前提是你用chrome储存的密码，它会定期检查你的密码有没有泄露
我刚开始上网的第一代通用密码很久以前就漏了
10年前左右开始用的通用密码也泄露了
刚才看到我6，7年前开始用的通用密码也漏了。。。

原理是什么？

怎么检查

哪里看呢？
一直用chrome，并没有发现这个功能

哪里有这个功能？没看到

如图

必须每个网站都用不同的密码,而且是10位以上的随机大小写字母数字组合,记在一个强加密的excel文件里

keepass
1password

跟网上那些查询的一个道理，比对泄露的hash吧，不过比你去网站输个密码安全点，至少不会钓鱼。

现在都用chrome的推荐密码了，缺点就是如果重装电脑，你又没有番茄工具，就登陆不了了。
tgbxs

谢谢LZ。刚刚检查了下，虽然没发现泄露，但是没设置安全浏览，现在设置成了强化安全浏览。

不灵的，只要你的密码别的网站有撞库的就算其实不重要的网站完全不用理会比如论坛这种。

你们以为是hash后比对。。。。实际是。。。。

明码？google活腻了

这不应该吧，泄露的密码库里的密码应该是明文密码，和你的密码（明文）直接做对比。说明google居然保存的是你密码的明文版本！，就算google自己不偷看，它能确保保存的密码不被人黑了后泄露吗。

最安全的方法是本地也加密保存吧，但是加密过的密码，和google手里的密码库，又无法直接对比啊

chrome密码肯定不是明文保存，但是肯定是加密保存的，所以对比的时候是解密后明文对比。
明文对比不代表一定是明文保存。
如果hash的话那就没法帮你自动填密码了不是吗。

技术上google不需要存你的明文
hash后存上，和泄漏的密码hash一下对比就行

这个hash是没有解密的。。。能解还不如直接存明文呢。。

hash了没法帮你自动填密码，所以肯定不是hash保存的。
加密和明文差距还是不小的，就像http和https。

1.Google是每用户账户有一个对称加密key，然后用户明文密码数据库会有一个用该Key加密保存的版本（注意是明文）。
2.这个加密key和经过该key加密后的明文密码数据库在同步时会存到Google云端该账户名下。（如何分离存储这两部分，避免员工越权访问是另一回事）
3.然后该用户在其他设备/浏览器上同步自己账户时，会将你的唯一对称加密key、你的明文密码数据库的加密版本这2个东西分别同步回本地，用对称key解密该密码数据库，得到你的明文密码库非解密版本。这样你就可以在这个新设备上自动填写网页表单了。
4.Google会在云端利用你的明文key去和网上重大安全事故泄露的明文密码数据库比较（具体实现上为了权限隔离，公司内部大概率会对两者都作额外hash后保存和比对，防止明文库被内部低权开发人员访问），也会用你的明文key经过已知的hash+salt算法/参数，去和重大安全事故泄露的非明文(但hash+salt参数已知)的密码数据库进行比对。这样完成你的密码安全性检测和提醒。

结论：

如果你不信任Google：不到万不得已，否则绝对不要按Google浏览器上的同步按钮。最好是根本不要去用密码的保存功能。最好连本地的密码保存都别用，包括停止使用Google输入法。

如果你信任Google：什么都可以。隐私换便利性的事儿。

[本帖最后由 SONIC3D 于 2020-7-22 03:14 编辑]

关注一下

还有人用google的自动填充密码？google服务器在美国，美国政府对你的密码一清二楚，棱镜门可没有停止哦。

用keepass吧。

本帖最后由 zaku303 于 2020-7-22 09:04 通过手机版编辑

我有一套密码早就泄露了，chrome似乎也没提示啥呀，看来这功能一般般

不信谷歌信国产？

谷歌把你卖的干干净净，你还相信它？

你不信任国产，可以用keepass，本地存储，开源软件，不相信现成的程序可以自己编译源代码。

赶紧keypass走起来，我已经基本上大多数论坛都换密码然后用keypass存了。。。

你引用的我写的文字里有哪一段是推荐信国产的吗？你就不能都不信吗？
你就想想你平时银行卡密码金融账户密码除了你自己还会交给谁，你就把你网络密码也交给他就是了。其他人一个都不能信。

( - -