发现一个 chrome 的安全隐患，吓得我赶紧把自动保存的密码都删了

我的登录密码很复杂的，登录可以用 Pin 码的

那如果。。。windows 没登陆密码呢。。。

假设密码是密文的又怎么样，既然对方都进你 windows 了，直接上你保存密码的网站密码就自己填进去了，剩下你说呢

所以我转到 lastpass 了，现在 chrome 也只存不重要的密码

如果攻击者能接触到受害者的计算机，还有了受害者的 win 登录密码，受害者的电脑还有什么安全可言？
还有 chrome 账户是什么？ google 账户吗？难道每次启动 chrome 还输一遍密码？

另外 chrome 是加密保存的，你文件复制到另一台电脑或用户里是解密不出来的

你 F12 后把密码框改成文本框密码也会显示，那么问题来了，倒底怎样才安全呢？

这没问题呀……系统登录密码本来就很重要呀，而且相对不容易忘。

Keepass 用户表示从来不信任这种服务

没记错的话 ie 的 cookie 是明文的。chrome 好歹加密了下

是你不理解设计的初衷而已，你不会用不是人家不安全

拔网线，拉电源，一劳永逸。

Mac 上面也一样啊 只要有系统秘密就可以看到 Chrome 和 Safari 以及 系统 KeyChain 所有密码

再说 如果你用 Google 账号密码加密 你愿意每次打开 Chrome 都输入一次？
你说可以缓存一下这 那么仍然可以打开对应的网页 直接读取 Password

@shench 显示不了的，不能想当然。

@newbieo0O 你试过了？

@treo 我的意思并不是极端的攻击，比如说原本我能容忍你在我电脑上用我的优酷账户看视频，但现在你可以偷偷拿到我的密码，你可以在自己的电脑上登录我的优酷账户，这对于我来说是一种意外的情况，密码本身就是秘密

有啥好担心了，反正 windows 密码只有我知道

@shench 我试了一下，确实可以...

@RogerHzb 专门建一个用户

我发现楼上两人的出发点不一样。 一个意思是在保存了密码的那个网站上，修改 type。一个是说在 chrome 的密码管理里面修改。 前者是可以的，后者不行。版本: 63.0.3239.84 （正式版本） （ 64 位）

你自动填充到网页里然后打开审查工具把 input type="password" 改成 type="text" 就都能看到了 什么漏不漏洞的，年轻人不要一天竟想着搞个大新闻然后把 Google 批判一番

大门的锁重要还是卧室的锁重要？

多余，现在大厂的产品不是你有密码就能登录了，像淘宝支付宝 QQ 微信京东这种登录的时候都是有非常用环境监测的，以为搞到密码就能随便一台机登录别人的账号怕是想多了。不过我还是建议你拔掉网线比较安全，小心你使用非 ssl 加密的产品被人抓包分析出密码来。

Windows 帐号密码有分两种。
本机和 microsoft 帐号。

我是 microsoft 帐号，弹出 Chrome 查看密码时，是只能 microsoft 密码输入的。
但这也有问题，我是觉得 Chrome 也应当负责验证这个，Chrome 的密码验证了，那么保存的密码也可以查看，而不是由系统负责。

这个你电脑的登录密码只有自己知道吧，而且感觉这样也还可以吧，有时候密码忘记了可以去自己通过电脑登录密码查看下

不晓得 chrome 啥时候改的,反正 14 年之前的版本,连 windows 密码都不用输就能看~

我有你的指纹还能付款呐

都拿到你电脑了，并且用户密码都知道，还有什么不能干的？

楼主好年轻，都登录你操作系统了，密码本来就是自动填充的，有什么安全可言。不要太程序员思维。

重要的账号和重要的操作都要 2FA, 不怕.

这个问题，Google 很早之前说过了。只是楼主以“安全隐患”命名标题会引起争议。

就算填充到密码文本框里的是星号，改 type 或者 F12 看下请求参数，分分钟得到明文密码，你说的用 Google 账号密码验证，只是程序员思维。

@hellommd 确实随手写了个标题，欠考虑了

留意过这个问题。FireFox 可以设置一个浏览器主密码，必须通过这个主密码才能查看浏览器保存的密码。印象中，Chrome 的方面认为 FireFox 这个保护其实很容易戳破，所以干脆不加这一层（我个人还是认为应该加这一层）。

正在转移到 keepass，但是 chrome 保存的量着实有点大。。。只好慢慢来了

@newbieo0O 人家跟你说的是网站那里又不是设置里面的

@newbieo0O 好吧，出发点不一样

@tghgffdgd 是吗？

@newbieo0O 就这个界面左边就有网址，你点开之后填充了密码然后你试试

@boboliu chrome://flags/#password-export; 胆子大的话还可以 chrome://flags/#PasswordImport

控制台 $$('[type="password"]')[0].value 也能看到。

这个问题很久前在 V2 就有过讨论了吧？到现在竟然还没有人回复：如果有人可以物理接触到你的电脑，就没有安全可言了。

F12 抓个包都看到了

不管你怎么牛逼

F12 后点登录，看网络请求，啥玩意都有，如果传输加密，自己搞个模拟表单也非常容易

总而言之，言而总之，一个坏蛋有你的密码，还能使用你的电脑，分分钟打开你的密码管理器是很容易的，就算打不开，做个模拟表单很难吗？

可能有人觉得提高了门槛，其实不然，如果需要这样做才能拿到密码，那么网上很快会出现这样的教程。反正操作起来不难。

@codeeer 查看的时候会像你要 credential，设置了 PIN 码会跳转到 PIN 码输入，不知道是不是只设置了 Windows Hello 了的才可以

你想要方便，就会丢了安全性。特别是保存密码，保存了是为啥？是为了输入，就网页这种情景，第三方去做保存密码，想做到不泄露，太难，或者说不现实。

想要安全，首先你就得让浏览器无法让用户改变页面、脚本，你还得重新涉及网络请求，让嗅探无法存在，然后呢？然后你会发现，这玩意已经不能叫网页了，叫客户端吧。

然后你会发现，即便是客户端，也无法防止用户采用外挂的方式去盗号……

村通电

@iVeego 3 楼 5 楼都说了: )

这帖子每过一阵子就会出现一次

对，加个 ID，直接用 JS 也能直接获取的

虽然知道，但是 Chrome 密码自动填充还是太方便不舍得 我连 Enpass 插件都没用

能不能简单点，别的软件能不能把我 chrome 数据复制上传，然后他们就能查看我的密码？

都能物理接触你的电脑了你还想要安全也是挺搞笑

应付别人借电脑的需求我大概会建议卤煮开另一个账户或者直接用 Guest 会比较好

月经贴

为啥没人说 safrai 也是呢

照楼主这么说，mac 上没有浏览器可用了，safari，chrome 和 firefox 都是直接用登录密码来显示所有密码的。。。

浏览器保存密码肯定都是明文或者可逆加密的，而可逆加密基本上跟明文没啥区别，Chrome 这么做一点问题也没有。如果怕的话不保存就好了。

话说都有你电脑密码了，那都能随便操作你的电脑了。搞个木马或键盘监听器岂不更佳。

Mac 的 Keychain 也是这样的..

Mac 也是这样的啊。
这个机能貌似么有问题啊- -

如果我有了你的登录密码了，我是不是可以在你的电脑上装一个键盘记录器之类的玩意儿，你的 Chrome 密码加密再复杂又有什么用呢。所以设置复杂的 Windows 登录密码才是正道。另外你说的“每天按好几次”，推荐你去了解一下 Windows 8 或者 10 的 PIN 登录功能。

我的 win 登录密码借鉴手机滑屏，从 caps lock 滑到 enter。

登录 Windows，电脑里文档、照片、小电影都可以看到，太可怕了，吓得赶紧删掉

发现一个键盘的安全隐患，吓得我赶紧把我的键盘扔了

我是一个网吧键盘侠，我网上所有的密码都是我通过键盘输入的。 我发现我在输入密码的时候，隔壁是可以清楚看到我按了那些键的， 除非隔壁没人， 一般情况下，除非是穷死肥宅， 谁身边隔壁没个人啊=。= 按我的思维，键盘应该做成暗箱盲打，不能让隔壁看到你按了哪些键，不然密码还有什么安全可言？

手动 doge

把 input type="password" 改成 type="text"

我经常用这招看以前我保存的是啥密码，因为手机登录需要输入密码的时候，我自己都忘记是啥密码了

话说，我是用谷歌账户登录的 v2，现在 v2 密码是什么都不知道了，实名认证都不能搞了

google 说了，如果攻击者能物理接触你的电脑，那么表单密码是否加密根本不会影响到攻击者窃取你的密码。

我个人也认同 google 的说法。加密反而多此一举

@newbieo0O 没有意义的 f12，不能直接一些点眼睛么

不是大新闻，不过提醒一下大家总是好的

好像 devtools 里面的 network 标签，对含密码的请求不会显示表单体

关于谷歌的做法，不赞同也不反对。

不赞同是因为进了游览器，在设置里面就可以直接查看到保存的密码，这有特殊情况，电脑要给他人使用就容易泄露密码，这让人很不安啊。

不反对是因为查看密码大多数人不知道，把电脑给别人用的可能性也很小，你也肯定不会把电脑给不信任的人用，最重要的是绝大多数人对你的密码并不感兴趣。

比起担心保存的密码被人偷看，更应该担心的是密码被泄露。密码复杂度低，字典轻松攻破。密码全网通用，分分钟进社工库，然后被收入进字典。我两个常用密码几年前就进了社工库 T^T，虽然现在还在用。

你这种想搞大新闻的我每年在 V2 上都能看到几个。。。

safari 也是啊～用密码插件多好～多平台同步也省事

我觉得能让 chrome 保存的密码也不是重要的.

曾经有客户说，他在 devtools 下面的 network 选项卡下面，看到了明文传输的密码（ HTTPS 协议），要我们进行加密传输。

难道你电脑丢了，Google 也要为你的密码丢失负责？况且这个自动填充是你在点同意的前提下才有。

最大的安全隐患是楼主认为 [windows 登录密码应该算是密码里级别最弱的]

@Phariel #73 不然怎么丰富 block 列表呢？

我认为楼主的提醒很有意义。
试了几个浏览器，基本上都是这样的实现。这也提醒了大家，电脑设置开机锁屏密码的重要性。

+1

……我就提醒一下：借给别人用电脑的时候，请你看着，或者开全盘加密 + 给对方建一个临时的账户。

@wclebb 这并不算是分两种，要这样说的话你还忘了考虑 AAD 和 AD。本地账户和 Microsoft 账户的身份权威（身份提供者，identity authority, the authority that issues identity ）不同，一个是本机，一个是 Microsoft。AAD 和 AD 则是域控制器。

@gaolycn 这怎么就是程序员思维了呢？楼主的想法是安全小白的思维。

这是一个 feature https://support.google.com/chrome/answer/95606?hl=zh-Hans

GG 还是 MM 啊

你可以设置「使用您自己的同步密码加密已同步的数据」啊

@geelaw #82 非常感谢你的解释。
不过，我不是「忘记」。
而是不知道……

涉及钱和不为人知的密码，统统记在脑子里。

一般安全策略都要假定用户的机器是安全的。

如果这个前提都没有，那已经没有任何策略管用了。

你的电脑都被别人使用了，你还要什么安全？

@xian 暗箱盲打也不行，因为击键的会有声音区别，把你整个过程声音录下来，慢慢还原，也能恢复出你的按键

@GuLuDaDuiZhang 借给人家不开访客账户那不是活该被偷密码么

心疼 lz 的安全常识

很方便啊，之前经常 steam,origin 什么的密码忘掉，就是这么找回来的啊 2333

@RogerHzb 看视频可以用来宾账户，都进系统了，还有什么安全可言。或者说基本上摸到硬件，就已经不安全了。

都物理接触了还谈啥安全不安全的。

你知道 cookie 吗，登陆你的电脑还有什么安全可言