这黑客是 “ 来势汹汹 ” 啊，不但自称骇入了我的电脑设备，而且我的麦克风啊，键盘，显示器这些硬件有一个算一个，都在他的控制之下。

　　顺便呢，这位大哥为了证明他确实了解我，控制了我的电脑，在邮件里还附带了一张我当时电脑上的截图。

　　看着电脑爆出来的风险提示，再傻我也是第一时间反应过来，当场终止了进程 + 斩草除根删除软件 + 摇了一个外援来帮忙一起解决电脑问题。

　　所以两者拿来一看， Chrome 保存在本地的密码不安全，入侵者可以在很短的时间里就盗取到大家的密码？

　　大家可以回忆一下咱们用 Chrome 的样子，每次自动填充密码的时候，是不是都非常 “ 无感 ” 的直接把咱们的账号和密码都填进去了。

　　找到它之后通过 SQLite3 数据库进行连接，就可以找到我们存储的 “ 网址 ” —— “ 账号 ” —— “ 加密后的密码 ” 这三者的对应关系了。

　　（ 这里解密调用的是微软自己的 win 32 的 dpapi 函数，需要在本机上进行破译（ 意思是别人拷贝走了你这两个文件也没有用 ） ）

　　没错，在 Windows 上破解 Chrome 密码就是这么简单，甚至不需要管理员权限，或许连风险提示都不会有。

　　早在 2013 年左右就有过回应：“ 如果有人入侵了你的系统用户账号，即使再多的安全措施也是无用的。就是如果贼人进入了你的家中，那么你家中所有的物品都是有危险的。”

　　乍一听是有一点道理，是不是如果托尼我自己注意安全，不去点开那些来历不明的软件，那不是就万事大吉了嘛？

　　但仔细一想就会发现谷歌在这儿 “ 不作为 ” 的甩锅言论有多离谱，我作为用户，确实一不小心把贼人放进了家中。

　　那谷歌作为全球使用人数最多的浏览器，作为全球顶级的搜索引擎开发商，遇到这种用户隐私的问题，不去想着如何保护大家，反而先去责怪用户粗心大意？

　　虽然我也清楚，当自己家门被攻破后，任何防护方法或许都不能做到 100% 的安全，但同样是做不到绝对的安全，别的厂商也在尝试各种不同的办法来保护大家。

　　或者你对大厂们的服务不放心的话，也可以选择一些本地的第三方密码本软件，比如付费的 1Password 可以选择本地密码保存，或者自己搭建免费开源的 Bitwarden 服务。

　　本文为澎湃号作者或机构在澎湃新闻上传并发布，仅代表该作者或机构观点，不代表澎湃新闻的观点或立场翻墙连接谷歌地图服务器，澎湃新闻仅提供信息发布平台。申请澎湃号请用电脑访问。