V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
Inzufu
V2EX  ›  问与答

谷歌新的密码管理器安全吗

  •  
  •   Inzufu · 316 天前 via Android · 4711 次点击
    这是一个创建于 316 天前的主题,其中的信息可能已经有所发展或是发生改变。
    最近看到谷歌好像把原来基于 Chrome 的密码同步工具改成基于 Google 账号了,并且在安卓上也有了比 1password 更完整的自动填充功能,想问一下现阶段使用这个工具保存密码安全吗,还会出现之前的安全问题吗。
    39 条回复    2024-04-01 19:36:50 +08:00
    Sosocould
        1
    Sosocould  
       316 天前 via Android   ❤️ 1
    啊?之前出过什么安全问题
    SenLief
        2
    SenLief  
       316 天前   ❤️ 1
    有端对端加密
    Inzufu
        3
    Inzufu  
    OP
       316 天前 via Android
    @Sosocould 之前不是说 Chrome 的密码管理器在本地明文存储导致被恶意程序直接读取吗
    HXHL
        4
    HXHL  
       316 天前 via iPhone
    就算他安全,用起来体验也不如 1Password ,建议 1P
    Inzufu
        5
    Inzufu  
    OP
       316 天前 via Android
    @HXHL 用了三年多的 1password ,主要是不太想续费了。
    aulayli
        6
    aulayli  
       316 天前   ❤️ 1
    安全,相信 Google ,全球那么多 Chrome 用户,你想到的安全问题 Google 都会想到的。
    HXHL
        7
    HXHL  
       316 天前 via iPhone
    @Inzufu 我在试过世面上所有密码管理后选择了 1P 。1P 的 UX 确实是做的最好的,我觉得虽然有点贵,但是是值得的,对程序员应该不会超过一天的工资。
    jucelin
        8
    jucelin  
       316 天前   ❤️ 3
    刚刚试了 chrome 121 版本,依然可以直接导出,明文
    工具 https://github.com/moonD4rk/HackBrowserData
    sky96111
        9
    sky96111  
       316 天前 via Android   ❤️ 4
    非常不安全,与之前一样,本机程序可以随意读取,从某种意义上说安全性甚至不如记事本明文。
    记事本明文至少恶意程序不知道文件在什么位置,保存的是什么网站的帐号密码。而谷歌密码管理器固定路径、密钥可随意获取、标准的网址用户名密码的键值对映射,受到恶意程序入侵损失极大
    234ygg
        10
    234ygg  
       316 天前
    除了 safari ,其他都一样(拉垮)
    yggd
        11
    yggd  
       316 天前
    非常不安全,怕功能过几年就被砍了
    yumusb
        12
    yumusb  
       316 天前
    弃用了 chrome 自带的 改为使用 bitwarden
    Goooooos
        13
    Goooooos  
       316 天前
    软路由自建了个 vaultwarden
    a1b2c3T
        14
    a1b2c3T  
       316 天前 via iPhone
    我把重要密码在 notion ,本地都备份了一遍😂加上 chrome 自动保存的应该万无一失了吧
    june4
        15
    june4  
       316 天前
    chrome 本机明码,我只保存无关钱的网络帐号。
    否则我本机上装的成千上万个 npm 和 python 包,相当于对这无数人放开大门。
    firefox 就有 master password 可以防止这类情况。
    titanium98118
        16
    titanium98118  
       316 天前
    用 keepass ,数据掌握在自己手里
    lisonfan
        17
    lisonfan  
       316 天前   ❤️ 1
    @Inzufu #5 在土区通过 1Password 7 来订阅,每年仅需 RMB 50 出头
    forQ
        18
    forQ  
       316 天前
    有一次 chrome 自动升级后,把保存的所有密码搞没了,这下倒是安全了
    securityCoding
        19
    securityCoding  
       316 天前
    bitwarden 伺候
    bclerdx
        20
    bclerdx  
       316 天前 via Android
    及时更新 Chrome 浏览器就对了。
    bclerdx
        21
    bclerdx  
       316 天前 via Android
    @jucelin 收藏。
    geew
        22
    geew  
       316 天前
    @forQ 遇到过 莫名其妙 所有的密码全没了 人都傻了....
    52boobs
        23
    52boobs  
       316 天前 via Android
    可以用 kepass 系列,把文件存在各种网盘里就行,只要你密钥设置复杂一点就没问题。
    nekoneko
        24
    nekoneko  
       316 天前
    自建 vaultwarden + 数据备份
    forQ
        25
    forQ  
       315 天前
    @geew 握个手
    kulous
        26
    kulous  
       315 天前
    明文保存,不管有没有出事,我也觉得不安全。bitwarden 手机上也能很好自动填充了
    Nile20
        27
    Nile20  
       315 天前
    不安全,默认情况下运行在你的 Windows 上的的程序都可以直接获取到这些数据。Google 也许是基于“设备不安全时无法保证真正的安全”,但是我觉得哪怕只前进了一步也是好的
    bkmi
        28
    bkmi  
       315 天前 via Android   ❤️ 1
    @aulayli Chrome 的密码保存在本地加密的 sqlite 中,密钥明文保存在本地文件里,只要你登录进系统后任何程序都能读取。你想到的安全问题,Google 不屑于做。没必要盲目相信 Google
    https://www.v2ex.com/t/872745
    MakizonoFY
        29
    MakizonoFY  
       315 天前
    退一步讲,就算数据泄露了,还能跑到大陆来给你真实了不成😅
    flexbug
        30
    flexbug  
       315 天前 via iPhone
    自建 vaultwarden ,手机使用 bitwarden
    joyqi
        31
    joyqi  
       315 天前   ❤️ 1
    Google 的这类非核心业务,你更应该关注它是不是会有一天突然就关停了
    nothingistrue
        32
    nothingistrue  
       315 天前   ❤️ 1
    只要还跟浏览器自动填充挂钩,那你不用(手填)主密码它就是明文,你用了(手填)主密码它就没办法同步,即明文保存跟同步是互斥的。谷歌前车之鉴太多了,没事别给自己找麻烦。
    flyhaozi
        33
    flyhaozi  
       315 天前   ❤️ 1
    不好说,反正我 Edge 的 300 条密码是全都泄露了,不知道是中了木马还是有恶意扩展,现在用年费$54 的服务,只有它能把暗网泄露的密码都扫出来,haveibeenpwned 都不太行

    work220602
        34
    work220602  
       315 天前
    不敢用
    flyhaozi
        35
    flyhaozi  
       315 天前
    @MakizonoFY 如果里面存了国外常用社交平台的密码,被拿过去发垃圾广告然后永封不给解封也是很恶心的,我有个 X 号就是这样没的,连关注、点赞列表都不给看了
    frankilla
        36
    frankilla  
       275 天前
    @flyhaozi 太真实了,所以 chrome+edge 的密码管理全部删除+关闭。
    acc001
        37
    acc001  
       261 天前
    @jucelin 老哥, 这个软件我刚下载,直接 360 压缩报毒, 你这里 ok 吗 ?
    jucelin
        38
    jucelin  
       261 天前
    @acc001 #37 是的,win 自带的杀毒软件也报毒。我从 github 下载的,理论上信任它。
    acc001
        39
    acc001  
       260 天前
    @jucelin 我下载了另外一个工具, 只能读 chrome ,的确都是明文
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5467 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 08:48 · PVG 16:48 · LAX 00:48 · JFK 03:48
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.