chrome 浏览器竟然是明文保存密码。。。

刚刚学会 markdown 语言，本来在预览。。。准备调下样式的，手抖点到发布上去了。。奇怪的排版请 v 友们勿怪

善用站内搜索

查看密码是要输 windows 密码的

不用搜索了，直接给你那个帖子的结论:
总有刁民想害朕

/t/265757 今天无意间发现的，在 chrome 的密码管理器里面，可以直接看到原始的保存的密码！
/t/78555 在 Chrome 浏览器中保存的密码有多安全？

keepass 作为密码管理软件挺好的

一直都是这样的哦

不知道是不是我的错觉，如果换成国产浏览器势必会被喷成翔。建议以后此类标题不要指明具体产品，按照：“某浏览器保存密码竟然是明文的”，这样才能看出大家真实的想法：）

@beingbin +1

这个是个很老的东西了。这个是谷歌的官方解释： https://productforums.google.com/forum/?hl=en#!category-topic/chrome/give-feature-feedback-and-suggestions/k6JmRoGJp5w

我仔细理解了一下全文，是不是可以这样理解：

“ keepass 和 chrome ，两者保存的密码都可以恢复出明文，而前者借助独立主密码，后者沿用 OS 的用户登录密码”

那我觉得 2 者在安全性上没什么区别啊，我的设备如果都能被物理接触并登录进去了，还有什么安全性可言，

什么杀毒都给你关掉，什么键盘记录都给你安上不就好了。

@echo1937 谷歌保存的密码还，在 passwords.google 还可以用谷歌账户的密码查看，安全性应当是不如 keepass 的

@Trim21 keepass 没有云端功能吗？我记得不是有些密码软件都有多平台同步功能的吗？

@echo1937 keepass 可以 Webdav 或者直接 SkyDrive Google drive 啥的

但无论用什么加密，在登录口 post 数据的时候都得是明文

你能看到明文不代表是明文保存的好吗？

@frqk
@chineselittleboy
@SourceMan
@paloalto
@wevsty
@Trim21
@echo1937
@VmuTargh
我一开始很奇怪，你们都在说什么啊。。点进帖子才知道有人发过了。。我是今天突然直接看到了浏览器保存的密码，就想着上 v 站来吐槽一下，另外你们都是推荐的都是用 keepass 么，我在 chrome 应用商店搜索了下，评分不怎么高啊
@nolo 我看了下官方的回复。这不是扯淡么，你多加一层保护总比直接明文要好点吧。
@beingbin 有可能。但是我觉得吧，虽然咱不怎么用国内的浏览器，也没必要去贬低他们吧 。

@yangqi 哦，可能是我表述的不太客观，我的意思是只要在我的电脑上就可以直接看到明文密码。

再也不用 Chrome 了

不保存明文怎么提交给网站。。。。

如果不是明文，又是不可逆的，那自动表单填充怎么办？如果可逆的，你点开查看验证权限只给看密文？这是没看谷歌官方说明自己理解的。

搞个大新闻，哈哈

要用当前 windows 用户的密码才能看到，反正我的是这样的

这么说来，所有密码管理器都是“明文”

@lwjcjmx123 chromeIPass - 4 星 727 个评分, CKP - 4.5 星 306 个评分

楼主举个不明文存密码的例子，按照你的规则

理论上是需要系统账户密码的，然而自动填充 ***** 后，审查元素 改下 input 的类型，就变成明文了

登录谷歌账户，可以在云端看到你 chrome 存储的所有明文密码
与其担心自己浏览器，倒不如给自己的 google 账号开启二步验证

看了 LZ 的回复，还在说什么“多加一层保护”“直接明文”，只能你根本就没有理解楼上那些人在说什么。在说什么。

= =，就算不是明文，最后填在网页上的时候仍然是明文，你改一下 type 为 text 就可以看了

@lwjcjmx123 chrome 存储的密码是有加密的。它是用你的系统密钥加密的。如果你设置了开机自动登录，你看密码的时候， chrome 会让你输入系统密钥。如果你把你的密码文件放到别人的电脑上是打不开的。 chrome 认为安全是整体上的。

打死不用 windows 和 chrome 了
来自__谷歌浏览器 53.0.2785.80 beta-m (64-bit) WIN10 的 x64 版本

不管是哪个密码管理器，在查看或输入时密码都是明文的，存储时才是加密的。保管好自己的电脑吧。

又是来推销密码管理软件的？

行行行，我买还不行吗

lastpass 居然直接能够看到明文密码！！！辣鸡，说好的“ PBKDF2 SHA-256 和加盐散列值执行了 AES-256 位加密”呢？

记得很久以前谷歌对此的解释是，如果攻击者已经能获得你的电脑的进入权限了，那密码明文还是加密已经没有意义了。

你可以选择不保存

你还不如吐槽中国移动的通行证用的是明文密码.......

看了下不是之前洋葱发的，就不喷了
hehe XD

如果不是可逆加密的话你登录的时候怎么提交给网站?

大惊小怪

太好了 说不用 Chrome 的都可以 Block 了

我脑中存储的密码居然是明文！假如别人胁迫我说出岂不是什么都泄露了？以为人脑这么复杂总会有点加密措施吧。。。现在不敢用大脑记密码了。。。

chrome 设置单独的同步密码后，在 passwords.google 是查看不了密码的

。。。那估计没什么密码软件你可以用了， 1Password 还能看到密码，居然还能看到我以前的密码，太可怕了。。。
iCloud KeyChain 居然也可以。。。

其实这个还是挺科学的
1.能拿到你电脑那一刻本来就已经不安全了
2.就算加密存储在本地终究每次登录都要召唤出原文来，加密了也没什么意义

你电脑都被物理接触了，就不要提安全性问题了。

你给我举一个同类型的软件不使用明文密码的例子

@beingbin 好像大多数国产浏览器也是明文保存的

咋不说火狐的连 windows 密码都不用输入就可以查看保存的密码

Windows 登录密码就被楼主直接忽视了?

选择一律不保存即可

> We encrypt your saved passwords on your hard disk. To access these passwords, someone would either need to log in as you or circumvent the encryption.

所以说确实是加密保存的，只不过作为一个登录了的用户，去查看的时候它会自动解密显示出来……
而楼主可能想要的就是帖子里说的“ master password ”，像密码管理器那样，想看到主界面要先输入一次主密码？

看热闹不嫌事儿大，来来来，戳这里，挨个双击试试：
http://www.nirsoft.net/password_recovery_tools.html

这么好用的功能，非要被你大惊小怪的

取现一定要用手机关联, 重要的网站一定要设置谷歌验证码,尽量减少有资金在里面的网站. 支付宝\微信里的钱都要安全设置一下,定期更改密码

不点击垃圾邮件,不随意注册网站

记得有个软件可以不需要输入管理员密码就可以读取到保存的密码

1 、 LZ 以为看到的密码是明文的 ，所以密码就是以明文方式储存的。

2 、你看到明文的密码是因为密码通过"Windows 用户密码校验"后被解密还原成了明文。

3 、任何保存密码的软件 最终都需要还原成明文，你才能得到原始密码。


如果加密了还原不了明文你还存个蛋啊。。。密码直接丢失了

电脑都丢了，管理员密码都别别人知道了，然后怪 chrome 没给你保密。

好像有一个叫 Chromepass 的软件不用验证 Windows 密码直接查看 Chrome 保存的密码。

这是来讲笑话活跃气氛还是来推销软件的

一个机器物理上都不能保证安全，还想让里面的内容保证安全？就是 RSA ，只要有人想真想弄，不也就是几十年的事儿嘛，更何况现在 CPU+GPU 速度越来越快了

我觉得楼主是之前那个智障营销卖自己加密软件的人派来的……

@yangqi @mcone @nicevar @soland @Lucius

总有刁民想害朕 +1

结果大家讲了半天你依然认为 chrome 这是明文保存密码。
你可以把 Login Data 复制到别的电脑去看看能不能解的开密码。里面 url 和帐户名都是明文哦

互联网的精神本来就是自由的，有自己的想法 这个态度是对的。

但是 LZ 通过正确的态度表达出来的观点（ Chrome 保存的是明文密码） 是错误的。

"我觉得 Chrome 保存密码不安全，所以我不想用 Chrome 了" 这个完全正确 没有错误，你喜欢用什么是你的自由。




"我听别人说 Chrome 保存了明文密码，所以 Chrome 就是保存了明文密码。所以是不安全的" 这个就是错误的了


LZ 你想表达的是哪一种观点？

某个版本以前的 chrome 是明文保存的，后来加密了。因为缺乏安全感的傻逼太多了。

事实上 google 说的没错，能接触到你的物理机，说明你的数据已经无法保证安全了。

就算保存加密了，只要用 chrome 打开保存密码的网页，就能在表单里看到密码明文了。加密有个卵用

输入系统密码查看密码这个很好的 有的时候密码忘记 就去里面看下

Chromepass 不用验证 windows 登录密码就能查看 Chrome 保存的密码，而且还支持命令行调用保存到文本中。想象一下某个软件捆绑 Chromepass ，然后隐藏运行获取密码后上传...

所以确实不安全啊。

已添加到 RECOMMENDED_BLACKLIST_FOR_V2EX

自己电脑没设密码系列

电脑丢了随便用个 PE 都能改管理员密码，好不安全啊

不明文的，怎麽在面上使用？

@Perry 洋葱是个啥？

Chrome 方面之前就这个问题解释过（非官方）：“主密码提供了一种虚假的安全感，保护敏感数据的最可行保护方式是要取决于系统的整体安全性。”

@Perry
>>> 看了下不是之前洋葱发的，就不喷了 ,hehe XD

你不怕这贴是我小号发的吗？

@Dexter0 服 大写的服

大哥，加密了你的密码还能用么，这是作为客户端保存的啊，不同网站传输密码的方式不一样又没有一个标准当然只能这么做啦，如果你害怕泄漏就不要选择让 chrome 保存密码

@1OF7G 卧槽，还能这样直接看明文呀。。。看来电脑真不能随便给人用

@tmplinshi
最近发现 edge/firefox 可以不需确认直接导入 chrome 密码，才了解到 chromepass。
那就是说 只要软件想做，可以直接拿到所有密码哎。。。应该是这个意思吧

@tghgffdgd 小白问一下。chromepass 之类的软件可以直接看密码，那是不是说只要其他软件集成了 chromepass 的功能，就可以直接拿到明文密码并上传啊

@ahhui
小白问一下 chromepass 之类的软件可以直接看密码，那是不是说只要其他软件集成了 chromepass 的功能，就可以直接拿到明文密码并上传啊

@dmv2e 是的。很多恶意软件都会读浏览器保存的密码

@ahhui 靴靴

多虑了，谷歌保存的肯定是多重加密过的串，你查看的只是经过浏览器解密后的～