Chrome 超愚蠢的密碼保存策略,任何人不需要駭客技巧就可以看到

Chrome 超愚蠢的密碼保存策略,任何人不需要駭客技巧就可以看到

Google 的 Chrome 瀏覽器現在全世界有非常多的使用者,它也有很好的擴充性和良好的機能。但是也許你不知道,Chrome保存你登入網站的密碼,居然是用明碼保存,任何人不需要駭客技巧就可以看到。而且,他們並不打算有任何的改善。

Chrome 超愚蠢的密碼保存策略,任何人不需要駭客技巧就可以看到

圖片來源

在登入各種網站的過程中,我們常常會使用不同的用戶名和密碼,這會造成記憶上的負擔。如果你是 Chrome 用戶,在登入新網站的時候,會看到它保存密碼的提示,並且很可能點了「確定」。這樣做的話,你可以自動登入各種網站,而且在不同的電腦同步,真的非常方便。不過,你是否考慮過安全問題?

或許你會想,Google 一定把密碼加密後保存在系統之中了吧,或者乾脆就是保存在雲端。如果是這樣,準備震驚一下自己和小夥伴們吧。現實情況是,Chrome 並沒有給你的密碼加密,更可怕的是,任何一個人都能夠看到你的密碼,無需任何駭客技術。

進入「設定」,選擇「密碼和表單」,點擊「管理系統儲存的密碼」,(或者直接在Chrome上輸入 Chrome://settings/passwords),你會發現自己保存的所有用戶名和密碼。沒錯,密碼都是以小黑點顯示的。但是,如果你點擊一下,就會發現在密碼後面出現了「顯示」二字,再點擊它,你就能看到密碼了。就是這麼簡單。

Chrome 超愚蠢的密碼保存策略,任何人不需要駭客技巧就可以看到Chrome 超愚蠢的密碼保存策略,任何人不需要駭客技巧就可以看到

Google 的天才工程師竟然也會犯愚蠢的錯誤!等等,等等,這樣明顯的安全性漏洞不可能是錯誤,應該是一種功能吧?恭喜你猜對了。因為 Chrome 安全主管說,這的確是故意的,而且他們不打算做出什麼改變。

軟體發展者 Elliott Kember 在部落客上撰文提到了這個問題,在他看來,Chrome 保存密碼的策略是瘋狂的。每次他向懂技術的人反映這個問題,得到的答覆是這樣的:

  • 用 1Password
  • 當別人直接接觸到電腦的時候,它已經不安全了
  • 密碼管理就應該是這個樣子的
  • 問題是,普通使用者並不知道密碼是這樣保存的。

找一個不懂技術的人。借用他們的電腦。連結 Chrome://settings/passwords,然後在密碼行那裡點擊「顯示」,看看他們會怎麼說。我打賭他們不會說,「密碼管理就是這個樣子的。」

Elliott Kember 的文章在 hackernews 上獲得了很大關注,於是 Chrome 安全主管 Justin Schuh 也來回復了。

他說,Elliot Kember 完全是小白用戶的看法,他們花費了多年的時間考慮這個問題,並且有大量的資料支援這個決定,在他看來,如果有人入侵了你的系統使用者帳號,即使再多的安全措施也是無用的。密碼加密的想法雖然出自好意,但是 Chrome 團隊不想給用戶安全的錯覺或者鼓勵危險的行為。那不是他們處理安全問題的方式。

啊?

「安全的錯覺」?難道普通用戶會去設定裡瞭解明文保存的事實麼?如果 Chrome 明確提示說「密碼會以明文」保存,或許用戶不會有「安全的錯覺」,但在沒有更多提示的情況下,使用者反而會產生「安全的錯覺」吧。另外,根據 Google 工程師的邏輯,一旦壞人進了你的家門,所有的東西都有危險,所以任何櫃子都不要加鎖嗎?什麼奇怪的邏輯啊,而且在現實中,安全問題一定是來自專業駭客嗎?

我們不知道 Google 的天才工程師是否會改變想法。但是,如果你注重安全問題的話,趕快把保存的密碼全部刪除,然後在 Chrome 提示你保存密碼的時候,選擇「否」吧。

Chrome 超愚蠢的密碼保存策略,任何人不需要駭客技巧就可以看到

ifanr
作者

ifanr依托於中國移動互聯網的發展大潮,用敏銳的觸覺、出色的內容,聚焦 TMT 領域資訊,迅速成為中國最為出色的新銳科技Blog 媒體。

使用 Facebook 留言
薛文貴
3人給推

2.  薛文貴 (發表於 2013年8月08日 12:30)
※ 引述《悶燒貢丸》的留言:
> firefox 也是同樣機制
> 選項→安全→已存密碼→"顯示密碼"
但是 Firefox 可以設定主控密碼,Chrome 完全沒有這類的保護機制。
Samuel Tsay
3人給推

3.  Samuel Tsay (發表於 2013年8月08日 12:49)
我個人還滿喜歡這個功能的...
幫我找回滿多次我的密碼@@
不過我同意樓上說應該要有個主控密碼保護......
華采利通
4.  華采利通 (發表於 2013年8月08日 13:28)
人腦思考的運算速度優於所有事物

但就對記憶能力仍是有一定程度的缺陷

這些都是有科學實證的相關報告

就技術分析面

在 Windows 上還有第三方的找回密碼程式可以處理

在 Linux\Mac 上如果忘記密碼的話也沒有找回密碼程式能處理

綜合兩點縱使有主控密碼的保護也是沒用且無意義

所以此新聞是沒有任何的科學實證能支持
100000438665177
6.  100000438665177 (發表於 2013年8月08日 14:50)
大概是跟剪刀石頭布的道理一樣吧 (≧▽≦)

以下隨便講講:
因為其他人有可能偷看用戶的密碼,所以理論上應該要對密碼加密,
不過一旦其他人知道顯示的是加密文字,就會用一些方法去解碼,
為了讓別人解碼解到天荒地老都找不到正確的密碼,所以反其道而行,直接顯示明碼 <( ̄︶ ̄)>

╯-__-)╯ ╩╩
路人甲
8.  路人甲 (發表於 2013年8月08日 17:50)
看完這篇 感想就知道

天才與白癡 真得只有一線之隔

天才老是以為自已想法是至高無上 就是真理

在把這個想法 強制加諸到所有使用者身上

但偏偏使用者 的想法 就是很簡單 單純

有多一層保障 總比沒有保障好太多

就是這麻簡單

可惜 天才也有白癡的時候

密碼加個密 就算真得無用好了

但讓使用者圖個心安 也不行嗎
Leon
3人給推

10.  Leon (發表於 2013年8月08日 21:37)
※ 引述《薛文貴》的留言:
> ※ 引述《悶燒貢丸》的留言:
> > firefox 也是同樣機制
> > 選項→安全→已存密碼→"顯示密碼"
> 但是 Firefox 可以設定主控密碼,Chrome 完全沒有這類的保護機制。
Chrome的主控密碼精神上就是作業系統登入密碼
Youze Lin
11.  Youze Lin (發表於 2013年8月08日 21:45)
一些人認為Chrome比較好用也是這個原因,
所以像是Chrome的同步也不會像Firefox一樣繁瑣。
孤單伴奏
12.  孤單伴奏 (發表於 2013年8月09日 00:17)
Chrome設定檔會依造作業系統的使用者不同而不同
讓其他使用者用你的帳號登陸,本來就不具安全性
再者假設駭客能夠取得你作業系統Admin權限,多一層密碼有用?
╮(╯_╰)╭
dodo
13.  dodo (發表於 2013年8月09日 00:19)
※ 引述《薛文貴》的留言:
> ※ 引述《悶燒貢丸》的留言:
> > firefox 也是同樣機制
> > 選項→安全→已存密碼→"顯示密碼"
> 但是 Firefox 可以設定主控密碼,Chrome 完全沒有這類的保護機制。

大部分的人沒在用主控密碼吧
我看到這篇第一個想到的也是"火狐還不是一樣"
gray
1人給推

14.  gray (發表於 2013年8月09日 00:22)
※ 引述《路人甲》的留言:
> 看完這篇 感想就知道
>
> 天才與白癡 真得只有一線之隔
>
> 天才老是以為自已想法是至高無上 就是真理
>
> 在把這個想法 強制加諸到所有使用者身上
>
> 但偏偏使用者 的想法 就是很簡單 單純
>
> 有多一層保障 總比沒有保障好太多
>
> 就是這麻簡單
>
> 可惜 天才也有白癡的時候
>
> 密碼加個密 就算真得無用好了
>
> 但讓使用者圖個心安 也不行嗎

密碼要用密碼來加密...
這不是多此一舉嗎...?
怎麼會覺得這是個很聰明的做法XD
如過忘記這一個加密密碼的密碼(好饒舌),導致全部密碼遺失了...這不就損失大了...

況且會登入帳戶的chrome通常都是家用電腦或個人筆電吧。
在外公用電腦大部分都會使用隱私分頁流覽了吧,連瀏覽記錄都不願留下了...哪還來擔心密碼問題...
路人甲
15.  路人甲 (發表於 2013年8月09日 03:12)
※ 引述《gray》的留言:
> ※ 引述《路人甲》的留言:
> > 看完這篇 感想就知道
> >
> > 天才與白癡 真得只有一線之隔
> >
> > 天才老是以為自已想法是至高無上 就是真理
> >
> > 在把這個想法 強制加諸到所有使用者身上
> >
> > 但偏偏使用者 的想法 就是很簡單 單純
> >
> > 有多一層保障 總比沒有保障好太多
> >
> > 就是這麻簡單
> >
> > 可惜 天才也有白癡的時候
> >
> > 密碼加個密 就算真得無用好了
> >
> > 但讓使用者圖個心安 也不行嗎
>
> 密碼要用密碼來加密...
> 這不是多此一舉嗎...?
> 怎麼會覺得這是個很聰明的做法XD
> 如過忘記這一個加密密碼的密碼(好饒舌),導致全部密碼遺失了...這不就損失大了...
>
> 況且會登入帳戶的chrome通常都是家用電腦或個人筆電吧。
> 在外公用電腦大部分都會使用隱私分頁流覽了吧,連瀏覽記錄都不願留下了...哪還來擔心密碼問題...


不會多此一舉

照你的意思 密碼不用加密 這才奇怪

就因為密碼很重要 不能外洩 才要加密阿...

這是多一層保障措施

而且 一個密碼 保護數十個密碼

雖然加深的密碼難記性 但安全也有提升(前提是密碼都要不一樣)

當然也有優點也有缺點

的確 照你講的忘記就糟糕

那又能怎辦

想要好記 你乾脆打123456789

夠好記的吧 那你就只能祈禱上帝 不要被人給破了
許測試
16.  許測試 (發表於 2013年8月09日 04:13)
知道嗎?這個模式從Chrome開始提供【儲存密碼】就已如此
現在才發現不知道誰才是真正得愚蠢?

我從Chrome4就開始使用了,現在在外頭沒病毒的電腦若要登入,結束後絕對會到【chrome://version/】底下的【設定檔路徑】將我的User File Delete,如此一來Chrome的登入訊息不都消失了.....

若要再追論加密的問題,請問怎不罵IE密碼可以被【IE PassView】給解碼。PasswordFox、ChromePass等相關軟體呢?
1736723597
17.  1736723597 (發表於 2013年8月09日 04:49)
※ 引述《路人甲》的留言:
> ※ 引述《gray》的留言:
> > ※ 引述《路人甲》的留言:
> > > 看完這篇 感想就知道
> > >
> > > 天才與白癡 真得只有一線之隔
> > >
> > > 天才老是以為自已想法是至高無上 就是真理
> > >
> > > 在把這個想法 強制加諸到所有使用者身上
> > >
> > > 但偏偏使用者 的想法 就是很簡單 單純
> > >
> > > 有多一層保障 總比沒有保障好太多
> > >
> > > 就是這麻簡單
> > >
> > > 可惜 天才也有白癡的時候
> > >
> > > 密碼加個密 就算真得無用好了
> > >
> > > 但讓使用者圖個心安 也不行嗎
> >
> > 密碼要用密碼來加密...
> > 這不是多此一舉嗎...?
> > 怎麼會覺得這是個很聰明的做法XD
> > 如過忘記這一個加密密碼的密碼(好饒舌),導致全部密碼遺失了...這不就損失大了...
> >
> > 況且會登入帳戶的chrome通常都是家用電腦或個人筆電吧。
> > 在外公用電腦大部分都會使用隱私分頁流覽了吧,連瀏覽記錄都不願留下了...哪還來擔心密碼問題...
>
>
> 不會多此一舉
>
> 照你的意思 密碼不用加密 這才奇怪
>
> 就因為密碼很重要 不能外洩 才要加密阿...
>
> 這是多一層保障措施
>
> 而且 一個密碼 保護數十個密碼
>
> 雖然加深的密碼難記性 但安全也有提升(前提是密碼都要不一樣)
>
> 當然也有優點也有缺點
>
> 的確 照你講的忘記就糟糕
>
> 那又能怎辦
>
> 想要好記 你乾脆打123456789
>
> 夠好記的吧 那你就只能祈禱上帝 不要被人給破了

世事無絕對

有心要破的 就算不是透過瀏覽器的儲存功能也應該有其它方法

會用儲存密碼的人 應該會覺得這是一個利多

生性謹慎的人 應該不會習慣讓瀏覽器記憶密碼

像我就是一個半吊子 論壇或是購物中心的密碼就覺得可以記憶

但網路銀行我就不會存


另外建議 可以先衡量一下

自己的身價以及使用行為 來評估被破解可能性跟風險

像我戶頭只剩200塊 說穿了破解了也只能得到一種成就感吧
nike
1人給推

18.  nike (發表於 2013年8月09日 08:29)
發這篇文的人壓根兒完全不懂網頁登入的程序。
不管是哪家的瀏覽器,只要用到帳號密碼登入,密碼欄一定不會顯示給你看,但那只是假象,傳送時仍然是明碼,就算你用https加密!
不信?用Firefox隨便瀏覽網站,就算是https也好,在密碼欄隨便打幾個字,然後在密碼欄按右鍵,選「檢測元素」,下面出現的欄位加了底色的內容,把中的password點兩下改成text,剛才你輸入的全跑出來了!
真有心攔截你密碼的,就算是把密碼庫加了密,這時候同樣一覽無遺。
再說,加了密的密碼還能還原成明碼送出去給網站,一定要用對稱式加密,那兩三下就能破解的,一點用也沒有。
Peter J.
3人給推

19.  Peter J. (發表於 2013年8月09日 08:44)
我向來都有離開座位就 win + L 的好習慣,這根本不是問題
(≧▽≦)
sdyy
20.  sdyy (發表於 2013年8月09日 09:12)
※ 引述《nike》的留言:
> 發這篇文的人壓根兒完全不懂網頁登入的程序。
> 不管是哪家的瀏覽器,只要用到帳號密碼登入,密碼欄一定不會顯示給你看,但那只是假象,傳送時仍然是明碼,就算你用https加密!
> 不信?用Firefox隨便瀏覽網站,就算是https也好,在密碼欄隨便打幾個字,然後在密碼欄按右鍵,選「檢測元素」,下面出現的欄位加了底色的內容,把中的password點兩下改成text,剛才你輸入的全跑出來了!
> 真有心攔截你密碼的,就算是把密碼庫加了密,這時候同樣一覽無遺。
> 再說,加了密的密碼還能還原成明碼送出去給網站,一定要用對稱式加密,那兩三下就能破解的,一點用也沒有。

因為可以破解所以就認為不需要
那麼銀行幹嘛裝金庫,還不是照樣可以被人打開
乾脆把鈔票疊在桌上就好啦
收銀機幹嘛還要鎖,整台砸爛還不是可以拿到錢
發表回應
謹慎發言,尊重彼此。按此展開留言規則