Google Chrome 现在会明文将你的密码保存在线上了

我在想要不要写个脚本一键全部删掉

为了提升小白用户体验，其实很多你可以不使用的

能显示不代表是明文，不能解密他怎么给你填

chrome 本地不也是？一个用系统密码，一个用 google 账户密码。

@choury 重点是，只要知道了你的 Google 帐号和密码，你其他保存了的密码，在线上，就都可以看到啦

@watermeter Chrome 方面发言人针对之前密码明文保存在本地的事件，解释是『当别人拿到你电脑的那一刻，你电脑已经不安全了』
那现在保存在线上，连我电脑都不需要拿到了。
Google 方面肯定有预案会避免大规模恶劣事件发生，但是至少现在看来，这绝对是一个可行的攻击方法。

一直如此
我有时记不得一些密码了还会去看看😂

@garipan 夭寿啦，只要知道了你的 lastpass 帐号和密码，你其他保存了的密码，在线上，就都可以看到啦
夭寿啦，只要知道了你的 1password 帐号和密码，你其他保存了的密码，在线上，就都可以看到啦
夭寿啦，只要知道了你的 keepass 帐号和密码，你其他保存了的密码，在线上，就都可以看到啦

@garipan 随便一个能在线保存密码的被人拿到了主密码都能拿到密码啊，你要是担心这个开个两步验证嘛

如果你看到的不是明文密码，那这个密码有何用？如何自动填充自动登录？好奇葩的思维模式。 keepass 这种本地密码库里面的密码也是明文的。

@GuuJiang 是的，但是 lastpass 类应用，首先使用者明确知道这件事的风险，第二用户水准相对高
Chrome 一声不吭把本地密码搬到线上，置无数小白用户于风险之中，这也能洗？
讲真，换成国内公司这么干，早就被喷死了吧

你可以禁止 Chrome 同步你的密码啊

@nodin 大家当然都知道是明文存储才能自动填充，咱俩讨论的不是一个事儿。

你根本无法判断 Google 是否把“明文密码存到线上”，除非你能黑了 Google 的数据库，从里面取出的数据是明文的，那才叫“明文存储”

我都是用这个保存那些不太重要的密码，那些重要的密码都是 从不记录 + 手打 的

呃，请先阅读 Google ， Google Chrome 的服务条款以及隐私说明。

首先，你应该不保存 google 登陆状态

啊 我写出来的密码是明文的啊 怎么破 (滑稽

楼主一口一个“洗”字，本来这内容都不想回的，但是太喜感了。

楼主一定要棒棒的哦~

Saved passwords
You have secured your Chrome data with a sync passphrase. You can access your data within Chrome on your syncing devices, but not from this website.

楼主你真的有认真的看过谷歌的用户条款就来发帖吗？

Chromepass 甚至不需要知道管理员密码直接获取密码，早都不保存 Chrome 密码了。

@aaronlam 你有认真看过吗？

早就不用这个了

以前不设 passphrase 难道就不明文保存到线上了？？？

@Orz 就算需要管理员密码意思又有多大？直接打开网页让 chrome 自动填充进去就好，就算显示的是*用下 F12 不也一样

难道不是一直都这样吗？

表示看不懂？你意思是指责人家明文存储了你的密码？还是吐槽能在网页中看到你密码明文？
莫非是你觉得能在网页中能看到明文就代表人家是按明文存储的？

@garipan 说真的我没有，但是我只是想问一下你有吗？

所以，我的 Chrome 从来不登录 Google 帐户。。。

不想在网页中显示，请设置“同步密码”。
https://support.google.com/chrome/answer/1181035


朕已阅，下一位。

我还是没懂 Chrome 和 *pass 们有什么区别
姑且不提没人看的用户协议
保存密码也是每次都会提示的吧，看了一下设置只有是否提示保存，取消了应该是不保存，没有默认保存选项
刚试了一次登录到一个新的 chrome 也会提示保存了密码，而且提示确认了两次

另外这不叫明文保存在线上啊…也就是明文显示…（明文保存这种事情除了脱裤没什么办法能实锤吧……

Saved passwords
You have secured your Chrome data with a sync passphrase. You can access your data within Chrome on your syncing devices, but not from this website.

@garipan 其实，身在墙内还能用 chrome 的，一般也都符合你说的“用户水准相对高”

从来不用任何浏览器的 “表单和密码 保存 / 自动填充” 功能

谷歌的同步服务就会同步这些已保存的密码，但你新装 chrome 的时候，输入一个熟悉的网站，只管点登录按钮。怕隐私你应该一直使用隐身模式。

这里比较关键的一点是，假如之前已经 login google ，再打开 https://passwords.google.com/时， 是否需要再次输入账户密码，如果不用输入才能说是问题（我没测试）
其实就是说 google 是否把这个视为风险， google 就算 login （即使是信任的设备），打开一些 secure 相关的修改仍然是要再次输入帐密的

1pass 不知道， lastpass 就算扩展已登录，打开查看全部密码也是要再次输入帐密的

不像某宝，登入购物账户后可以直入对应的支付账户，这个业务逻辑是有问题的

@garipan 你确定会有小白用户使用 Chrome 吗…好吧，假如真的有了的话也不会翻墙同步吧

两步验证可破

@imn1 需要再次输入的 已验证

@imn1 我打开来是 请再次输入您的密码 啊～ 我已经是 login 状态了…

@garipan
根据 40/41 楼 @isnowify @scnace 的验证， google 已经做了风控
那就没什么好吐嘈的，实质上和其他在线密码保存是一样的

看到的是明文，但是保存的不是明文。
这个设计是合理的。

这个和 lastpass keepass 一样啊，老早以前就同步了。不愿意用可以选择不记住密码就可以了。谁告诉你这东西是明文存的？ Google 存用户数据的安全级别是非常高的，加密这最基本的东西不可能不做。

想让马儿跑的快，又不想让马儿吃草，马儿好难。
两部验证再加同步密码
如果还觉得不安全，别用了

naive ，一天就想搞大新闻

Google 没有强迫你保存密码，默认设置是每次保存密码前都需要确认，你觉得不安全可以不用，用了就表示你接受这个风险，你还可以通过两步验证来降低这个风险。
说到底楼主的论点就很奇怪，有没有这么一个可以查看保存的密码的网页对于安全性是没有任何影响的。楼主说「现在保存在线上，连我电脑都不需要拿到了」，但实际上如果你真的能够登录别人的 Google 帐号，那么在网页上和在 Chrome 里登录是一样的，就算没有这个网页也只需要一个 Chrome 就行。

心疼楼主摸到 Google 粉丝 G 点。

明文密码太不安全了，这地没的洗。请教怎么样设置个安全的暗文密码？

无理取闹，不喜欢你可以提前关闭。
而且 Chrome 除非你在 flags 设置不询问保存所有，那么每次都会在右上角有一个询问是否保存，你也可以不保存啊。而且，这玩意很早就有了。

@akwIX akw 大佬好。

开个两步验证不就可以了吗？ 这么简单的事情

谷歌的想法就是你帐号已经够安全了，登陆进去肯定是你所以就直接给你显示，同样因为不能确定用你电脑的人是否是你所以在电脑上看本地密码要输入计算机密码

奇怪，难道 V2 整个火星？这都多久以前的东西了？
早就存在了好么……

谷歌不雇你当安全工程师简直是瞎啊 233

明文显示不代表明文存储，楼主你就贴这个图就想证明密码明文存储了？太厉害了 word 哥

我记得 chrome 一直是在线保存密码的，至于安全性和什么 lastpass 1password 也差不多，还有这不叫明文保存密码。。

大过年的看你们喷楼主，哈哈哈

对衬加密保存密码，绝对不是明文！

村通网？这功能早就有了好吧

骗铜币吗？

@garipan 显示的是明文，至于是不是明文存储这得等你拿到数据库权限才能知道。

@chih 这个功能好几年了，楼主可能才知道……

我还以为终于跟 lp 一样可以在线看密码了，登录之后还是只看到以下提示：
保存的密码
您已使用同步密码来保障自己的 Chrome 数据的安全。您可以通过自己的同步设备存取自己在 Chrome 中的数据（但不能通过此网站存取）。

lz 太让我白高兴了。

我在 linux ，每次都要先输入 key ring 才能用。
应该没问题的。

要瘦了！可是这个功能不是一直都有么

同 @loading ，每次打开都让我输入一个密码

@loading +1 ，除非系统已经在启动时候设定好 keyring ，否则要在启动 chrome 的时候解 keyring

这不就是 play service 新的 smart lock 特性吗

说下 Chrome 实现这个的原理。楼主遇到的是 Chrome 同步功能的一部分，在 Chrome 支持同步功能后就直接存在了，也就是设置里的，同步书签、同步密码、同步扩展等一系列功能的选项。这个同步功能可以在多个浏览器之间共享书签和密码，实现你在别的电脑上登录 Google 账号后可以完全和自己主要电脑上一样的体验。在设计这个同步的时候， Google 给了 2 套方案，一套是，使用 Google 账号密码加密你的同步数据（注意，数据在 Google 服务器上还是加密的，只不过是用的是你的 Google 账户密码，并且在你更改密码后，会重新用新密码加密），由于 Google 知道你的 Google 当前密码、历史密码（即使是加盐的），就可以在同步的时候，解开你的数据，实现多台电脑的书签、密码同步（这类数据要同步下来必须得能解开，你难道需要一个 hash 的书签？）。这套方案的安全性就靠 Google 账户的安全性来保证了。对于有更高安全要求的用户 ，谷歌在同步的时候，提供了另一套独立的“同步密码”（ https://support.google.com/chrome/answer/1181035 ），这套密码不同于 Google 账户密码，谷歌并不保存和记录，服务器上只记录下同步后的加密数据，当你需要在别的电脑上同步的时候，会把已加密的数据下载到本机，还需要你自己输入这个“同步密码”才能完成，如果忘记这个密码，则你只能通过 dashboard 删掉所有同步数据，然后重新使用同步功能来生成新数据。

好了，到这里，这一切都是 Chrome 同步功能之初就提供的安全措施。接着，到了移动互联网时代，手机上有的有 Chrome ，但也有部分手机无法安装 Chrome ，以及不是 Android 系统的地方，当你通过 Chrome 浏览器自动记录了许多账号密码之后，你在这些与 Google 不兼容的设备上就失去了对账号密码的访问权。于是这时候，才出来了 https://passwords.google.com 这个网址。所以它存在的目的是为了方便不能同步，或者无法使用 Chrome 作为移动设备中的默认浏览器使用的用户获取密码。即使你使用 https://passwords.google.com 也需要登录 Google 账户，已登录状态也需要再输入密码，况且开了二步验证之后，也需要再次验证才能进入，安全性已经很高了。如果你打开了“同步密码”的话， https://passwords.google.com 这里你是一个密码都看不到的。

既然 https://passwords.google.com 存在的目的是为了方便你提取你存储的账号密码，那它当然得给你显示个明文的密码啊？不然还有何意义？当然，从安全角度说，如果你没有使用“同步密码”的话， Google 当然能看到你的密码，如果对此敏感的话，那就请打开“同步密码”好了。

所以，它能显示明文密码不等于它就是明文存的密码。而且 Google 也给了你选项，能让你加密你的密码使其不被任何人（除了你）访问到，这样做我觉得已经足够了。

特别不爽 lz 说 的这段话。
“首先使用者明确知道这件事的风险，第二用户水准相对高
Chrome 一声不吭把本地密码搬到线上，置无数小白用户于风险之中，这也能洗？ ”
为什么 chrome 用户就必须是小白，就必须是什么都不懂。然后风险和易用 xl 性是相对的，你可以开启“十步验证”提高安全性。 Google 保证的是，传输过程以及数据库在 hack 后不泄漏数据。而不是你的密码被人知道后，数据会不会泄漏。

赞同楼主！好害怕！百度贴吧竟然把我发的帖子明文放在网页上，微信竟然把我的朋友圈明文放在 app 里，微博竟然把我的博文明文写在手机上，这些都是我的隐私哎，人家如果知道我密码，岂不是能明文查看，想想就好害怕呀！

我开了同步密码的，所以这网站上的数据看不到。

从来不开保存密码和自动填写。

你不是落伍，你是不知道什么叫明文存储。。。

我的就没办法在网站中看到

不明文显示怎么看啊。

你理解的密文存储是指 ***** 么

@ahhui 谢谢，学到了新知识

目测楼主被你们打脸打到要弃号了。

@xfspace 不至于 都没说到点子上 除了攻击就是装逼 我为什么要弃号啊 (۶ૈ๑`ȏ´๑)۶ૈ=͟͟͞͞ ⌨

哈哈哈 终于被发现了

@imn1 #37 需要重新输入密码。重要的设置页面都需要重新输入密码才可以进入

1 ，密码可以明文显示不代表是明文保存的；
2 ，你可以看到的密码不代表 Google 也能看到；
3 ，如果你这个逻辑成立，那么 iCloud keychain 也是不安全的，所有提供数据同步的服务都是不安全的。

开同步密码可以解决
既然有了你的账号密码，在网页能明文访问和在 Chrome 能明文访问这两者不都等价于能明文访问吗
没懂楼主的喷点