这是一个创建于 53 天前的主题,其中的信息可能已经有所发展或是发生改变。
之前重装系统有备份 C 盘,用 HackBrowserData 恢复并没拿到密码。。只有用户名和网址。。
 | 1 stinkytofux 53 天前 没拿到是好事, 至少证明 Edge 保管密码还是比较安全的. |
 | 2 BrightSphere 53 天前 via Android  1 没有登录微软账户吗,登录的话应该是存在云端吧 |
 | 3 ferock PRO bitw… 还是比较靠谱的 |
 | 4 geelaw 53 天前 3 每个新用户都有自己的 DPAPI 密钥,此密钥平时受用户的密码保护;建立新用户(包括新安装操作系统后建立用户)会生成新密钥;强行修改当前用户的密码(不知道旧密码的情况下)会导致旧密钥无法恢复; DPAPI 密钥可以备份还原,并且可以存在于域控制器中。 Edge 的密码是用 DPAPI 保护的,因此重装系统并且没有加域,即使建立同名账户,即使密码相同,即使把 AppData 里的数据复制过来,旧密码也无法读取。 不清楚 HackBrowserData 是否可以把保存的密码明文读出,理论上来说在原来的用户下当然可以,因为是原来的用户的身份。 用公式表示: EdgeSaved = Enc(key = user key, plaintext = Web password) InUserProfile = Enc(key = derived(Windows logon password), plaintext = user key) 每个新用户都对应一个不同的 user key ,所以朴素地重装 + 复制资料的结果是 Copy of EdgeSaved = Enc(key = user key 1, plaintext = Web password) New InUserProfile = Enc(key = derived(Windows logon password), plaintext = user key 2) 然而要读取保存的密码,需要的是 Enc(key = user key 2, plaintext = Web password) 或者 Enc(key = derived(Windows logon password), plaintext = user key 1) |
 | 5 avrillavigne 52 天前 看来得把 chrome 迁移了 |
 | 6 itechify PRO 这是好事,越早提醒自己,数据就得把握在自己手里,无论自建还是使用其他平台的密码管理器,都得做好多端备份 |
 | 7 xjzshttps/a> 52 天前 @avrillavigne #5 chrome 的密码、cookie 也是经过加密的。如 @geelaw #4 所言,也是经过了同样地 windows 账号加密。 登录 windows 账号后,第三方软件是可以解密浏览器保存的密码。但是如果 windows 账号未登录,至少 windows api 文档写的是不能解密。 |
 | 8 ST0RMTR00PER 52 天前 手机打开 Edge 看不到密码吗? |
 | 9 patrickyoung 52 天前 |
| 10 geelaw 52 天前 @patrickyoung #9 很有意思的信息,但是里面的内容表明 app-bound encryption 不过就是两层 DPAPI + 调用进程验证,所以 #4 大体还是对的,不过这次所有 EdgeSaved 都要再被 service user key (e.g., machine/SYSTEM key) 加密一次。 App-bound encryption 安全意义可以说没有,同等级进程可以随便注入,而且“打开文件”对话框里有无数个 shell extension 会自动启动。最大的作用大概是减少不理解安全模型的人反复制造无聊“新”闻。 |
Select Language