我发现 Edge 浏览器的密码管理有重大安全隐患！

其实这个问题已经有不少讨论了，Google 搜索: V2EX Chrome 密码，就可以搜到很多。

以及： https://github.com/AlessandroZ/LaZagne

不安全确实是不安全，但明文保存倒也不是。
chromium 的密码是用当前登录的用户的用户凭据加密的，只要登录了就可以访问，和 bitlocker 那些透明加密类似。

设计逻辑可能是：
如果恶意软件已经装在电脑上了，那么本机已经没有什么是安全的了。
比如可以 headless 模式打开你的邮箱，接收重置的密码等。

非明文，使用当前用户加密

自从 Edge 没经过我的允许获取了 Chrome 保存的密码之后，我就弃用了让浏览器保存密码的方案
再深入想一想，密码管理器内的密码在你解锁后也是可获取的
引申出的一个思路是手机是密码中心，需要填充密码时发出请求到手机上，手机传输密码到电脑上，保证最多只有当前在用的密码是危险的
最后就是微软等大厂目前大力推广的无密码账户，完全通过手机 App 点击登录，跳过输入密码这一个过程

@totoro625 对的 自从用上了 bitwarden 其他一切密码储存都关闭了 当然得自建服务器

一直在用自建的 vaultwarden ，用了几年了，甚至为了备份还写了备份工具…

这显然是根据当前登录用户凭据加密的，怎么可能明文保存

参考《 Edge 密码管理器安全性》
https://docs.microsoft.com/zh-cn/deployedge/microsoft-edge-security-password-manager-security

Microsoft Edge 存储在磁盘上加密的密码。 它们使用 AES256 进行加密，并且加密密钥保存在操作系统 (OS) 存储区域中。 此技术称为本地数据加密。 尽管并非所有浏览器数据都经过加密，但敏感数据（如密码、信用卡号和 Cookie ）在保存时会进行加密。

配置文件的加密密钥使用 Chromium OSCrypt 进行保护，并具有以下特定于平台的操作系统存储位置：

在 Windows 上，存储区域为 DPAPI

在 Mac 上，存储区域为密钥链

在 Linux 上，存储区域是 Gnome Keyring 或 KWallet

@mmdsun
你用 Edge 也能导入谷歌的密码呢。
微软特意说了，所有这些存储区域都使用以用户身份运行的部分或所有进程可访问的密钥对 AES256 密钥进行加密。 此攻击途径在博客中通常被称为为可能的“攻击”或“漏洞”，这是对浏览器威胁模型和安全性的不正确理解。

用户登录凭据加密显然也是重大安全隐患，只要你处于登录状态就是明文的。

而密码管理器可以随时锁定数据库

firefox 还多一层加密，需要用主密码才能解开，而 edge 的主密码就是个自我欺骗的摆设，只要处在登录状态就一直是明文的。

QQ 以前就被曝出过扫描用户电脑上传服务器的事情。如果 QQ 想获取用户 edge 密码上传服务器简直是轻而易举的事情。

装个带主防的杀软就可以了
我现在就设置只有浏览器之间才可以互相读取

@ttionya 分享下备份工具？

主要的问题是，如果真有木马进入系统（登陆后），安装一个键盘钩子把输入密码管理器的按键给截获下来就完事了。——打开浏览器之后再输入一次密码安全性上提升不大，倒是用户体验下降很多——这就所谓的家贼难防
真要保证密码安全，建议使用外部硬件来做，也就所谓 Yubikey 一类
而且木马不是非得直接偷密码，它也可以偷 cookies——除非你接受打开浏览器，无论要不要登陆，都需要再输入一次密码这样的流程（上面也说了，安全性没大区别，即便用硬件密钥，也完全防不住木马在你解锁后读取进程内存拿到 cookies——或者你还可以考虑每点开一个域名都插一下硬件密钥，这样倒是可以将风险降低到只有点开过的域名才能被偷的程度），所以如果定位在“系统被黑的前提下”，再去“保护浏览器的安全”，这实在是有点困难

可以装个 Avast
https://www.cap2box.com/images/e6fecbb09d111ed3671ce37bafedcb7a.png

bitwarden 全平台存密码挺方便的，再用火绒吧浏览器所有数据都保护起来，只让浏览器自己访问

@greatbody https://github.com/ttionya/vaultwarden-backup