这是一个创建于 1338 天前的主题,其中的信息可能已经有所发展或是发生改变。
如题,周末觉得 chrome 有点卡,完全删除了又重装,看到个密码检查的功能,然后扫描一看,吓一跳!
图片: https://imgchr.com/i/dZ8gq1
还有好多关键账户的密码也泄露了,吓的我连夜修改密码,但仔细一想, 网站的密码管理确实是个大问题。
大家都用啥管理密码呢,1Password 吗? 感觉有点贵啊,有咩有靠谱的方案呢
 |
102
reiji 2020-08-17 16:35:04 +08:00
mypassword123@V2EX
↑我是这么给各个网站取密码的 |
 |
103
Yano 2020-08-17 16:49:59 +08:00
我查了下,4 年前的内网账号都泄漏了,不过好在并不多
|
 |
104
wjm2038 2020-08-17 17:03:09 +08:00 via Android
@winglight2016 彩虹表
|
 |
105
younghust 2020-08-17 17:05:49 +08:00
你们是访问了些什么,能做到大量泄漏密码的。。。我查了一遍没一个泄露了(除了 localhost),chrome 密码管理用了几年了。
|
 |
106
as80393313 2020-08-17 17:07:00 +08:00
@reiji 666,值得学习一下
|
 |
107
suyuyu 2020-08-17 17:07:50 +08:00
Chrome 无法检查您的密码。请检查您的互联网连接。[doge]
|
 |
108
lzl2000 2020-08-17 17:09:26 +08:00
我这里两百多个密码,有 13 个密码已遭泄露:全是 192.168 等内网密码
|
 |
110
SheyS 2020-08-17 17:18:22 +08:00 via iPhone
用 authenticator 设备锁跟设备绑定,最是安全吧。
|
 |
111
ihainan 2020-08-17 17:24:35 +08:00
泄露的密码几乎全都是内网测试网站的 =、=
|
 |
112
nekobest 2020-08-17 17:39:14 +08:00
mypassword-v2ex
mypassword-wiki |
 |
113
dingwen07 2020-08-17 17:44:16 +08:00 via iPhone
@raysonlu #13 那你太年轻,太单纯,有时候很天真了。只要一个明文存储密码的网站被脱裤你的密码就泄露了
|
 |
114
miniwade514 2020-08-17 17:49:31 +08:00
它这是怎么检测的?试了一下有十几个泄露,不过都是几年没登录过的了
|
 |
115
Pichai 2020-08-17 18:28:58 +08:00
检查了一下,就路由器的密码泄露了。
|
 |
116
derek80 2020-08-17 18:32:45 +08:00
bitwarden 够用了。
|
 |
117
cdlnls 2020-08-17 18:43:11 +08:00 via Android
现在遇到这种东西都不敢查了。
你查一个别人记录一个,就算一开始没泄露,这样查一下还不是直接就泄露了。 |
 |
118
FS1P7dJz 2020-08-17 18:57:46 +08:00
|
 |
119
caskeep 2020-08-17 19:07:05 +08:00 via iPhone
脑内算法生成密码 每个都不一样 重要账户密码更复杂 在社会工程学层次做好保护.
|
 |
120
qingxi 2020-08-17 19:21:11 +08:00 via Android
bitwarden
|
 |
121
liyongqiang1995 2020-08-17 19:28:20 +08:00
@yulihao +1 admin admin 哈哈哈
|
 |
122
yongliu 2020-08-17 19:29:33 +08:00
这个所谓的泄漏说的是帐号密码组合在某个网站上已经被泄漏,并不是说所有用这个帐号密码的站点都泄漏了。
当然,只要一个站点被泄漏,其他地方离被发现也就不远了... |
 |
123
FEDT 2020-08-17 19:32:59 +08:00 via iPhone
这个应该是根据非 https 页面登录来统计的吧
|
 |
124
kooze 2020-08-17 19:47:47 +08:00
看了下,嗯。都是甲方的后台登录密码。我就放心了。
|
 |
125
24bit 2020-08-17 20:58:19 +08:00
当初自己写的密码生成器,生成 16 位难记的密码,逼迫自己不同网站用不同的密码
然后,我 TM 把它背下来了 |
 |
126
FengkuiChan 2020-08-17 21:04:45 +08:00 via Android
@Yumwey 在 chrome,登录 Google 账号 A,退出再登陆 Google 账号 B,就算全部泄漏密码了。
|
 |
127
hdfg159 2020-08-17 21:51:03 +08:00
给你说一下,我点一 i 下检测,我发现我的密码全部被上传了
|
 |
128
railgun 2020-08-17 22:06:54 +08:00
看了下,泄露的都是内网开发用的弱密码,123456 这种
|
 |
129
exploreexe 2020-08-17 22:11:23 +08:00
@las917vki #61 那个社工库跑路了
|
 |
130
eallion 2020-08-17 22:12:07 +08:00
Bitwarden 自建。
|
 |
131
ghs55kai 2020-08-17 22:13:02 +08:00 via iPhone
准?
|
 |
132
katoyu 2020-08-17 22:21:40 +08:00
你这个是假的 chrome 的吧?我的怎么一个都没泄漏啊,一共 90 多个密码,全部安全。
|
 |
133
xinghen57 2020-08-17 22:30:52 +08:00 via iPhone
我还收到谷歌庭外和解费申请的邮件
|
 |
134
input2output 2020-08-17 22:49:36 +08:00
 |
 |
135
Keyes 2020-08-17 23:12:33 +08:00
Edge: ??????
|
 |
136
swordgreen 2020-08-17 23:24:36 +08:00
@redtea 为什么不方便,很好用啊。
|
 |
139
bglucas 2020-08-17 23:46:45 +08:00 via Android
所有密码都是 keepass 管理路过,主密码加一个 key 文件
|
 |
140
luckyyzc233 2020-08-18 00:20:34 +08:00
试了一下,泄露的是无线路由器的原始密码...
|
 |
141
futandrew 2020-08-18 05:03:34 +08:00 via iPhone
我想知道 chrome 怎么知道密码被泄露了
|
 |
142
jackmod 2020-08-18 07:37:50 +08:00
按照自己的规则编的看似复杂的密码,再配合网站的 2FA 功能
顺便 authy 兼容 google auth,手机坏了也不怕丢掉了 |
 |
143
janda 2020-08-18 08:42:54 +08:00
我是用 enpass 一次性买断的、密码自动同步到自己云盘,全平台支持
|
 |
144
aegon466 2020-08-18 08:58:34 +08:00
我是用脑子管理密码的
|
 |
145
crazyrock 2020-08-18 08:59:43 +08:00
我 github 账号都泄露了,咋肥事?
|
 |
146
aero99 2020-08-18 09:07:57 +08:00
对于几十元钱觉得贵的可能觉得密码还是不重要
|
 |
147
ddzy 2020-08-18 09:09:22 +08:00
|
 |
148
xyjincan 2020-08-18 09:14:25 +08:00
全匹配的 localhost,192.168
|
 |
149
en20 2020-08-18 09:38:47 +08:00
连 12306 都有...
|
 |
150
wolfan 2020-08-18 09:41:52 +08:00 via Android
彩虹表的密码才是最安全的(ღ˘⌣˘ღ)。
|
 |
152
MsHan 2020-08-18 14:26:11 +08:00
吓得我赶紧去检查,提示没泄露
|
 |
153
xshwy 2020-08-18 15:14:40 +08:00
CSDN 为罪魁祸首
|
 |
155
yaoguaishou 2020-08-18 21:08:36 +08:00 via Android
@futandrew 用的 haveibeenpwd
|
|
156
yaoguaishou 2020-08-18 21:09:13 +08:00 via Android
|
 |
157
yanqiyu 2020-08-18 21:18:27 +08:00 via Android
Chrome 的保存的密码是用你的 Windows 凭据加密的,登录就可以读取了
|
 |
159
mmqmyy 2020-08-18 22:17:40 +08:00
@wangritian 我也大量使用的是你描述的第三种,特别复杂的密码+网站标识,但最坏情况就是泄露了一个,就能大概猜到另一个网站的密码。因为前段部分都是一样的,再根据之前泄露的密码的网站标识部分,去尝试各种比较有可能的大小写组合,很容易就猜中了。举个例子,x 宝上泄露密码: xxxa@Tbao1,京东的密码大概率就是: xxxa@Jdong1 。即使不是,网站标识缩写和全称,以及大小写,换来换去无非也就几种组合,很容易猜。所以好像还是无规则的比较好。
|
 |
160
wangritian 2020-08-19 09:42:47 +08:00
@mmqmyy 无规则肯定要找地方记录吧,这也会增加额外风险和维护成本,密码泄露本身就是个小概率事件,程序员的安全意识一般还都很高,碰到针对你去猜测其他网站标识的应该会更少了
|
 |
161
AsianChampion 2020-08-19 10:02:00 +08:00
|
 |
162
goodboy95 2020-08-19 13:49:13 +08:00
我也放心了,只泄露了一个 localhost 密码,我甚至可以在这里再泄露一遍,密码 123456
|
 |
163
XiXiLocked 2020-08-19 15:29:39 +08:00
@mmqmyy 提供一下我的思路, 我也是用的密码和网站标识然后脑内规则生成,不过用的不是直接 concat 的方式.
举个例子比如密码 123456 在京东的,我就不是 123456@jingdong ,而是 1j2i3n4g5d6o,这样混插在一起的,要是原密码不是全数字的,插了几个字母,基本很难看出来规律,除非多处密码泄漏,人工主动去看才能看出来. 混插的变种也很多 ji12ng34do56ng, j1in2gd345ong |
Select Language