chrome 密码泄漏了, 才知道用 chrome 保存密码等于裸奔

2022-08-14 12:31:38 +08:00
 juejinloop

前几天电脑中毒了,虽然第一时间重装系统,但是隔天依然收到一大堆网站登录的 gamil 验证邮件,谷歌帐号也提示风险操作。密码管理一直用的 chrome 自带的,考虑是 chrome 保存的密码泄漏,于是连夜改了所有帐号密码,能二验的全部添加二验。然而第二天早上还是发现一台小鸡被人在 vps panel 里重装了 windows 系统,还好有数据备份,然后又改所有小鸡的 ssh 登陆密码。因为之前谷歌帐号开了二次验证,还好谷歌帐号没被登录。吃了这个惨痛的教训,我开始研究 chrome password manger 的安全问题,才发现 chrome 保存密码等于裸奔。

一篇解释如何获取 chrome 保存的密码的文章: https://ohyicong.medium.com/how-to-hack-chrome-password-with-python-1bedc167be3d

如果用 chrome 自带的密码管理保存密码,任何一个运行在你电脑上的程序,不需要管理员权限,都能解密并读取本地保存的密码。因为 chrome 的密码保存在本地加密的 sqlite 中,同时加解密密钥也明文保存在本地文件里,任何程序都能读取。

加密 sqlite 文件路径: C:\Users<PC Name>\AppData\Local\Google\Chrome\User Data\Default\Login Data

解密密钥文件路径 C:\Users<PC Name>\AppData\Local\Google\Chrome\User Data\Local State

额外说明一点是解密需要用到 win32 提供的 API CryptUnprotectData 函数,这个函数保证解密是和加密在同一台电脑(用户)进行的,所以如果直接复制硬盘的浏览器数据到其他电脑上是解密不了的,但是只要你的 Windows 登录了,任何程序只要想都可以解密 chrome 的密码然后上传。

现在考虑转 bitwarden 中。

58766 次点击
所在节点    信息安全
294 条回复
lifansama
2022-08-14 18:45:24 +08:00
是时候拿出卡巴斯基来了?😂
keepMyselfClam
2022-08-14 18:55:41 +08:00
之前安装 edge 的时候,它提示可以将以前 chrome 的数据导入,然后我就点了个确认 书签和密码一起导入了 edge 中.
当时我就在想这玩意保存密码不安全(包括 chrome 和新版 edge).

之前我有看到有些密码保存软件除了在本地安装软件以外可以通过 chrome 的插件和浏览器联动.
每次输入密码时由插件从本地的密码保存软件中获取密码(这个过程需要你自己输入密码去解密本地数据库)
我觉得这种方式会更加安全.即使密码数据库被偷了也会由于没有解密密码而打不开.
但一直没什么时间去折腾,楼主要是有后续的实践经验,发出来看看呗.
Laobai
2022-08-14 18:56:04 +08:00
我用 Chrome 保存密码很多年了,我去 o(╥﹏╥)o
Kanna
2022-08-14 19:15:58 +08:00
现在在用 Windows 的 iCloud 同步密码,不知道会不会有这个问题
MengiNo
2022-08-14 19:21:19 +08:00
@lcy630409 我相信这个论坛里至少一半人使用微信的同时都在慰问张小龙的妈。用不用某个软件至少在国内反正你的决定并不是很重要。
mobpsycho100
2022-08-14 19:21:36 +08:00
Windows sandbox ,sandboxie ,火绒开文件夹访问保护和联网控制行不行? Mac 下面 little snitch?
paradoxs
2022-08-14 19:22:44 +08:00
没人提到,原罪应该是 windows ??

都特么 2022 年了,还不能给系统每个软件默认自带沙箱环境,禁止软件之间相互读取。 (好歹给个可选项啊)
proxytoworld
2022-08-14 19:23:29 +08:00
@lcy630409 #100
qq 扫浏览器怎么看
yvkino
2022-08-14 19:34:22 +08:00
换 bitwarden 一年多了,chrome 密码太多了懒得删
cccer
2022-08-14 19:35:58 +08:00
信任也是分等级的,虽然我信任电脑里运行的软件,并运行它们。可还没信任到将所有密码都明文放在它们眼底下,所以很早就从 Chrome 自带的密码管理切换到 Bitwarden ,每次自动填充时用指纹解锁也不麻烦。
sillyB
2022-08-14 20:10:43 +08:00
@juejinloop 你没表达清楚,眼睛也不好使吗?没看我写的“如果”?真想查明问题,把 病毒文件发出来,论坛有的是人帮你分析。不要没搞清楚,就在那儿乱喷
YaakovZiv
2022-08-14 20:10:50 +08:00
```
@msaionyc 其实是有的,如果你愿意记住一个保险箱密码(每次填写密码前都输入 master password 解密 vault ),那还是有区别的。但是如果你想的是不要记住任何一个密码,我家谁都能进,但只有我能拿钱,那我只能说多少层多高级的保险箱都是毫无意义的 security theater 了。
```

@msaionyc 参考这种想法,那安全行业岂不是完全没价值了,这种观点有点偏激了。
version0
2022-08-14 20:21:43 +08:00
吓得我赶紧用火绒加一条规则,鬼鬼,这也太恐怖了,按网址给的方案,只要有程序想读取就能读取啊,这尼玛这谁顶得住,感觉已经被看过了,我的 qq 啥的密码都保存在 chrome 的
gaabing
2022-08-14 20:28:42 +08:00
Edge 呢
hheng101
2022-08-14 20:29:08 +08:00
用火绒给 Login Data 、Bookmarks 和 Local State 添加自定义规则了,不知道有没有用...
aladdinding
2022-08-14 20:36:28 +08:00
弃用密码登录才是王道
CatCode
2022-08-14 20:43:00 +08:00
我现在只用 Chrome 浏览器存别人的密码
ysc3839
2022-08-14 20:46:39 +08:00
不仅是 Windows ,Linux BSD 等传统桌面操作系统都是没有应用级别的权限控制的。
目前权限控制做得最好的桌面操作系统 macOS 也不能限制一个程序读取别的程序保存的数据,只能限制读取桌面、下载等几个特定的文件夹。
ysc3839
2022-08-14 20:47:01 +08:00
@paradoxs 不仅是 Windows ,Linux BSD 等传统桌面操作系统都是没有应用级别的权限控制的。
目前权限控制做得最好的桌面操作系统 macOS 也不能限制一个程序读取别的程序保存的数据,只能限制读取桌面、下载等几个特定的文件夹。
crstudio
2022-08-14 20:52:31 +08:00
@msaionyc 嗯?!你认真的吗?一个抽屉和几百斤重的保险箱,区别不大?

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/872745

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX