网友爆料:chrome浏览器保存密码遭全部泄漏,该网友表示用Chrome保存密码等于“裸奔”!#网络安全#
这位网友说:“前几天电脑中毒了,虽然第一时间重装了系统,但是隔天依旧收到了一大堆网站登陆的Gmail验证邮件,谷歌账号也提示风险操作,密码管理一直都是使用Chrome自带的,考虑是Chrome保存的密码泄漏,于是连夜改了所有的账号密码,能添加二次验证的全部添加了二次验证,然而第二天早上还是发现自己的一台服务器被人重装了系统,还好有数据备份没有造成大的损失,吃了这个惨痛的教训,开始研究Chrome Password Manger(谷歌密码管理)的安全问题,才发现Chrome保存密码等于裸奔!”
如果使用Chrome自带的密码管理保存密码,任何一个运行在电脑上的程序,不需要管理员权限,都能解密并读取本地保存的密码,因为Chrome的密码保存在本地加密的Sqlite当中,同时解密密钥也明文保存在本地文件里,任何程序都能读取。具体的如何解密和加密会在以后的时间里用文章的方式呈现给大家,但是需要注意的是解密需要用到win32提供的API CryptUnprotectData函数,这个函数保证解密和加密在同一台电脑(用户)进行的,所以如果直接复制硬盘的浏览器数据到其他电脑上是无法解密成功的,但是只要你的Windows登录了,任何程序只要想做都可以解密Chrome的密码并上传。
