密码应存储散列和加盐

因为我们必须假设每个数据库都可能遭到破坏，所以不应将纯文本密码存储在任何地方。相反，密码应该是散列的，这是一种单向算法，最好使用计算速度慢的算法，并为每个密码使用不同的长盐。有很多文章一般解释了这些方法，包括CrackStation: Salted Password Hashing - Doing it Right。

谷歌账户密码

除非谷歌在某处记录了它（或者哈希值被破坏），否则我们无法说出它们的实施细节。我们只能相信这个巨头正在正确处理我们的密码。但是每个人都会犯错，甚至谷歌实际上也在他们的一个解决方案中存储了 15 年（2005-2019 年）的纯文本密码。来自Suzanne Frey：通知管理员未散列密码存储：

Google 的政策是使用加密哈希存储您的密码，这些哈希会掩盖这些密码以确保其安全性。但是，我们最近通知了一部分企业 G Suite 客户，一些密码未经散列存储在我们的加密内部系统中。这是一个仅影响企业用户的 G Suite 问题——没有免费的消费者 Google 帐户受到影响——我们正在与企业管理员合作，以确保他们的用户重置密码。

了解这一点，作为用户，您应该：

1. 为每项服务使用不同的密码。如果一个被破坏，它不会影响所有其他人。
2. 使用强而长的密码。如果密码的散列版本泄漏，它将减慢离线暴力破解的过程。

要同时实现这两者，建议使用密码管理器。一个好的密码管理器会存储所有使用主密码加密的密码。

虽然仅离线存储密码是最安全的，但在设备之间同步密码可能更方便。这种同步应该保持存储加密：密码不应该以明文形式存储在云中，服务提供商甚至不应该知道任何第 3 方服务的密码。

Google Chrome 密码管理器（不是一个好的选择）

正如评论中提到的，谷歌密码管理器是谷歌实际上在他们的服务器上拥有你的纯文本密码而不对其进行哈希处理的情况，因为这是在登录到你的谷歌帐户的每个 Chrome 安装都可以访问时保持它们可用的唯一方法给他们。这不符合上面建立的良好密码管理器的要求。

可以通过关闭密码选项来禁用chrome://settings/syncSetup/advanced同步。但是，它不会使本地存储安全。

更多阅读：

• Chris Hoffman：为什么不应该使用 Web 浏览器的密码管理器
• Mark Hachman (PCWorld)：谷歌 Chrome 的新密码管理器让保护 Chrome 变得更加重要
• Ed Bott (ZDNet)：可以使用浏览器的内置密码管理工具吗？

是的，他们确实存储了加密密码，他们怎么能将旧密码与新密码进行比较。他们将其翻译成什么语言无关紧要，它仍然被存储