V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
工单节点使用指南
• 请用平和的语言准确描述你所遇到的问题
• 厂商的技术支持和你一样也是有喜怒哀乐的普通人类,尊重是相互的
• 如果是关于 V2EX 本身的问题反馈,请使用 反馈 节点
loading
V2EX  ›  全球工单系统

密码管理器用户小心, MIUI 内置搜狗输入法会一直保持剪贴板内容

  •  
  •   loading · 2018-11-27 14:41:12 +08:00 via Android · 13567 次点击
    这是一个创建于 1948 天前的主题,其中的信息可能已经有所发展或是发生改变。
    enpass 使用复制到剪贴板后,到粘贴的位置是,搜狗输入法会帮你把打*的密码显示出来……
    然后它的剪贴板工具会帮你一直保留剪贴板内容。

    搜索后,发现已是内置输入法,不能设置它的权限了。
    第 1 条附言  ·  2018-11-27 15:28:21 +08:00
    当然不只是密码哦,这个涉及到隐私问题。你复制了一个羞羞网址,以为再复制一个东西就行了?不好意思,看看输入法剪贴板就知道了,特别是手机突然被抢的时候,哈哈。
    第 2 条附言  ·  2018-11-27 21:46:48 +08:00
    有很多安卓软件都会从系统剪切板复制一份到自己所谓的剪切板管理。

    剪切板权限堪忧!
    50 条回复    2019-02-27 12:28:37 +08:00
    Greenm
        1
    Greenm  
       2018-11-27 14:51:18 +08:00
    1password 在设置里面可以设置自动清除粘贴板,enpass 没有这个功能吗?
    lastpass
        2
    lastpass  
       2018-11-27 14:57:19 +08:00 via Android
    可以用用我 ID 的在线密码管理工具。╮( ̄▽ ̄)╭
    手机 pc chrome,firefox 均有插件。
    直接自动填充。
    复制到剪贴板?不存在的
    loading
        3
    loading  
    OP
       2018-11-27 14:57:45 +08:00 via Android
    @Greenm 有啊,系统剪贴板是被清除了,输入法那个它是复制方式的假剪切板…
    cskeleton
        4
    cskeleton  
       2018-11-27 14:58:33 +08:00
    复制到剪贴板的肯定是明文了。

    我看了我的 MIUI 10,我把自带的输入法都删掉了,装了 Gboard,密码输入框弹出来的是“小米安全键盘”。
    huclengyue
        5
    huclengyue  
       2018-11-27 15:00:34 +08:00 via Android
    为什么要说 MIUI。其他系统的输入法不会吗。只要带剪贴板功能的输入法都有这个问题吧🙄
    loading
        6
    loading  
    OP
       2018-11-27 15:01:17 +08:00 via Android
    @lastpass 我想问一下你,app 的密码呢。别扯开话题了。
    总有要使用复制功能的时候。
    enpass 的自动填写我也是常用的。
    loading
        7
    loading  
    OP
       2018-11-27 15:04:49 +08:00 via Android
    @huclengyue 因为我就是 miui 用户,其他的我才不知道呢。
    heheh
        8
    heheh  
       2018-11-27 15:06:43 +08:00
    凡是有剪贴板管理器的输入法都有这个问题,把输入法剪贴板功能关闭就行了.
    yukiww233
        9
    yukiww233  
       2018-11-27 15:09:49 +08:00
    输入法不是根本问题,只要复制到剪贴板了,其他任意 app 照样可以监听并读取到密码
    leaves7i
        10
    leaves7i  
       2018-11-27 15:15:25 +08:00 via Android
    appops,xprivacy 请。(最好的解决方法是只用键盘自动填写)
    Greenm
        11
    Greenm  
       2018-11-27 15:16:14 +08:00   ❤️ 1
    意思就是输入法自带的粘贴板会复制并保存所有的复制内容是吧,如果是这样的话感觉风险挺大的。

    另外 iphone 在密码输入框自动填充的时候好像不是直接复制粘贴,我自动填充登陆后无法复制填过的密码,只有手动复制的才会影响,miui 的系统也是这样吗? 如果自动填充的也能被复制出来,那这个影响相当严重了。
    loading
        12
    loading  
    OP
       2018-11-27 15:16:29 +08:00 via Android
    @heheh
    @yukiww233 我知道复制到剪贴板带来的问题!

    我发出来是知会各位,还有,搜狗和 QQ 输入法我没找到关闭剪贴板管理的开关…
    7654
        13
    7654  
       2018-11-27 15:16:53 +08:00
    我自用的一个,借了 Autohotkey 来输入密码
    cjpjxjx
        14
    cjpjxjx  
       2018-11-27 15:18:04 +08:00 via iPhone   ❤️ 1
    我一直觉得剪贴板权限太开放了,什么软件都能读取,是一个安全隐患,就不能像位置权限那样?用户允许之后才能读写?
    loading
        15
    loading  
    OP
       2018-11-27 15:26:03 +08:00 via Android
    @Greenm enpass 也有自动填充,应该是类似物理键盘的接口。而复制到剪贴板,难免会使用,目前看来,挺吓人,并不是自动清了就清了。

    @7654 手机有 ahk?
    7654
        16
    7654  
       2018-11-27 15:29:06 +08:00
    @loading #15 没有,我只关注到了剪切板,没看到是手机
    agagega
        17
    agagega  
       2018-11-27 15:32:35 +08:00
    iOS 复制完密码可以有时限,过多少秒之后剪贴板自动清空,不知道安卓上密码管理器有没这个功能
    ooooo
        18
    ooooo  
       2018-11-27 15:33:43 +08:00
    心思很细腻
    这都被你发现了
    loading
        19
    loading  
    OP
       2018-11-27 15:34:20 +08:00 via Android
    @agagega 密码管理器会清系统剪贴板?但是输入法内置的所谓剪贴板管理,似乎是自己内置的。密码管理器清不掉。ios 输入法应该没这种事吧?
    xgfan
        20
    xgfan  
       2018-11-27 15:35:14 +08:00
    Android 上几乎所有输入法都有这个问题。
    毕竟这个功能还挺好用的。233333
    loading
        21
    loading  
    OP
       2018-11-27 15:36:26 +08:00 via Android
    @xgfan 谷歌拼音这个残疾没有,233
    loading
        22
    loading  
    OP
       2018-11-27 15:38:10 +08:00 via Android
    @agagega 密码管理器知会清空系统剪贴板。

    上一个回复,因为刚换了输入法,打成问号了…
    dbw9580
        23
    dbw9580  
       2018-11-27 15:38:23 +08:00 via Android
    为什么要用剪贴板复制密码呢?支持自动填充框架的应用可以直接自动填写,不支持的和浏览器网页里的表单可以用密码管理器的安全键盘,keepass 的键盘很好用啊
    loading
        24
    loading  
    OP
       2018-11-27 15:42:55 +08:00 via Android
    @dbw9580 嗯,我发现这个问题是在我要给别人贴网址的时候,当然还有密码了。
    能直接发的密码也不会太敏感。

    如果不是要复制一下,还真的不知道…
    liuyanjun0826
        25
    liuyanjun0826  
       2018-11-27 15:45:45 +08:00
    ubuntu+全网 ss 后应该就不会有问题吧
    iwtbauh
        26
    iwtbauh  
       2018-11-27 15:48:10 +08:00 via Android   ❤️ 1
    adb shell appops set 包名 READ_CLIPBOARD ignore

    禁用读剪贴板权限
    loading
        27
    loading  
    OP
       2018-11-27 15:51:25 +08:00 via Android
    @iwtbauh 回家试一下。
    btw:建议下次这种,紧跟着写上恢复的命令。
    agagega
        28
    agagega  
       2018-11-27 16:05:39 +08:00
    @loading iOS 自带输入法当然不会搞这些幺蛾子,但是剪贴板随便一个 App 都能读写。我的意思是在密码管理器里点击复制密码(不是自己选择密码然后复制)后,剪贴板会在 30s 或者一个什么时间后自动清空。不过我觉得还是自动填充靠谱点
    zjsxwc
        29
    zjsxwc  
       2018-11-27 16:08:20 +08:00
    还会备份哦,23333
    lastpass
        30
    lastpass  
       2018-11-27 16:54:36 +08:00 via Android
    回复 @loading 你可以试试 keepass 这款本地的密码管理工具。
    至于 app 的密码,→_→一般都是短信验证登录呀。短信验证码,手动输入。
    另外:你都看不惯内置的输入法了。为何不直接卸载掉呢?
    azh7138m
        31
    azh7138m  
       2018-11-27 17:02:52 +08:00
    @cjpjxjx 楼上推荐过 appops 了,我再推荐一次
    这个软件可以让你较为精确的控制每个 app 的权限,读写剪贴板这种都是可以单独拒绝的
    loading
        32
    loading  
    OP
       2018-11-27 17:05:59 +08:00 via Android
    @lastpass 我在用 google play 正版的 enpass。
    @agagega 密码管理器都会清系统剪贴板。我觉得就是输入法有点作恶了。
    Greenm
        33
    Greenm  
       2018-11-27 17:09:43 +08:00
    那么问题来了,桌面系统上的其他软件,如第三方输入法,粘贴板管理工具,会不会读取这些信息并上传呢?

    就我目前用 Alfred 来说,可以设置不保存 1password 的内容,我有防火墙,也没看到任何上传的操作。

    但其他软件,尤其是国产的,这个很值得担心。
    lastpass
        34
    lastpass  
       2018-11-27 17:21:37 +08:00 via Android
    回复 @Greenm 会上传,而且被抓住不是一次两次了(具体可以搜一搜)。
    之前不是有个笑话嘛。说你 QQ 密码忘记了,可以去找 360 要。
    手机上面可以去找找部分内置版本的输入法。不会进行联网。
    或者手动阉割联网权限 /防火墙拦截
    maplebridge
        35
    maplebridge  
       2018-11-27 17:23:46 +08:00
    严重同意 @cjpjxjx
    现在的剪贴板权限确实有点问题,包括 ios 也是,每次打开 pin 就是一堆支付宝的推广码,恶心的透透的
    580a388da131
        36
    580a388da131  
       2018-11-27 17:47:12 +08:00 via iPhone
    然而这个功能是 miui 用户要求开发的。。。
    iamlwl
        37
    iamlwl  
       2018-11-27 19:52:18 +08:00
    @huclengyue 要看这个输入法 /系统会不会单独保持剪贴板内容了
    iamlwl
        38
    iamlwl  
       2018-11-27 19:55:19 +08:00
    @cjpjxjx 要不然为啥苹果在 iphone4 (记不清了) 的年代才开放了剪贴板功能。。
    iamlwl
        39
    iamlwl  
       2018-11-27 19:58:35 +08:00   ❤️ 1
    @agagega 楼主说的是输入法自动吧剪贴板内容输入 /备份到某个文件中了,所以清空剪贴板是没用的,而且不止输入法,很多软件也会后台自动记录剪贴板的。。。
    huclengyue
        40
    huclengyue  
       2018-11-27 20:16:54 +08:00 via Android
    @iamlwl 基本 Android 的都会
    xml123
        41
    xml123  
       2018-11-27 20:53:42 +08:00
    uc 浏览器也会维护独立的剪贴板
    codehz
        42
    codehz  
       2018-11-27 22:13:53 +08:00 via Android
    Gboard 也会记录剪切板。所以谷歌加了了一个输入密码的 API(
    skylancer
        43
    skylancer  
       2018-11-28 10:15:42 +08:00
    内置 App 照样能设置权限,appops 了解一下?
    cyspy
        44
    cyspy  
       2018-11-28 11:06:00 +08:00
    系统剪贴板也会保存,搜狗还不需要背这个锅。即使 PC 上通常的做法也无非是过一会再用一堆*覆盖掉而已,用了剪贴板就没办法
    loading
        45
    loading  
    OP
       2018-11-28 11:43:33 +08:00 via Android
    @cyspy 密码管理器会去清一次的。
    LifStge
        46
    LifStge  
       2018-11-30 22:06:06 +08:00
    关键是剪贴板本来就是为了共享数据的 为安全为啥还要拷贝 或者说为啥还要安装某些软件呢
    Halry
        47
    Halry  
       2018-11-30 23:13:41 +08:00 via Android
    keepass for android 有键盘自动填写啊,复杂点罢了
    Bellaaa
        48
    Bellaaa  
       2019-02-27 12:06:50 +08:00
    不止小 MI,三桑用搜狗输入法复制 code,显示都是明文,改了其他输入法也是如此,看来要彻底卸载。。。
    Bellaaa
        49
    Bellaaa  
       2019-02-27 12:08:26 +08:00
    @loading 密码管理器设置里面的“ X 分钟清除剪切板”功能,是不是指 app 自带的。。。然而如果开启了输入法,密码管理器里面的剪切板是消除了,但是输入法的依然存在,还是明文,。。。???
    loading
        50
    loading  
    OP
       2019-02-27 12:28:37 +08:00 via Android
    @Bellaaa 密码管理器清的是系统的剪贴板,输入法那个是输入法自己的假剪贴板。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   1190 人在线   最高记录 6543   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 32ms · UTC 18:15 · PVG 02:15 · LAX 11:15 · JFK 14:15
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.