V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
conanskyforce
V2EX  ›  程序员

不看不知道,一看吓一跳!密码泄露了一大半

  •  2
     
  •   conanskyforce · 156 天前 · 23049 次点击
    这是一个创建于 156 天前的主题,其中的信息可能已经有所发展或是发生改变。

    如题,周末觉得 chrome 有点卡,完全删除了又重装,看到个密码检查的功能,然后扫描一看,吓一跳!

    图片: https://imgchr.com/i/dZ8gq1

    还有好多关键账户的密码也泄露了,吓的我连夜修改密码,但仔细一想, 网站的密码管理确实是个大问题。

    大家都用啥管理密码呢,1Password 吗? 感觉有点贵啊,有咩有靠谱的方案呢

    163 条回复    2020-08-19 15:29:39 +08:00
    1  2  
    chchyu1
        101
    chchyu1   156 天前
    @redtea 这么方便的东西居然说不方便?
    reiji
        102
    reiji   156 天前
    [email protected]
    ↑我是这么给各个网站取密码的
    Yano
        103
    Yano   156 天前
    我查了下,4 年前的内网账号都泄漏了,不过好在并不多
    wjm2038
        104
    wjm2038   156 天前 via Android
    @winglight2016 彩虹表
    younghust
        105
    younghust   156 天前
    你们是访问了些什么,能做到大量泄漏密码的。。。我查了一遍没一个泄露了(除了 localhost),chrome 密码管理用了几年了。
    as80393313
        106
    as80393313   156 天前
    @reiji 666,值得学习一下
    suyuyu
        107
    suyuyu   156 天前
    Chrome 无法检查您的密码。请检查您的互联网连接。[doge]
    lzl2000
        108
    lzl2000   156 天前
    我这里两百多个密码,有 13 个密码已遭泄露:全是 192.168 等内网密码
    dallaslu
        109
    dallaslu   156 天前
    @Kvip 这就是彩虹表啊
    SheyS
        110
    SheyS   156 天前 via iPhone
    用 authenticator 设备锁跟设备绑定,最是安全吧。
    ihainan
        111
    ihainan   156 天前
    泄露的密码几乎全都是内网测试网站的 =、=
    nekobest
        112
    nekobest   156 天前
    mypassword-v2ex
    mypassword-wiki
    dingwen07
        113
    dingwen07   156 天前 via iPhone
    @raysonlu #13 那你太年轻,太单纯,有时候很天真了。只要一个明文存储密码的网站被脱裤你的密码就泄露了
    miniwade514
        114
    miniwade514   156 天前
    它这是怎么检测的?试了一下有十几个泄露,不过都是几年没登录过的了
    Pichai
        115
    Pichai   156 天前
    检查了一下,就路由器的密码泄露了。
    derek80
        116
    derek80   156 天前
    bitwarden 够用了。
    cdlnls
        117
    cdlnls   156 天前 via Android
    现在遇到这种东西都不敢查了。

    你查一个别人记录一个,就算一开始没泄露,这样查一下还不是直接就泄露了。
    FS1P7dJz
        118
    FS1P7dJz   156 天前
    @Kvip 这叫彩虹表
    而且实际上,MD5 已经在技术上存在可以碰撞的方法了
    实验中已经构建了 2 个 MD5 hash 一样的文件,但实际上并不相同
    caskeep
        119
    caskeep   156 天前 via iPhone
    脑内算法生成密码 每个都不一样 重要账户密码更复杂 在社会工程学层次做好保护.
    qingxi
        120
    qingxi   156 天前 via Android
    bitwarden
    liyongqiang1995
        121
    liyongqiang1995   156 天前
    @yulihao +1 admin admin 哈哈哈
    yongliu
        122
    yongliu   156 天前
    这个所谓的泄漏说的是帐号密码组合在某个网站上已经被泄漏,并不是说所有用这个帐号密码的站点都泄漏了。
    当然,只要一个站点被泄漏,其他地方离被发现也就不远了...
    FEDT
        123
    FEDT   156 天前 via iPhone
    这个应该是根据非 https 页面登录来统计的吧
    kooze
        124
    kooze   156 天前
    看了下,嗯。都是甲方的后台登录密码。我就放心了。
    24bit
        125
    24bit   156 天前
    当初自己写的密码生成器,生成 16 位难记的密码,逼迫自己不同网站用不同的密码

    然后,我 TM 把它背下来了
    FengkuiChan
        126
    FengkuiChan   156 天前 via Android
    @Yumwey 在 chrome,登录 Google 账号 A,退出再登陆 Google 账号 B,就算全部泄漏密码了。
    hdfg159
        127
    hdfg159   156 天前
    给你说一下,我点一 i 下检测,我发现我的密码全部被上传了
    railgun
        128
    railgun   156 天前
    看了下,泄露的都是内网开发用的弱密码,123456 这种
    exploreexe
        129
    exploreexe   156 天前
    @las917vki #61 那个社工库跑路了
    eallion
        130
    eallion   156 天前
    Bitwarden 自建。
    ghs55kai
        131
    ghs55kai   156 天前 via iPhone
    准?
    katoyu
        132
    katoyu   156 天前
    你这个是假的 chrome 的吧?我的怎么一个都没泄漏啊,一共 90 多个密码,全部安全。
    xinghen57
        133
    xinghen57   156 天前 via iPhone
    我还收到谷歌庭外和解费申请的邮件
    input2output
        134
    input2output   156 天前
    Keyes
        135
    Keyes   156 天前
    Edge: ??????
    swordgreen
        136
    swordgreen   156 天前
    @redtea 为什么不方便,很好用啊。
    Huelse
        137
    Huelse   156 天前
    @Kvip #99 撞库,穷举就是这么来的,现代主流密码体系主要的衡量标准是穷举时间超过一定时间算安全
    nvkou
        138
    nvkou   156 天前 via Android
    @Kvip 强迫症犯了。MD5 不是加密
    bglucas
        139
    bglucas   156 天前 via Android
    所有密码都是 keepass 管理路过,主密码加一个 key 文件
    luckyyzc233
        140
    luckyyzc233   156 天前
    试了一下,泄露的是无线路由器的原始密码...
    futandrew
        141
    futandrew   155 天前 via iPhone
    我想知道 chrome 怎么知道密码被泄露了
    jackmod
        142
    jackmod   155 天前
    按照自己的规则编的看似复杂的密码,再配合网站的 2FA 功能
    顺便 authy 兼容 google auth,手机坏了也不怕丢掉了
    janda
        143
    janda   155 天前
    我是用 enpass 一次性买断的、密码自动同步到自己云盘,全平台支持
    aegon466
        144
    aegon466   155 天前
    我是用脑子管理密码的
    crazyrock
        145
    crazyrock   155 天前
    我 github 账号都泄露了,咋肥事?
    aero99
        146
    aero99   155 天前
    对于几十元钱觉得贵的可能觉得密码还是不重要
    ddzy
        147
    ddzy   155 天前
    xyjincan
        148
    xyjincan   155 天前
    全匹配的 localhost,192.168
    en20
        149
    en20   155 天前
    连 12306 都有...
    wolfan
        150
    wolfan   155 天前 via Android
    彩虹表的密码才是最安全的(ღ˘⌣˘ღ)。
    terax
        151
    terax   155 天前 via iPhone
    @reiji 这样不是泄露一个所有的就都泄露了么。。
    MsHan
        152
    MsHan   155 天前
    吓得我赶紧去检查,提示没泄露
    xshwy
        153
    xshwy   155 天前
    CSDN 为罪魁祸首
    reiji
        154
    reiji   155 天前
    @terax 谁会对着你的账户一个一个人工试啦
    yaoguaishou
        155
    yaoguaishou   155 天前 via Android
    @futandrew 用的 haveibeenpwd
    yaoguaishou
        156
    yaoguaishou   155 天前 via Android
    yanqiyu
        157
    yanqiyu   155 天前 via Android
    Chrome 的保存的密码是用你的 Windows 凭据加密的,登录就可以读取了
    yanqiyu
        158
    yanqiyu   155 天前 via Android
    @yanqiyu 抱歉,没读题,我傻了。

    我用的 chrome 的随机密码
    mmqmyy
        159
    mmqmyy   155 天前
    @wangritian 我也大量使用的是你描述的第三种,特别复杂的密码+网站标识,但最坏情况就是泄露了一个,就能大概猜到另一个网站的密码。因为前段部分都是一样的,再根据之前泄露的密码的网站标识部分,去尝试各种比较有可能的大小写组合,很容易就猜中了。举个例子,x 宝上泄露密码: [email protected],京东的密码大概率就是: [email protected] 。即使不是,网站标识缩写和全称,以及大小写,换来换去无非也就几种组合,很容易猜。所以好像还是无规则的比较好。
    wangritian
        160
    wangritian   154 天前
    @mmqmyy 无规则肯定要找地方记录吧,这也会增加额外风险和维护成本,密码泄露本身就是个小概率事件,程序员的安全意识一般还都很高,碰到针对你去猜测其他网站标识的应该会更少了
    goodboy95
        162
    goodboy95   154 天前
    我也放心了,只泄露了一个 localhost 密码,我甚至可以在这里再泄露一遍,密码 123456
    XiXiLocked
        163
    XiXiLocked   154 天前
    @mmqmyy 提供一下我的思路, 我也是用的密码和网站标识然后脑内规则生成,不过用的不是直接 concat 的方式.

    举个例子比如密码 123456 在京东的,我就不是 [email protected] ,而是 1j2i3n4g5d6o,这样混插在一起的,要是原密码不是全数字的,插了几个字母,基本很难看出来规律,除非多处密码泄漏,人工主动去看才能看出来.
    混插的变种也很多 ji12ng34do56ng, j1in2gd345ong
    1  2  
    关于   ·   帮助文档   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   1237 人在线   最高记录 5497   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 39ms · UTC 19:42 · PVG 03:42 · LAX 11:42 · JFK 14:42
    ♥ Do have faith in what you're doing.