周末的早上,托尼我正在温暖的小窝里沉眠,享受国庆加班七天乐之后的假期。

突然被一个朋友的电话给炸醒。

醒醒,你号没了 ▼

???啥子情况,让多年没有联系的朋友突然联系我。

点开这张图仔细一看,好家伙,居然是一封给我的勒索信件。

还发到我朋友账号上了?

这黑客是 “ 来势汹汹 ” 啊,不但自称骇入了我的电脑设备,而且我的麦克风啊,键盘,显示器这些硬件有一个算一个,都在他的控制之下。

非但如此,还有能力把我的各种信息给 “ 加点料 ”,做成视频,然后发给我的朋友们鉴赏

嗯???我难道就要这样轻而易举的社死了吗?

此刻,我脑海中已经过了一遍 “ 梦想小镇天使村有人被勒索邮件诈骗 ” 的横幅了。

可我托尼绝不对轻易的狗带,这黑客大哥也很温柔,也给了我一个机会从他手中逃离。

只要花费价值 1250 美刀的比特币,就可以让我洗心革面,重新获得在天使村呼吸的权力。

不然啊,就会让我吃不了后悔药的走。

顺便呢,这位大哥为了证明他确实了解我,控制了我的电脑,在邮件里还附带了一张我当时电脑上的截图。

临走之前还很霸道的留下了一句:

勒索 1250 刀。。。把我卖了都没这么多钱啊。

粉身碎骨浑不怕,要留清白在人间!,我这珍藏多年的聊天记录可不能被别人看到。

这么贵的勒索,要不。。。要不还是重装系统吧。

所以话说回来,我到底是怎么中招的呢?死也要死个明白。

略加思索,决定还是从邮件里提到的那个日子开始回忆。。。

那段时间为了帮差评君找资料,好像确实下载了一个不该下的软件,并且运行了这个陌生的程序

都怪差评君!!!

不过我电脑里头的杀毒软件也很灵光,当场进行一个报错。( 没有截图,建议脑补 )

看着电脑爆出来的风险提示,再傻我也是第一时间反应过来,当场终止了进程 + 斩草除根删除软件 + 摇了一个外援来帮忙一起解决电脑问题。

 有一说一, 360 极速版用起来还行

当时是觉得自己清理得已经足够到位,也就让事情告一段落了。

没想到这几天我的索尼账户一直被人尝试登录。

不过 PS5 玩的不太多 + 工作太忙了,

就没放在心上▼

再结合这次被朋友提醒我是邮箱的问题,于是也顺藤摸瓜的找了一下自己的邮箱。

 果然其实我也收到了类似的邮件 —— 只不过被垃圾邮件屏蔽了。

而且仔细一看这份邮件抄送的名单。。。基本都是我之前在这台电脑上登陆过的账号

这也是为啥我朋友也会收到勒索邮件的原因 ▼

所以。。。结果也是非常清晰 —— 我电脑上 Chrome 登录的账号都被黑客获取了。

除了账号,还有密码。

那既然问题出现在 Chrome 这儿,我就开始对他的密码管理策略开始好奇了。

已知 1 :我们所有存储的账号都被盗了。

已知 2 :其中部分被盗的账号在被疯狂登录,也就是代表着密码已经泄露。

所以两者拿来一看, Chrome 保存在本地的密码不安全,入侵者可以在很短的时间里就盗取到大家的密码?

略微研究了一下,发现这事还真没我想象的这么复杂。。。

Chrome 的密码保护机制,的确做的要多简单就有多简单。

或者说,根本不安全。

大家可以回忆一下咱们用 Chrome 的样子,每次自动填充密码的时候,是不是都非常 “ 无感 ” 的直接把咱们的账号和密码都填进去了。

随便打开某个登录界面的样子 ▼

便利是便利了,但是你说这是不是 “ 便利 ” 过头了呢?

不但不需要任何验证就能知道我们能否登录这些网站,并且直接帮你把密码填充好了。

而且面子上防范轻松也就算了,就连存放我们密码的库里面也没有做多少安全措施。

任何一个知道你电脑解锁密码的人,都可以很轻松的获取你浏览器里存储的任何一个密码

不过我遭遇的显然不是这种情况,入侵者是用一种更暴力的方法直接获取了我的全部密码。

虽然表面上,Chrome 虽然会对我们的密码进行一个加密。

但是这个加密文件存放的地方吧。。。是一个固定的位置。

这个保险箱的位置就在:

C : \Users\<PCName>\AppData\Local\Google\Chrome\User Data\Default\Login Data  这个地址中。

找到它之后通过 SQLite3 数据库进行连接,就可以找到我们存储的 “ 网址 ” —— “ 账号 ” —— “ 加密后的密码 ” 这三者的对应关系了。

至少到这一步还是有些安全的,因为它毕竟是个保险箱,想打开高低还是需要一把钥匙

但很可惜,这把钥匙放的地方也非常的 “ 专一 ”,就藏在我们本地系统的:

C : \Users\<PC Name>\AppData\Local\Google\Chrome\User Data\Local State 

当中,一模一样,不带变化的。

用记事本打开这个文件搜索 “ encrypt ”,就能获得这把解开保险库的钥匙了。

是不是非常简单。

谷歌用的加密算法虽然是安全性比较高的 AES,但也架不住它把密文和密钥都放在原地啊。。。

在两者都暴露后,通过 Windows 自己提供的解密函数 CryptUnprotectData ( dpapi.h  ),我们的密码就会瞬间被人看个精光。

托尼也让世超帮忙找了一个脚本体验了一下,我那可怜的密码当场被进行了一个二次破译。。。

( 这里解密调用的是微软自己的 win 32 的 dpapi 函数,需要在本机上进行破译( 意思是别人拷贝走了你这两个文件也没有用 ) )

没错,在 Windows 上破解 Chrome 密码就是这么简单,甚至不需要管理员权限,或许连风险提示都不会有。

而且,谷歌完全清楚这件事。

早在 2013 年左右就有过回应:“ 如果有人入侵了你的系统用户账号,即使再多的安全措施也是无用的。就是如果贼人进入了你的家中,那么你家中所有的物品都是有危险的。”

乍一听是有一点道理,是不是如果托尼我自己注意安全,不去点开那些来历不明的软件,那不是就万事大吉了嘛?

但仔细一想就会发现谷歌在这儿 “ 不作为 ” 的甩锅言论有多离谱,我作为用户,确实一不小心把贼人放进了家中。

但这不代表你能把我家里的保险箱和钥匙都摆在大门口吧。

海贼王罗杰在死前都知道把自己的宝藏给藏在 “ 伟大航线 ” 的尽头

那谷歌作为全球使用人数最多的浏览器,作为全球顶级的搜索引擎开发商,遇到这种用户隐私的问题,不去想着如何保护大家,反而先去责怪用户粗心大意?

这怎么也说不过去吧。

虽然我也清楚,当自己家门被攻破后,任何防护方法或许都不能做到 100% 的安全,但同样是做不到绝对的安全,别的厂商也在尝试各种不同的办法来保护大家。

MacOS 选择用钥匙链保护大家的隐私,通过额外的加密来保护用户的密码。

都快死掉的 FireFox 也可以让用户选择用主密码来进行二次防护。

或者你对大厂们的服务不放心的话,也可以选择一些本地的第三方密码本软件,比如付费的 1Password 可以选择本地密码保存,或者自己搭建免费开源的 Bitwarden 服务。

大家各有各自的过法,但都没有和谷歌一样,选择把密码放在最显眼的地方。。。

本文来自“差评君”

一秒就被盗走密码,Chrome的安全措施就是摆设相关推荐

  1. 量子计算机一秒可以算几道题,神威 计算机 量子计算机有多可怕?一秒破译全世界所有密码...

    量子计算机有多可怕?一秒破译全世界所有密码 CES2018上,英特尔keynote演讲甩出49量子比特(qubits)超导量子计算测试芯片"Tangle Lake",震撼全场,在争 ...

  2. 量子计算机有多可怕 一秒破译全世界所有密码!

    导语:最近半年以来,人工智能的发展重心逐渐从云端向终端转移,相伴而生的是全新一代的计算芯片产业全面崛起.智东西历经数月,首次对包括AI芯片在内的新一代计算芯片全产业链上下近百间核心企业进行报道,覆盖国 ...

  3. html查看已保存的密码,Chrome笔记之如何查看本地保存的密码

    有时候在网站注册了账号,但是没有保存密码什么的,后来就把密码忘记了,只好找回密码了,又是短信验证又是邮箱验证的搞得很麻烦,如果Chrome有帮我们记住密码的话我们自己就可以很方便的将密码找回而不必进行 ...

  4. html明文显示密码,Chrome明文显示密码插件:ShowPassword

    ShowPassword的开发背景 由于许多网站都需要授权的原因,用户会在网站上进行一些类似于登录和注册的操作,当然,这样自然少不了一些输入密码的操作,正常情况下,密码输入框和普通的输入框是有区别的, ...

  5. ldaptemplate 分页_长图片如何分页打印?3秒搞定|360浏览器|chrome浏览器

    将永恒君的百宝箱设为星标 精品文章第一时间读 文章里面介绍的是用win自带的"画图"软件来进行设置和调节.这两天又发现一个更棒的技巧,和大家分享一下.这次需要用到的就是平常使用的浏 ...

  6. 国内浏览器真的好用吗?

    文章目录 前言 一.内核 二.隐私与安全 三.广告和推广 总结 前言 随着浏览器市场的竞争日趋激烈,国内厂商也都纷纷加入了进去.那么,国产浏览器真的好用吗? 一.内核 ①首先,你必须了解到国内没有自研 ...

  7. 在Chrome浏览器中保存的密码有多安全?

    本文由 伯乐在线 - 黄利民 翻译.未经许可,禁止转载! 英文出处:howtogeek.欢迎加入翻译组. [2013-08-09 更新]:最近又开始讨论"Chrome浏览器明文保存密码这个话 ...

  8. 苹果6访问限制密码4位_破解6位密码只需4秒!3步设置密码挡住黑客

    你的密码安全至关重要 首先要知道的是,破解密码有两种方法,第一种是暴力破解,也就是挨个密码去尝试,直到试对为止.暴力破解的很明显问题是,密码越长,破解密码的时间就会成倍增加,一旦密码超过了某个长度,基 ...

  9. 苹果手机10秒解除锁屏_忘记苹果锁屏密码10秒解决 音量键选择wipedata/

    导读:谈到苹果,大家应该都不陌生,有人问忘记手机密码了怎么办?,另外,还有朋友想问oppo忘记图案解锁怎么办,这到底怎么回事呢?其实锁屏密码是四位数密码呢,下面是小编精心为你们整理的忘记苹果锁屏密码1 ...

最新文章

  1. spellchecker.php 漏洞,整理一些大汉版通的漏洞
  2. 关于ActionContext.getContext()的使用方法心得
  3. TongJI Online Judge预赛(2): LOVE LETTER
  4. Java接口存在的意义以及如何解决菱形继承问题
  5. Win7下Anaconda3+Tensorflow
  6. net以execl做数据库_[原创]Net实现Excel导入导出到数据库(附源码)
  7. matlab 安装jdbc.jar
  8. ThreadX应用开发笔记之二:移植ThreadX到STM32H7平台
  9. spring boot中打包插件spring-boot-maven-plugin和maven-jar-plugin的关联
  10. 外媒:三星电子正与华为商讨芯片代工事宜
  11. IntelliJ IDEA中创建MyBatis.xml模板
  12. Hive鉴权方式说明
  13. 【学习 OpenCV】—— 色彩空间(RGB、HSV、rgb2hsv、rgb2gray 的实现)
  14. VS2010安装MVC4记录
  15. 【转贴】蚂蚁和大象的恩怨
  16. Random在java中怎么用_java中random()函数用法介绍
  17. Go语言超全详解(入门级)
  18. java开发常见的问题及解决办法 - java开发中遇到的难点有哪些_java开发常见的问题及解决办法
  19. EastFax USB SERVER推动天润集团U盾管理提效升级
  20. Java实现 LeetCode 299 猜数字游戏

热门文章

  1. docker运行中的容器,重新打包成镜像和压缩以及解压和载入镜像
  2. 高斯消元法python编程_高斯消元法的Python实现
  3. 深圳特区建立40周年,说说我对深圳的十年印象
  4. 玩游戏显示服务器错误,为什么会显示服务器错误
  5. STM32 IAP升级--内部FLASH和外部FLASH两种方式实现
  6. GAN对抗生成网络学习笔记(三)DCGAN原理
  7. Chapter11——分别声明Teacher(教师类)和Cadre(干部)类,采用多重继承方式由这两个类派生出新类Teacher_Cadre(教师兼干部)类。
  8. Nexus私有仓库错误代码500
  9. 点击率和曝光率的区别是什么?
  10. 差分方程基础知识备注