Chrome 浏览器的密码保存为什么显示明文不需要验证主密码确认？这是安全问题吗？
chrome://settings/passwords
在地址栏输入上述语句，只需要简单点击一次便可以查看 Chrome 浏览器保存的密码，并不需要像 Safari 那样验证系统管理员密码也不需要验证 Chrome 绑定的 Google 账号密码。如果浏览器所有人离开设备，那么密码便有可能被轻松盗窃。这么大的安全问题，谷歌到底是怎么考虑的，难道没有注意到？毕竟增加多一步验证，应该不算是技术困难。Google 知错了:
按时间排序
按楼上一些人的逻辑,我们这个世界上就不应该有密码的存在什么密码啊加密算法啊,逆向工程可以搞定在牛逼的密码,破解一个一百亿年总能搞出来吧.你说时间太久?咱只争朝夕,直接拿刀驾到你脖子上,密码交出来?终上所述,我们不需要密码,反正最终都能被破解增加破解密码的成本,降低可破解密码的人的数量,这样子不对吗?google做的不够好的地方就不要洗地了我今天才发现现在chrome查看密码是要输入windows密码的.
“物理上不安全就无安全可言”只对处心积虑窃取密码的人有效，我不奢求阻止身边极极极少数的这类人，但我不希望每一个用我电脑的人只需几秒钟简单几步就能窥视我的密码。这种零成本的诱惑实在太大了，毕竟人人都有偷窥欲的：我就瞄一下又不干坏事……今天无意中进设置，查看Chrome密码已经需要Windows登录密码了。谷歌终于醒悟了！版本 33.0. m
这不是安全问题！当前所有主流系统都支持多用户。你把电脑借给别人用不是问题，但如果你给别人用电脑的时候还让别人用自己的帐号登录那就是你自己的问题了。——所以这相当于说把自己脱光光送到异性面前然后还规定别人不允许有非分之想一样搞笑。真正的 master password 从来都有，有且只有一个，就是你的操作系统帐号密码。即便你要借给别人用，也要给别人创建一个新帐号（这个帐号的权限可以低一些），不能让别人用你自己的帐号登录系统。当别人用一个新帐号登录你的电脑时，是不会看到你的 chrome 保存的密码的。操作系统级的登录密码，就是主密码，你需要保管好它，而不是去让操作系统中的每个应用软件自己搞一套密码。
现在不是都加密了吗
方便和安全是很难兼顾的。我是这样的：1.重要的密码不上网，如投资性的银行卡。2.金额小的借记卡，支付宝等上网但不保存密码。还有邮箱，云盘也是。且密码不能都相同。3.微博，论坛，视频保存密码，且密码都相同。谷歌可能觉得你即然保存了密码，说明不重要，就以方便为先了。
说说我的看法：首先，这其实算不上一个很大的问题如同其他知友所说，这个问题的基础就是别人已经获得了你PC的使用权限——在这个基础下你的隐私早已形同虚设。所以Chrome是否多一个验证其实是无关紧要的事情，更别提用自动登陆的cookies已经能做很多糟糕的事情了。其次，在上一条的背景下，这仍然是个值得重视的安全问题。用一个比喻来说明：如果我家大门被人攻破了，放钱的抽屉是否上锁当然无法阻止窃贼。但是：这至少可以拖延窃贼的时间，也就提升了我发现窃贼的可能；说不定窃贼没那么专业，他只是碰巧进入了大门；可能是我碰巧没关门，又碰巧有人来拜访，这时候钱抽屉上没上锁是有本质区别的。人们未必会拒绝唾手可得的不义之财，一道锁却可以在很大程度上化解这种临时起意。最后，Google在这件事情上的做法非常不明智。也许是否加上这个密码对Chrome用户不会有任何实际影响，但是既然这个问题被爆出来了，Google就没法假设所有chrome用户都能理解这一点，更新一下密码机制对自动update的chrome也不会有什么实际影响，从善如流就是了，何必犟着来呢？
那我就来说一下该如何使用密码。记住密码也不是什么密码也要记住。我的密码分为不同级别，微博、知乎、论坛等之类的信息浏览及发布网站是二级安全，因为这些没有隐私财务之类的安全需求，即使附近的人知道，发布删除一些信息几率很小很小，采用记住密码。邮箱帐户、云服务的密码是一级安全密码绝对不能记住的。这样基本就没什么大碍了。
Safari 就简单轻松地解决了这个问题。那就是点击显示密码的时候需要验证系统管理员身份。我不明白为何 Chrome 不一样使用类似的 master password，起码最简单的，增加验证该 Chrome 绑定的 Google 账号便好，或者直接就是系统登录账号。或许是跟 Chrome 用户数量最多的 Windows 平台，用户并不习惯使用系统登录密码有关？如果确实如此，如果 Chrome 也没有绑定 Google 账号，那么让用户使用一个单独的 master password 的确是体验不好的做法。但，至少，可以让那些使用系统登录密码或者绑定 Google 账号的人一个选择吧。我认为 Google 的做得不够，有些不负责任。幸好我不太用 Chrome.
很多人的concern都集中于「我父母朋友女朋友用我的电脑的时候他们有办法知道我所有保存在浏览器里的密码」这个事，其实这很容易解决，自己的系统账户加密码，建一个guest账户专门给他们用，父母女朋友应该很小几率去专门找软件破解你chrome profile里边的一个sqlite3数据库吧，而且这也是操作系统支持多账户的意义。当然，这也是防君子不防小人的办法，但看楼上贴出来chrome开发人员的回复说的，google这么做也是基于你自己的系统账户安全的前提。很多人系统不加密码，或者不想建guest账户的原因，可能是因为不想给父母女朋友一种「I'm hiding something」的感觉吧。
在不借助任何工具的情况下，Chrome是目前最方便的，让一个没有任何背景知识的小白，能窃到其他用户的密码的方法。目前最高票的几个答案的逻辑是这样的：这不是个安全问题，因为在理论上，对一个手上有全套工具的黑客来说，其他方法一样可以破掉你的密码，所以没有更不安全。。。我对此表示无语，请问谁没事儿会随身带着（或者放到网盘上）key logger，见机会就给人装一个呢？
1.只要我离开电脑，我就会win+L2.任何人要用我的电脑，我会给他切到guest账号。
我去，看了这个问题才知道Chrome有这种明文密码。。谢谢题主！看了些已有的答案。个人观点：一定程度上是安全问题。一定程度上反对所谓“防君子不防小人，所以反正不安全，没事”的观点。类比为：即使对家里进窃贼的风险无能为力，我也会把家里的贵重物品放进柜子，而不会摆在触手可即的窗台。答完后才发现 已给出类似观点。稍作补充：很多人总强调“反正黑客想看就能看，没事”，但当我把电脑借给父母、同学、同事时，绝对不想让他们的“破解成本”这么低呀！你们真的理解不了类似情境吗？真没想到一个得票不少的合理答案会被踩到如此靠后，但愿其不被“没有帮助”。至少我以后会注意Chrome的这个问题，既要注意防范，也要学会利用XD。比较喜欢firefox保存明文密码但有密码保护信息（但因种种原因放弃了firefox）；不喜欢搜狗没是明文的保存；不知其他浏览器怎么处理这个问题的，欢迎提供信息我来汇总一下~
要实现“记住密码（口令，下文“密码”皆指代“口令”）”的功能，通常的选择只有存储明文密码或者用可逆的方式加密明文密码，否则无法提交对本地存储的密码做hash是没有意义的，一方面大部分网站不接受这种提交方式，另一方面即使网站支持提交已经hash的密码，黑客可以直接将hash结果盗过来写入数据包发送过去至于存储然后不给看（IE的做法）……防正常用户不防黑客的设计是想怎样？ps.访问安全要求高的网站时，请不要“记住密码”
在浏览器上保存的密码必须是要被(经常)解密使用的如果说不明文保存这些密码的话，一般有这些办法：1，如果用一个密码来保存数据D，则需要：使用者制定一个密码A。软件使用(包括hash，加盐，乃至非对称加密，密钥生成算法等，依照具体情况有所不同的)算法f，f是单向的，得到f(A)，f(A)是实际用来加密D的金钥。除了A以外，f()往往还有别的输入项，如随机数等。实际用到的加密算法h(x)一般是对称密钥算法(如3DES,AES,blowfish,山茶花等)以节省性能开支，加密好的密文E=D*h[f(A)]如果是使用usb狗，指纹等附加手段，无非是再嵌套另一个不同的E=D*h[f(A)]说到底是用使用者制定的密码产生另一个标准化的金钥，金钥是加密时实际采用的密码。2，在本地保存的"已保存的密码D1"依然是以E1的形式存在，这种情况下A1，f(A1)是公开的(抛弃掉其中任意一个可能都没有关系，实际怎么处理我不知道，按照 所说的，chrome保留的应该是A1，因为它不知道f1(A1)是什么，f1()是由windows提供的CryptProtectData API 负责的)。---------------------------------------------------问题是，浏览器上保存的密码必须是要被(经常)解密使用，也就是说保存的密码的明文总是定要出现在内存中它不像U盾中的数字证书(起到相当于密码的职能)，是能以“不可被读取到U盾以外”的形式存储的。它的规则是，只能往里面写入，但不能读出。这个证书只能被U盾的CPU读取，用以计算出数字签名。怎么办？chrome的做法一启动就把明文恢复出来。
我认为这个问题确实是Chrome的设计缺陷，不论开发人员是出于哪种理由，这种做法客观上都造成了用户密码的泄露，最早的搜狗浏览器也是明文密码显示，不过后来在用户的反对的修改为了星号显示，虽然星号显示只是防君子不防小人，不过客观上还是降低了密码泄露的风险。很多时候只要是Google做的东西人们总是怀着崇拜的心理去评价，认为如何如何合理，其实再优秀的产品也会有值得商榷的地方，毕竟事物都有两面性，当侧重某一方面时必然会对另一方面有所放松。
这个问题可以从几个角度来看：资产、风险、影响、威胁、弱点。资产：用户的密码（你的密码可能只是几个从来不用的马甲，但也可能是你的支付宝密码，是不？）风险：密码直接被明文窥探、被木马窃取（连暴力破解、彩虹表神马的都可以省了）影响：用户去哭、去闹、去上吊威胁：黑客？no，no，邻家计算机小白大哥哥就可以看到你的QQ密码咯弱点：明文存储口令以上，是不是一个安全问题，各位看官自有结论了。补充一下，应用厂商也有TA的难处，谁能没几个小白用户呢？忘了密码，找不回来，肿么办？和用户去解释加密后要查看明文需要密钥？另外，能直接明文查看到保存的密码并不意味着Google没有提供加密保存密码的机制。看看Google的账户同步设置里的加密密码设置。对了，再补充一个例子：Windows文件系统的EFS加密使用的就是密钥文件的方式，对用户来说，访问加密文件似乎不需要输入任何【访问口令】。但事实呢？重装系统没有备份解密私钥，你再试试直接访问之前的加密文件？你更换一个用户再去访问其他用户的加密文件，是不是就直接提示你无权访问了？最后再给一个关于安全性和易用性的经典例子：Windows 7的账户安全设置。游标拉到最安全，是不是很烦？干什么都弹框提示授权。游标拉到最不安全，是不是方便多了？这就是安全性和易用性的关系。
一个研究过chrome的密码保存机制的人员来说一下吧：chrome保存的密码，实际是通过windows 的一个函数进行加密并存入sqlite3数据库的，而这个数据库又是可以访问到的，至于他能显示明文密码，就是你点击明文的时候，他调用了响应的解密函数。具体过程请看这个 从技术上来说，chrome加密的函数调用的是 CryptprotectData 这个函数，这个函数是windows提供的。msdn的描述.aspxThe CryptProtectData function performs encryption on the data in a DATA_BLOB structure. Typically, only a user with the same logon credential as the user who encrypted the data can decrypt the data. In addition, the encryption and decryption usually must be done on the same computer. For information about exceptions, see Remarks.也就是说，要解密这个函数，就必须以相同的用户登陆到系统，才能解密数据chrome使用这个函数的原因，猜测有如下几个方面第一：chrome密码是以当前用户的计算机是安全的为前提，如果当前计算机不安全，那么密码的作用也就没有了。第二：简单。这个函数是微软提供的。第三：简单。
确实不安全但是用户需要不安全
看了楼上的答案冲动一把补充一下.
关于物理安全的建议很有帮助但是物理安全跟这个问题是无关的. 浏览器(和其他的客户端软件)没有什么可靠的手段解决物理安全的风险.
任何增强安全的手段都是有胜于无, 但"方便"应该是存储密码这个功能的重要考量. 由于其他的浏览器也提供了类似的功能, 而且我觉得用户肯定不少, Chrome要抢用户, 最简单的方法就是满足用户. 作为一个后来居上者, 转化其他浏览器的用户也是必须的.
我觉得, 楼上有位愤怒的同学虽然写的很解气但是有一条很想提一下:这给天涯CSDN人人网等等网站的站长们提供了一个绝佳的文案，“密文密码都是防君子不防小人的，黑客们如果愿意，花点时间也都是能破解的，所以我们网站存储明文密码其实也没有什么问题。。。”
服务器端的密码存储和浏览器的密码存储不是一回事. 作为CSDN的服务器端, 程序需要验证客户端提交密码和存储的一致. 这意味着密码必须被保存(这和浏览器用户选择方便让浏览器保存密码有区别). 在必须持久保存且需要验证一致又要安全的大前提下, 保存hash后的密码显然是更合理的做法. 作为浏览器, 由于必须以明文提交给服务器端, 只能存储密码明文或者可逆转的密文. 更安全的方法是不采用密码而是授权的形式, 但是不可能仅靠浏览器端实现.
作为一个网站, 必须在安全方面做最坏的打算, 大规模的泄露用户明文密码的危害和被暴库但是密码字段都是hash危害孰轻孰重?
我的理解是: 这只是一个浏览器的utility。 用户是可选择的使用这个功能。安全性的确不高所以有了last pass您所在的位置： >
百川积分有团队吗？哪一个团队做得好？
静态收益：一次投资800元：
从第二天起每天分红18积分;分红2400积分停产，停产后系统再免费的送一个金种子账户(每天产能也是18积分，金种子账户没有领导就和推荐奖)
动态详解：
1、推荐奖30%：直推一单奖金240积分.
2、领导奖10%：首先要成为报单中心后，公司奖励1--9代的10%，比如你推荐A她每天分红是18积分，那么你的分红奖是18元的10%也就是1.8积分(A的收益不变)
3、报单奖5% ：每单40积分，直推满9单可自动成为报单中心(你推荐了9个伙伴后你就可以注册会员)。
所有的奖金积分50%是现金(现金的7%为公司维护费)
37%是金种子
在平台累计达到800金种子,系统会免费送你一个新的账户，每天分红也是18积分;(每天产能也是18积分，金种子账户没有领导就和推荐奖)
10%是购股积分
用来购买百川世界原始股;100股起买，够500股发股权证书。
3%是购物积分
购物积分可以累计，1:1人民积分可以在百川购物商场消费;(可充话费，买苹果6手机，日常生活用品共600种左右)
1. 项目每个会员投资的钱公司每年收取60元的网络管理费;现金的7%做为维护费;
2. 公司后台提现：公司收取20%的手续费外，无其它费用。
3. 会员之间提现：满100元现金积分可以会员之间交易无手续费。
备注：每个会员一个身份证最多开十个账号，公司会不定期的抽查身份证后六位的正确率。
投资8000元收入和好处
假如一次性投资10个账号(封顶)，那么每天收入多少?
首先投资10个账号，1个为主账号，然后推荐自己9个账号，金种子第二天够800个，系统免费又送了一个号，一共11个号;优势是一次性成为注册中心。
【基础收益】：
每天总金积分收入为11&18=198积分 领导奖为16.2积分;共214.2积分
【现金收益】：
214.2积分的50%=107.1元
107.1&7%=99.603元(每天现金收入)
注册中心好处：
每当注册一个会员，奖励40积分
如何加入百川积分理财
相信看到这里的朋友们已经对百川积分理财多少有点了解和认同，时间永远不会等你，欢迎您的加盟。
因为百川积分理财是正规的虚拟数字货积分，所以公司不收钱。如果要加盟：
1、让你看到这条信息的朋友
2、找你的推荐人(微信：lp或QQ：)
注：加盟请找以上符合条件的会员，一律为800，对个别低价报单影响市场一经查实直接封号。现在好的团队，好的领导人多的数不胜数，不要贪图一点便宜而损失更多。
加盟注册资料模板
实名注册所需资料：
身份证后6位数：
编号： (最好姓名开头第一个英文字母加数字)
QQ： (选填)
注册账号如采用虚假身份证信息,联系电话不通或不是本人的被监管中心查处一律冻结!
注：加盟注册绝不会索要银行卡信息，加盟成功更改1,2级密码后自己在平台选填。
正确的加盟成功模板
恭喜你成为百川理财积分会员
您的会员编号为：
一级密码：(登录密码)
二级密码：
会员官方登录网站：
百川会员购物商城网：
注册成功后请及时更改一、二级密码。您所在的位置： >
有没有人做百川被骗的？公司合法性怎么样？
静态收益：一次投资800元：
从第二天起每天分红18积分;分红2400积分停产，停产后系统再免费的送一个金种子账户(每天产能也是18积分，金种子账户没有领导就和推荐奖)
动态详解：
1、推荐奖30%：直推一单奖金240积分.
2、领导奖10%：首先要成为报单中心后，公司奖励1--9代的10%，比如你推荐A她每天分红是18积分，那么你的分红奖是18元的10%也就是1.8积分(A的收益不变)
3、报单奖5% ：每单40积分，直推满9单可自动成为报单中心(你推荐了9个伙伴后你就可以注册会员)。
所有的奖金积分50%是现金(现金的7%为公司维护费)
37%是金种子
在平台累计达到800金种子,系统会免费送你一个新的账户，每天分红也是18积分;(每天产能也是18积分，金种子账户没有领导就和推荐奖)
10%是购股积分
用来购买百川世界原始股;100股起买，够500股发股权证书。
3%是购物积分
购物积分可以累计，1:1人民积分可以在百川购物商场消费;(可充话费，买苹果6手机，日常生活用品共600种左右)
1. 项目每个会员投资的钱公司每年收取60元的网络管理费;现金的7%做为维护费;
2. 公司后台提现：公司收取20%的手续费外，无其它费用。
3. 会员之间提现：满100元现金积分可以会员之间交易无手续费。
备注：每个会员一个身份证最多开十个账号，公司会不定期的抽查身份证后六位的正确率。
投资8000元收入和好处
假如一次性投资10个账号(封顶)，那么每天收入多少?
首先投资10个账号，1个为主账号，然后推荐自己9个账号，金种子第二天够800个，系统免费又送了一个号，一共11个号;优势是一次性成为注册中心。
【基础收益】：
每天总金积分收入为11&18=198积分 领导奖为16.2积分;共214.2积分
【现金收益】：
214.2积分的50%=107.1元
107.1&7%=99.603元(每天现金收入)
注册中心好处：
每当注册一个会员，奖励40积分
如何加入百川积分理财
相信看到这里的朋友们已经对百川积分理财多少有点了解和认同，时间永远不会等你，欢迎您的加盟。
因为百川积分理财是正规的虚拟数字货积分，所以公司不收钱。如果要加盟：
1、让你看到这条信息的朋友
2、找你的推荐人(微信：lp或QQ：)
注：加盟请找以上符合条件的会员，一律为800，对个别低价报单影响市场一经查实直接封号。现在好的团队，好的领导人多的数不胜数，不要贪图一点便宜而损失更多。
加盟注册资料模板
实名注册所需资料：
身份证后6位数：
编号： (最好姓名开头第一个英文字母加数字)
QQ： (选填)
注册账号如采用虚假身份证信息,联系电话不通或不是本人的被监管中心查处一律冻结!
注：加盟注册绝不会索要银行卡信息，加盟成功更改1,2级密码后自己在平台选填。
正确的加盟成功模板
恭喜你成为百川理财积分会员
您的会员编号为：
一级密码：(登录密码)
二级密码：
会员官方登录网站：
百川会员购物商城网：
注册成功后请及时更改一、二级密码。百川的二级密码是什么意思_百度知道
百川的二级密码是什么意思
我有更好的答案
就是交易密码～
等于有两个密码，又安全了很多
可以找推荐人问
其他类似问题
为您推荐：
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁}