核心问题在于,你没有办法证明你的小程序不会盗用密码。
退一步讲,假设你不会盗用密码,怎么证明你的数据是加密的,而不是明文存储(或者你的私有密钥(密码)加密的),用户的主密码只是登陆的时候判断一下?
再退一步,假设你是使用用户的主密码加密的,有什么东西能保证客户端向服务器提交主密码的时候,腾讯不会记录、拦截或者遭到 MITM ?
说个案例吧,有个网盘叫 MEGA,主打安全加密。
人家怎么证明安全呢?
1.数据在客户端完成加密。( https://help.mega.nz/webclient/security-and-privacy.html )
2.开源。( https://github.com/meganz/ )
3.公司设立在司法体系更加健全的新西兰。
人家拿出了东西证明自己的安全,而不是空口说说而已。
腾讯收集信息是实打实的,去年腾讯旗下一款游戏公开声明会收集包括 SS 配置信息在内的非常多的信息: https://www.solidot.org/story?sid=59369 (这个事情至今很奇怪,发现作弊直接封号就完了为啥要收集这么多信息)。
一个黑箱的系统当然会让注意安全的人怀疑,你相信这个黑箱的系统那是你的事情,但是别人则不一定相信,拿不出干货回应只耍嘴皮子和质疑其他(甚至是开源的)密码管理软件当然会继续被人喷。
Talk is cheap. Show me the code. —— Linus
PS:可能因为这么多人喷你,让你觉得受到打击了,但是国内隐私和数据保护做的确不好,先不说各种黑产,个人数据到处卖也不是什么少见的事情,这都 2020 年了,各种垃圾短信你也没少见吧?
安全这个东西,真的很复杂。