanobj
        2
    kxuanobj  
       2019-07-01 16:03:58 +08:00
    chrome 没有什么额外凭据来用来加密密码。。又不能每次开 chrome 之前,让用户自己输入一下 keychain 密码。所以这个没啥办法吧。

    想安全点用 lastpass 这种的服务。然后不要开“记住密码”的功能。
    kxuanobj
        3
    kxuanobj  
       2019-07-01 16:05:13 +08:00
    “记住密码”指 lastpass 账户密码……
    hyyou2010
        4
    hyyou2010  
       2019-07-01 16:33:53 +08:00
    Firefox 是自己保管密码,有自己的主密码,而 chrome 不是自己保管密码,没有自己的主密码。我记得以前看过一篇报道,chrome 开发人员解释没有主密码,是因为他们认为基本有主密码其安全性也不足够高,还容易给别人安全的错觉,所以干脆就不要主密码了,换句话说,任何人只要登录进 windows 就可以查看 chrome 密码。

    重要密码推荐存 Firefox 并设置主密码。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2998 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 33ms · UTC 14:42 · PVG 22:42 · LAX 06:42 · JFK 09:42
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.