首页
社区
课程
招聘
漠视安全 chrome保存密码的疯狂策略
发表于: 2013-8-11 13:46 3039

漠视安全 chrome保存密码的疯狂策略

2013-8-11 13:46
3039
转自:http://safe.zol.com.cn/391/3912113.html

在登录各种网站的过程中,我们常常会使用不同的用户名和密码,这会造成记忆上的负担。如果你是 Chrome 用户,在登录新网站的时候,会看到它保存密码的提示,并且很可能点了“确定”。这样做的话,你可以自动登录各种网站,而且在不同的电脑同步,真的非常方便。不过,你是否考虑过安全问题?

  或许你会想,Google 肯定把密码加密后保存在系统之中了吧,或者干脆就是保存在云端。如果是这样,准备震惊一下自己和小伙伴们吧。现实情况是,Chrome 并没有给你的密码加密,更可怕的是,任何一个人都能够看到你的密码,无需任何黑客技术。

  进入设置,查看“密码和表单”项目,点击“管理已保存的密码”,(或者直接访问Chrome://settings/passwords),你会发现自己保存的所有用户名和密码。没错,密码都是以小黑点显示的。但是,如果你点击一下,就会发现在密码后面出现了“显示”二字,点击它,你就能看到密码了。就是这么简单。

  Google 的天才工程师竟然也会犯愚蠢的错误!等等,等等,这样明显的安全漏洞不可能是错误,应该是一种功能吧?恭喜你猜对了。因为 Chrome 安全主管说,这的确是故意的,而且他们不打算做出什么改变。

  软件开发者 Elliott Kember 在博客上撰文提到了这个问题,在他看来,Chrome 保存密码的策略是疯狂的。每次他向懂技术的人反映这个问题,得到的答复是这样的:

  用 1Pass

  当别人直接接触到计算机的时候,它已经不安全了

  密码管理就应该是这个样子的

  问题是,普通用户并不知道密码是这样保存的。

  找一个不懂技术的人。借用他们的电脑。访问 Chrome://settings/passwords,然后在密码行那里点击“显示”,看看他们会怎么说。我打赌他们不会说,“密码管理就是这个样子的。”

  Elliott Kember 的文章在 hackernews 上获得了很大关注,于是 Chrome 安全主管 Justin Schuh 也来回复了。

  他说,Elliot Kember 完全是小白用户的看法,他们花费了多年的时间考虑这个问题,并且有大量的数据支持这个决定,在他看来,如果有人入侵了你的系统用户账号,即使再多的安全措施也是无用的。密码加密的想法虽然出自好意,但是 Chrome 团队不想给用户安全的错觉或者鼓励危险的行为。那不是他们处理安全问题的方式。

  啊?

  “安全的错觉”?难道普通用户会去设置里了解明文保存的事实么?如果 Chrome 明确提示说“密码会以明文”保存,或许用户不会有“安全的错觉”,但在没有更多提示的情况下,用户反而会产生“安全的错觉”吧。另外,根据 Google 工程师的逻辑,一旦坏人进了你的家门,所有的东西都有危险,所以任何柜子都不要加锁么?古怪的逻辑,而且在现实中,安全问题一定是来自专业黑客么?

  我们不知道 Google 的天才工程师是否会改变想法。但是,如果你注重安全问题的话,赶快把保存的密码全部删除,然后在 Chrome 提示你保存密码的时候,点击“否”吧。

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (1)
雪    币: 197
活跃值: (16)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
我也看到了,其实现在主流浏览器都是这种加密方式,调用Windows API函数CryptProtectData,如果能登录系统就自动解密了。
其实Chrome学FireFox就好,加个主密码什么的就够了。
2013-8-11 17:58
0
游客
登录 | 注册 方可回帖
返回
//