#1 - 2022-3-21 00:22
石原英里華(常盤るる) (遠致静寧)
在我使用Google时,我最喜欢的机能莫过于“同步书签”与“同步密码”功能。在任何网站进行登录时,在您的cookie不在有效期内时,Google提供的自动嵌入密码功能既简洁又完善。其实,以PC来说,Google将您的密码加密后保存在系统文件夹中——但其破译方法和密钥已经流传得十分广泛、不容得介绍其为具有安全性的密码管理器。
近日,我就因未知原因遭受了黑客的入侵。在我的Google账号内保存的密码——Facebook、amazon、outlook和其他含有资金交换流程的网站全部被攻陷。我不胜惶恐。幸而言之,大部分资金管理网站设置了2FA,我没有因此受到太多实际损失。但是已然被蛇咬,我开始不断地恐惧井绳。当您也有一日陷入此等危机的时候,请不要忘记以下建议。如果您从现在开始尝试改变,它一定有助于您防范未然。
#2 - 2022-3-21 00:31
石原英里華(常盤るる) (遠致静寧)
1、将Google相关浏览器内密码相关设置更改为“不进行保存”。
2、尽可能删除您在Google账号内存储的密码。
3、装载bitdefender、kaspersky等杀毒软件,当您不小心下载可疑文件时,它会助您删除。
4、使用密码管理器服务。最值得信任且可操作性最强的两款为:bitwarden与1password。我选用bitwarden,如果您希望查看更多对比评测,请参阅(https://www.cloudwards.net/best-password-manager   以及   Youtube上Pete Matheson的评测动画)。密码管理器要求您设置一项主密码,此密码一定不能与其他密码相似。
5、开启2FA、Google验证。(可选)选用Yubikey等硬体认证服务。
6、您将不再享有Google提供的最为便捷的嵌入密码的服务,但您能换来最为安全的账户。

请一定重视您的账户安全。
#3 - 2022-3-21 00:35
魔法使
惨,给楼主点根蜡烛。
#4 - 2022-3-21 00:42
NekoNull
补充,不止是 Chrome 系,基本上所有浏览器的自带的密码保存功能都仅仅是保存,保密性能可以忽略不计。
参见:https://github.com/moonD4rk/HackBrowserData
#4-1 - 2022-3-21 16:38
石原英里華(常盤るる)
骇人听闻!感谢指教!
#5 - 2022-3-21 00:44
keykun (努力努力!~)
pc端浏览器一直在用LastPass,挺方便的 (主要是免费
#6 - 2022-3-21 00:48
Aqua (@aqua@mstdn.moe)
最重要的是保证主机的安全,否则输入主密码的时候不也会被监听
#7 - 2022-3-21 00:54
dcfhft (热烈地迎接大崩溃的到来)
支持
#8 - 2022-3-21 00:56
夢回环℃ (『一言以蔽之,就是「爱」!』)
哈人。
#9 - 2022-3-21 01:04
飛龍 🇺🇸🇯🇵🇹🇼🇺🇦 (让我们远离冰冷的房间,亲自推动历史的进程。 ...)
编程随想没教过你们单点故障吗?(bgm39)
#9-1 - 2022-3-21 18:09
SeniY
说起来,我最早关于信息安全的知识,好像都是从他那里看来的。。
#9-2 - 2022-3-23 10:25
SORAGINKO
可不敢乱学
#9-3 - 2022-3-23 16:47
飛龍 🇺🇸🇯🇵🇹🇼🇺🇦
SORAGINKO 说: 可不敢乱学
就结果而言人家并没失败。
#10 - 2022-3-21 01:11
绯红の空 (ケ・セラ・セラ)
还好我够穷
#11 - 2022-3-21 01:18
Sam Toki (喜欢捣鼓电脑的萌豚)
表示不敢信任任何密码管理器,所有密码都是用脑子记(bgm38)
#11-1 - 2022-3-21 11:09
戀想占卜
密碼太多了,記不住
#11-2 - 2022-3-21 22:58
Krad
kisaki_ayame 说: 密碼太多了,記不住
想出一个万能后缀,比如大学的英文简称+纪念日期数字,这样堆叠就可以获得一个包含大小写字母和数字的有意义的后缀。之后每一个网站都有不同的简称或者你自己的代号,比如bangumi就直接bgm+万能后缀,这样你只需要记住网站简称就好了。
#12 - 2022-3-21 02:20
Ура! (每天祈禱小行星降臨)
🤯哈人
#13 - 2022-3-21 02:32
墨冷 (2023, 还能摆一年XD)
其实所有浏览器的密码记忆都是明文存储的... 不过可以试试KeePass之类的本地加密的密码数据库衍生还有KeePassX、KeePassXC, 然后把加密的数据库放到坚果云之类的WebDAV网盘方便用. 用本地的加密应该就可以了吧, 多电脑读取的话用WebDAV网盘. 加密很难破解, 只要避免有植入的病毒监听键盘输入就行了吧(其实威胁最大的还是厂商的数据大面积泄露, 以及数据的明文存储)
#13-1 - 2022-3-21 02:33
墨冷
像我的话就是一个平台一个密码, 常用的平台会定期(看心情)换密码, 自己设密码就是玩neta梗, 然后一串密码超长自己都记不住hhh
#13-2 - 2022-3-21 02:34
飛龍 🇺🇸🇯🇵🇹🇼🇺🇦
手机app已经可以做到放在电脑旁边根据手指按键距离不同而产生的波长不同来监听你的键盘输入内容了,类似的旁道攻击还有很多。
#14 - 2022-3-21 02:53
徒手开根号二 (nobody cares.)
chrome是明文保存嘛?完了一半密码存在chrome上;不过我每次访问他还是要我输入操作系统的用户密码啊。
#14-1 - 2022-3-21 16:36
石原英里華(常盤るる)
它们不是明文储存,但是加密的方式和PC的密码没有关联,此举可能是防止远程链接PC时的密码窥探。
#15 - 2022-3-21 03:06
白峰理沙 (hobbledehoyඞ)
几乎所有密码全靠bitwarden,但因为懒总是会用浏览器保存...
#16 - 2022-3-21 03:54
[已注销]
只有开源的keepassxc值得一用
#17 - 2022-3-21 04:33
Hilta (看到就请你自己在脑内来一段超摇滚的独奏。)
烂了,全存在google上了
#18 - 2022-3-21 05:35
祢祢祢祢子 (记性不好,看过就忘)
全在chrome上(bgm38)
学校邮箱啥的定期强制改密码真的记不住(bgm38)(bgm38)
#19 - 2022-3-21 06:54
c933103 (請注意UID)
Google帳號和Google Chrome?
#19-1 - 2022-3-21 16:37
石原英里華(常盤るる)
我的Google账号没有被获取,但是存储在PC上的chrome密码被盗取了。其中含有我的Google账号。
#20 - 2022-3-21 09:49
板砖加身 (宅男会虚构虚构老婆倒贴给虚构自己这件事究竟有什么错)
https://bgm.tv/group/topic/354791
#21 - 2022-3-21 09:52
超可爱的江江 (做一个好江江)
生活小常识之只要你的价值够低就没人会利用你
#22 - 2022-3-21 10:02
空刀鱼 (鱼刀空)
#13-2

都是电脑自动输入的还怕监听,顺便吧混淆开了
数据库用sha1后的字符串作为密码
lz说的bitwarden与1password,bitwarden自己搭建的还可以考虑,1password这种闭源联网的就算了
#22-1 - 2022-3-21 12:58
AWSL
很多人都有一种错觉,觉得自己搭的服务或管理的数据要比专业提供服务的公司更安全
#22-2 - 2022-4-4 05:44
工口卿
奇怪, 为什么我用KeePassXC就没找到这个功能... 说起来这俩之间的关系到底是啥我也没捋清楚, 貌似还有个keepassX来着...(bgm114)
#23 - 2022-3-21 10:11
牛马
你这说话怎么带个翻译腔
#23-1 - 2022-3-21 15:08
klion
哈哈哈
#23-2 - 2022-3-21 17:53
茉茉
+1
#23-3 - 2022-3-21 19:42
白峰理沙
+1
#23-4 - 2022-3-21 22:54
夙无囿
哈哈哈
#23-5 - 2022-3-22 03:39
光纽
+1
#23-6 - 2022-3-22 08:45
v仔💎
+1
#23-7 - 2022-3-22 13:38
Milost
+1
#23-8 - 2022-3-22 22:02
Limu铃梦
+1
#23-9 - 2022-3-23 13:56
三尖酸努努
+1
#24 - 2022-3-21 10:13
EBISUXX (还可以)
safari赢了(bgm108)
#25 - 2022-3-21 10:35
cheerio (編輯個性簽名)
根本不用
#26 - 2022-3-21 10:46
缇亚拉 (亡死来招会但人迷爱可然虽我。)
你说话像机翻,好几个帖子看你说话都这样,外国人?
#26-1 - 2022-3-21 11:02
invisible
也可能是隐私考虑,
将母语机翻外语再翻回来,说话风格就完全不能分辨了,
我知道一个自媒体这么干的,iyouport
#26-2 - 2022-3-21 13:21
镜子阁
确实是外国人的说话逻辑。
#26-3 - 2022-3-21 15:08
飛龍 🇺🇸🇯🇵🇹🇼🇺🇦
invisible 说: 也可能是隐私考虑,
将母语机翻外语再翻回来,说话风格就完全不能分辨了,
我知道一个自媒体这么干的,iyouport
iyouport还是有人为修正的,deepL 更自然些
#26-4 - 2022-3-21 16:41
石原英里華(常盤るる)
invisible 说: 也可能是隐私考虑,
将母语机翻外语再翻回来,说话风格就完全不能分辨了,
我知道一个自媒体这么干的,iyouport
不是隐私考虑(bgm39)
我的说话方式真的很奇怪吗?
#26-5 - 2022-3-21 16:44
缇亚拉
石原英里華 说: 不是隐私考虑
我的说话方式真的很奇怪吗?
你的说话方式像我看的那些翻译书,完全一样。
#26-6 - 2022-3-21 17:44
Pleiades
我觉得这种说话方式蛮好的(bgm38) 有逻辑,不容易引起混乱。
#26-7 - 2022-3-22 20:31
禁止左转
石原英里華 说: 不是隐私考虑
我的说话方式真的很奇怪吗?
我的中文也西化严重,但不至于到LZ这个地步
#27 - 2022-3-21 11:08
绯红の空 (ケ・セラ・セラ)
讲道理这么多人在使用的功能,何况还是谷歌这种体量的公司,这种重大缺陷没上过新闻头条就很离谱。
谷歌没有理由放任这么重大的安全漏洞,因此我怀疑这是fake news.
#27-1 - 2022-3-21 11:39
invisible
看起来更像是设备本身被黑了,
浏览器密码保存都是默认设备本身可信,不是他人操作,
如果电脑本身有恶意软件,那就没办法了,

换密码管理器+本地加密,保管好密码/密钥,这样安全性确实比浏览器高一大截
#27-2 - 2022-3-21 16:45
石原英里華(常盤るる)
invisible 说: 看起来更像是设备本身被黑了,
浏览器密码保存都是默认设备本身可信,不是他人操作,
如果电脑本身有恶意软件,那就没办法了,

换密码管理器+本地加密,保管好密码/密钥,这样安全性确实比浏览器高一大截
正如此处提及,是我的PC被毒害程式攻击,而不是Google账号遭受攻击。chrome储存的密码是十分容易被解析的,但是密码管理器的密码加密方式与其相异,不会被同时解析。
#28 - 2022-3-21 11:08
绯红の空 (ケ・セラ・セラ)
删除了回复
#29 - 2022-3-21 11:15
扑水的猫
(bgm38)前段时间才开始用的存储密码,感觉挺方便,看到你说之后想改回来但想想自己的账号也没什么价值,罢了
#29-1 - 2022-3-21 16:48
石原英里華(常盤るる)
即使不与资金使用相关联的账户,也有被攻击、盗用的风险。其被运用于任何地下、犯罪事业时,造成的后果可能需要原始的账号持有者承担。
#30 - 2022-3-21 12:20
李梦眠 (頑張ってください。)
哈人 靠脑子我记不住
#31 - 2022-3-21 12:37
匿名入土69602 (‮ ‮))))))))))))))))))))))))))))))))‮)
一直想自己写套密码生成算法 然后一直都在鸽(bgm38)
#32 - 2022-3-21 12:41
Black_tea (mEtAyAyYEaye sphaela/.)
终端安全比起密码管理器重要得多吧,像lz这种更像是电脑被黑了,换密码管理器一样没意义。
#33 - 2022-3-21 14:14
镜子阁 (Dream a dream)
我下载了dashline
我将google中的密码导入了dashline
我删除了google中的密码
我一想到我的手机上,平板上不能使用dashline我如鲠在喉
我恢复了google中的密码并决定安于现状
虽然我236个密码中有160个都是一样的
dashline会是一个安全的公司吗,还是把密码删了吧
那我这一顿操作意义何在呢?
(bgm38)(bgm38)(bgm38)(bgm38)(bgm38)(bgm38)(bgm38)(bgm38)(bgm38)(bgm38)(bgm38)(bgm38)(bgm38)(bgm38)(bgm38)(bgm38)(bgm38)(bgm38)(bgm38)(bgm38)(bgm38)(bgm38)(bgm38)(bgm38)(bgm38)
#33-1 - 2022-3-21 23:52
工口卿
一样的心态变化, 比较在意所以还是避免这些闭源的(bgm38)
#33-2 - 2022-3-22 05:40
熏橗
+1
#34 - 2022-3-21 14:59
00
那岂不是如果电脑被入侵了,后台挂个程序监听键盘,我换了不保存密码也没卵用?根源是电脑安全吧(bgm38)
#35 - 2022-3-21 15:17
飛龍 🇺🇸🇯🇵🇹🇼🇺🇦 (让我们远离冰冷的房间,亲自推动历史的进程。 ...)
删除了回复
#36 - 2022-3-21 18:01
茉茉
早就把密码搬到bitwarden了,因为平时电脑是开着的,这不等于密码是个摆设(bgm38)
#37 - 2022-3-21 19:37
第四人称
话说chrome怎么批量删除保存的密码啊……

设置-安全和隐私设置-清除浏览记录-时间范围-时间不限-密码和其他登录数据-清除数据
#37-1 - 2022-3-22 12:57
镜子阁
ctrl+shift+delete
#38 - 2022-3-21 19:43
Cedar (。´-д-)
虽然但是,【不胜惶恐】是谦词,一般你尊敬的人反过来夸奖你的时候你才会说不胜惶恐..
#38-1 - 2022-3-22 00:03
石原英里華(常盤るる)
原来如此,那么此处就是"望文生义"。新时代的汉语有一些不过度的参差也是一件好事。
#38-2 - 2022-3-22 06:58
Cedar
石原英里華 说: 原来如此,那么此处就是"望文生义"。新时代的汉语有一些不过度的参差也是一件好事。
(bgm38)(bgm38)你这是完全用错啦(bgm38)
#39 - 2022-3-21 19:47
padorax (戯言なんだよ)
确实哈人,该把保存的密码先搬到本地了
#39-1 - 2022-3-21 23:38
热爱所热爱
lz这是自己的机器被黑了。这即便是保存到本地,除非好好给密码本加密,效果不大的。
#39-2 - 2022-3-22 01:12
padorax
热爱所热爱 说: lz这是自己的机器被黑了。这即便是保存到本地,除非好好给密码本加密,效果不大的。
原来如此,谢谢!
#40 - 2022-3-21 23:30
门前秋水尚能西 (观察人类中)
把密码保存在icloud上应该是安全的吧。。。
不过qq等一些重要的密码还是纯靠脑子记的
#41 - 2022-3-21 23:59
工口卿 (あの女の子は過酷な戦場に舞う、まるで精霊のようだっ ...)
考虑到便利性自己当前还是浏览器保存的...虽然也有针对每一个账号密码以notepad的形式记录并且加密打包压缩在本机备份就是了。看LS提到的开源的选择里bitwarden和keepass都挺有吸引力的,(后者似乎没有手机端应用的样子...?) 总之先mark下。(bgm81)
#42 - 2022-3-22 00:04
レイにゃん☆ (不小心点到星星于是变成レイにゃん★ ...)
(bgm29)
#43 - 2022-3-22 01:21
星野恵瑠 (Miata Is Always The Answer!)
幸好我是Google黑(bgm38)
#44 - 2022-3-22 05:55
ぬお (全bgm最聪明)
完蛋全保存再chrome里(bgm38)
google已经提醒我泄露了100多个密码,这是要全部都改掉吗
#44-1 - 2022-3-22 12:57
镜子阁
那你是有点猛
#44-2 - 2022-3-22 13:53
ぬお
御茶水nono 说: 那你是有点猛
我在想要怎么办 只能一个一个改嘛
#44-3 - 2022-3-22 14:06
镜子阁
ぬお 说: 我在想要怎么办 只能一个一个改嘛
对的
#45 - 2022-3-22 07:03
エイリアン
事实上根据kill chain原则,避免安全风险只需要破坏攻击链的一环即可。因此在考虑把密码转移到可信第三方托管之前,不如先从加强浏览器本身做起

以Firefox为例:
- 检测密码是否已经泄露(Firefox提供了相关检测功能)
- 使用安全检测/过滤的扩展插件
- 设置primary password
- 开启https-only以及strict tracking protection
- 开启url address full display避免forgery
- 不要进入证书未通过验证的网页(浏览器此时会给出警告),除非你知道你在做什么
- 在移动端Firefox上开启2FA

积极更新windows defender也是很好的习惯,能大幅降低0 Day漏洞的危害

当然如果要进一步加强的话,将浏览器密码进一步加密or给第三方托管当然是可行的选项,不过对于大多数人来说之前的步骤(几乎零成本)已经可以避免绝大多数风险了=_=
#45-1 - 2022-3-22 11:06
工口卿
请问url address full display这项如何启用?没有在设置中找到...
#45-2 - 2022-3-22 18:48
エイリアン
工口卿 说: 请问url address full display这项如何启用?没有在设置中找到...
参考教程:
https://www.google.com/amp/s/pur ... ss-bar-firefox/amp/
#45-3 - 2022-3-22 20:52
工口卿
エイリアン 说: 参考教程:
https://www.google.com/amp/s/pur ... ss-bar-firefox/amp/
忘了还有高级设置这回事
学到了, THX(bgm45)
#46 - 2022-3-22 09:54
sweetsskit[ 卍 ☭🐰☪」 (?+楼顶+轻飘飘的衣服=好女人)
好奇是做了什么导致电脑被入侵?
#47 - 2022-3-22 20:43
lhb5883-吹冈王♛⑩ (BGMのTrinitas<=>婊冈妈<=>补冈妈<=>拜冈妈 三位一体 ...)
我感觉大部分的密码其实无所谓吧,涉及资金的才需要重视。
#48 - 2022-3-22 20:55
ブラックシュート
从不使用浏览器的记住密码功能,甚至同步功能也不用。
一直都是用的密码管理器KeePass
#49 - 2022-3-23 13:53
再见太阳 (一觉醒来,世界上就只剩我一人)
chrome以及chromium开发的浏览器密码均使用明文存储在本地,能非常快速的被读取,只要你的计算机被人物理接触,或是被病毒扫描,只要获取到这个文件也就获得了你储存的所有密码。
具体储存位置在C:\Users\用户名\AppData\Local\Google\Chrome\User Data\Default目录下的Login Data