Chrome 超愚蠢的密碼保存策略,任何人不需要駭客技巧就可以看到

Chrome 超愚蠢的密碼保存策略,任何人不需要駭客技巧就可以看到

ASUS ExpertWiFi EBR63

建議售價(約): NT$4,690

重點規格

  • 網路技術標準:IEEE 802.11a/b/g/n/ac/ax、IPv4、IPv6
  • 無線傳輸等級:AX3000(2402+574Mbps)
  • 運作頻率:雙頻(5GHz/2.4GHz)
  • 天線:外部天線 ×4
  • 記憶體:256MB Flash、512MB RAM
  • 乙太網路接口:1G WAN×1、LAN×4
  • 擴充接口:USB 3.2 Gen1×1、USB 2.0×1
  • 重量:436g

優點

  • 具備雙 WAN 功能,能搭配手機行動網路進行備援
  • 透過手機 App 即可完成常用設定,並檢視即時網路運作狀態。

缺點

  • 造型簡約,擺在店內亦不會過於干涉店面裝潢風格
  • 但也不算太好看

評分

Google 的 Chrome 瀏覽器現在全世界有非常多的使用者,它也有很好的擴充性和良好的機能。但是也許你不知道,Chrome保存你登入網站的密碼,居然是用明碼保存,任何人不需要駭客技巧就可以看到。而且,他們並不打算有任何的改善。

Chrome 超愚蠢的密碼保存策略,任何人不需要駭客技巧就可以看到

圖片來源

在登入各種網站的過程中,我們常常會使用不同的用戶名和密碼,這會造成記憶上的負擔。如果你是 Chrome 用戶,在登入新網站的時候,會看到它保存密碼的提示,並且很可能點了「確定」。這樣做的話,你可以自動登入各種網站,而且在不同的電腦同步,真的非常方便。不過,你是否考慮過安全問題?

或許你會想,Google 一定把密碼加密後保存在系統之中了吧,或者乾脆就是保存在雲端。如果是這樣,準備震驚一下自己和小夥伴們吧。現實情況是,Chrome 並沒有給你的密碼加密,更可怕的是,任何一個人都能夠看到你的密碼,無需任何駭客技術。

進入「設定」,選擇「密碼和表單」,點擊「管理系統儲存的密碼」,(或者直接在Chrome上輸入 Chrome://settings/passwords),你會發現自己保存的所有用戶名和密碼。沒錯,密碼都是以小黑點顯示的。但是,如果你點擊一下,就會發現在密碼後面出現了「顯示」二字,再點擊它,你就能看到密碼了。就是這麼簡單。

Chrome 超愚蠢的密碼保存策略,任何人不需要駭客技巧就可以看到Chrome 超愚蠢的密碼保存策略,任何人不需要駭客技巧就可以看到

Google 的天才工程師竟然也會犯愚蠢的錯誤!等等,等等,這樣明顯的安全性漏洞不可能是錯誤,應該是一種功能吧?恭喜你猜對了。因為 Chrome 安全主管說,這的確是故意的,而且他們不打算做出什麼改變。

軟體發展者 Elliott Kember 在部落客上撰文提到了這個問題,在他看來,Chrome 保存密碼的策略是瘋狂的。每次他向懂技術的人反映這個問題,得到的答覆是這樣的:

  • 用 1Password
  • 當別人直接接觸到電腦的時候,它已經不安全了
  • 密碼管理就應該是這個樣子的
  • 問題是,普通使用者並不知道密碼是這樣保存的。

找一個不懂技術的人。借用他們的電腦。連結 Chrome://settings/passwords,然後在密碼行那裡點擊「顯示」,看看他們會怎麼說。我打賭他們不會說,「密碼管理就是這個樣子的。」

Elliott Kember 的文章在 hackernews 上獲得了很大關注,於是 Chrome 安全主管 Justin Schuh 也來回復了。

他說,Elliot Kember 完全是小白用戶的看法,他們花費了多年的時間考慮這個問題,並且有大量的資料支援這個決定,在他看來,如果有人入侵了你的系統使用者帳號,即使再多的安全措施也是無用的。密碼加密的想法雖然出自好意,但是 Chrome 團隊不想給用戶安全的錯覺或者鼓勵危險的行為。那不是他們處理安全問題的方式。

啊?

「安全的錯覺」?難道普通用戶會去設定裡瞭解明文保存的事實麼?如果 Chrome 明確提示說「密碼會以明文」保存,或許用戶不會有「安全的錯覺」,但在沒有更多提示的情況下,使用者反而會產生「安全的錯覺」吧。另外,根據 Google 工程師的邏輯,一旦壞人進了你的家門,所有的東西都有危險,所以任何櫃子都不要加鎖嗎?什麼奇怪的邏輯啊,而且在現實中,安全問題一定是來自專業駭客嗎?

我們不知道 Google 的天才工程師是否會改變想法。但是,如果你注重安全問題的話,趕快把保存的密碼全部刪除,然後在 Chrome 提示你保存密碼的時候,選擇「否」吧。

Chrome 超愚蠢的密碼保存策略,任何人不需要駭客技巧就可以看到

ifanr
作者

ifanr依托於中國移動互聯網的發展大潮,用敏銳的觸覺、出色的內容,聚焦 TMT 領域資訊,迅速成為中國最為出色的新銳科技Blog 媒體。

使用 Facebook 留言
nike
21.  nike (發表於 2013年8月09日 10:35)
※ 引述《Peter J.》的留言:
> 我向來都有離開座位就 win + L 的好習慣,這根本不是問題
> (≧▽≦)
這才是正解。
人都到金庫裡了,用報紙包錢裝腔有用嗎?
收銀機都打開了,再用個小保險箱裝錢有用嗎?

觀念會害死人,這裡你的電腦才是金庫,你的電腦才是收銀機!
Hank
22.  Hank (發表於 2013年8月10日 10:13)
很聳動的文章。
Google如果有錯,是錯在沒有提供工具防君子盜用(身邊的人)。但OS已有設計user account密碼了啊
kutark
23.  kutark (發表於 2013年9月17日 19:10)
我沒這個問題
我的密碼早就記在我腦袋了
說真的遇到有心人要破密碼
你要防也防不住好嗎
陳竹竿
24.  陳竹竿 (發表於 2015年8月13日 23:13)
說真的, 我認為即使是電腦本身設定登入密碼沒多大意義.
電腦關機以後, 硬碟完全是裸露的, 不用輸入密碼也能進去所有目錄翻閱.
不知道是效能考量還是什麼原因, Linux 和 Windows 都一樣.
所以我的電腦資料都另外加密 (cryptsetup), 有需要存取時才解密.

其實我覺得比較正式的作法是定期, 頻繁的更換密碼.
密碼本身就跟垃圾一樣, 不能保證永遠是 "不受污染的".
問題就是我自己的記憶力很大程度限制這種習慣的可能性.

我在想, 也許我們不用去背密碼, 而是自己創造一種自己喜歡的密碼公式, 方便定期更換密碼.
密碼就跟消耗品一樣, 定期一直更換. 這樣才能保證 "未受污染" 和 安全.

以上個人偏見.
發表回應
謹慎發言,尊重彼此。按此展開留言規則