chrome明文保存密码被一锅端

moe

2年前

https://www.v2ex.com/t/872745

如果用 chrome 自带的密码管理保存密码，任何一个运行在你电脑上的程序，不需要管理员权限，都能解密并读取本地保存的密码。因为 chrome 的密码保存在本地加密的 sqlite 中，同时加解密密钥也明文保存在本地文件里，任何程序都能读取。

加密 sqlite 文件路径: C:Users&ltC Name>AppDataLocalGoogleChromeUser DataDefaultLogin Data

解密密钥文件路径 C:Users&ltC Name>AppDataLocalGoogleChromeUser DataLocal State

额外说明一点是解密需要用到 win32 提供的 API CryptUnprotectData 函数，这个函数保证解密是和加密在同一台电脑（用户）进行的，所以如果直接复制硬盘的浏览器数据到其他电脑上是解密不了的，但是只要你的 Windows 登录了，任何程序只要想都可以解密 chrome 的密码然后上传

意思就是系统里任意软件都能直接读目录解密出chrome保存的全部密码后打包上传被国产软件把书签密码都一锅端走岂不是凉透

v2那批人，个个百万年薪，天天坐地铁公交车上班

本帖最后由 XLove 于 2022-8-15 13:30 编辑

chrome firefox 的密码都可以查看，不需要特殊权限。
https://www.nirsoft.net/utils/web_browser_password.html

FFf好一点可以设置主密码
https://support.mozilla.org/1/firefox/103.0.2/WINNT/zh-CN/primary-password-stored-logins

天翼3g就是快

不用国产软件就行了，只要装了国产软件加密都没用，你输入法自动收集信息，加密有啥用

不是有前置条件吗

中毒

或者安装 360 之类国产流氓软件

有这些流氓，你就算不明文储存，手动输入的时候，也会被监控获取账号密码的啊

从不用浏览器保存密码，一直在用KeePassXC 自己备份

无脑转发消息，而且还是慢讯

自己永远都是没有问题的全是别人的问题瞧瞧这论坛风气真好

很久之前就有了，好像还有个什么工具

本帖最后由 sliver 于 2022-8-15 13:13 编辑

记得之前还是明文无加密的，后来迫于舆论才加密了

谷歌的说法是电脑硬件都已经被登录了/已经被恶意入侵了，客户端已经在别人手上，在一个浏览器上加密不加密是没有帮助的

就像楼上说的，装了360之类的还担心这个？加不加密都被键盘记录了，没区别