Quanto è sicuro conservare una password di Chrome?

123

Ogni volta che inserisco un accesso in un nuovo sito, Chrome mi chiede se deve memorizzare i dettagli di accesso. Credevo che fosse abbastanza sicuro. Se qualcuno ha trovato il mio computer sbloccato, potrebbe superare la schermata di accesso di alcuni siti Web utilizzando i dettagli memorizzati, ma se gli viene richiesta di nuovo la password come durante il checkout o se desidera accedere al servizio da un altro dispositivo, sarebbe fuori di fortuna.

Almeno, questo è quello che pensavo quando credevo che il browser non memorizzasse la password stessa, ma un hash o una crittografia della password. Ho notato che il browser riempie i campi nome utente e password e il campo password indica il numero di caratteri nella password.

Sono una di quelle persone che quando viene chiesto di cambiare la password mantiene solo la stessa password, ma modifica un numero alla fine. So che non va bene, ma con quanto spesso mi viene chiesto di cambiare le password, non riesco davvero a ricordare il numero di password che mi si aspetta. Ciò si traduce in un sacco di password che sono le stesse, ma a volte ho dimenticato quale deve essere il numero finale per un particolare accesso.

Non riuscivo a ricordare il numero finale di un determinato accesso, quindi sono andato a un sito Web in cui è stata memorizzata la password. Ho eliminato l'ultimo paio di caratteri e ho provato numeri e viola diversi, sapevo qual era il numero giusto.

Mi sembra che questo sia un difetto di sicurezza fondamentale. Se riesco a controllare l'ultimo carattere della mia password senza controllarne altri, allora la quantità di tentativi necessari per incrinare la password cresce linearmente con il numero di caratteri non esponenziale. Da lì sembra un breve passo per dire che se qualcuno è venuto al mio computer quando è stato sbloccato, un semplice script potrebbe estrarre tutte le password memorizzate per tutti i principali siti Web per i quali ho memorizzato le password.

Non è questo il caso? C'è qualche altro livello di sicurezza che impedirebbe questo?

    
posta Tony Ruth 01.10.2017 - 19:23
fonte

9 risposte

135

Chrome non solo memorizza il testo della tua password, ma te lo mostrerà. Sotto Impostazioni - > avanzato - > gestisci le password puoi trovare tutte le tue password per tutti i tuoi siti. Fai clic su mostra su uno di essi e verrà visualizzato in chiaro.

Le password con hash funzionano per il sito che ti autentica. Non sono un'opzione per i gestori di password. Molti crittografano i dati localmente, ma la chiave verrà anche archiviata localmente, a meno che non si disponga di una configurazione della password principale.

Personalmente, io uso il gestore delle password di Chrome e lo trovo conveniente. Tuttavia, ho anche la crittografia completa del disco e blocco il mio schermo diligentemente. Ciò rende ragionevole il rischio imho.

Sembra che tu sia incoerente (molti lo sono) sia selezionando le password memorabili sia utilizzando un gestore di password. E posso azzardare a indovinare che potresti persino ripetere la password o almeno il tema su molti siti. Questo ti dà il peggio di entrambi i mondi. Ottieni i rischi del gestore di password senza i vantaggi.

Con un gestore di password di cui ti fidi, puoi dare a ciascun sito una password casuale unica non memorabile e ottenere molta protezione da molti vettori di attacco molto reali. In cambio di un singolo punto di errore del tuo gestore di password. Anche con un gestore di password non perfetto questo non è un compromesso irragionevole. Con un buon gestore di password questo sta diventando la best practice del consenso.

Modifica da aggiungere: leggi Henno Brandsma risponde spiegando come la password di accesso e il supporto del sistema operativo possono essere utilizzati per crittografare le password, questo fornisce un ragionevole livello di protezione alle password quando il computer è spento / bloccato (la crittografia completa del disco è migliore) e non aiuta molto se lasci il tuo computer sbloccato. Anche se il browser richiede la password per mostrare gli strumenti di debug in testo normale, sarà comunque possibile visualizzare le password già inserite come commenti @Darren_H. La raccomandazione precedente continua a utilizzare password univoche casuali e un gestore di password.

    
risposta data 01.10.2017 - 21:10
fonte
77

Chrome (in Windows) in realtà crittografa le password quando memorizzato. Ma lo fa in un modo che solo qualcuno che conosce la tua password di accesso (o dirottare la tua sessione di accesso) può effettivamente utilizzare o visualizzare le password memorizzate. Questo è ben documentato (utilizza la cosiddetta Data Protection API (DPAPI), che è in Windows da NT 5.0 (cioè Windows 2000) in poi, che oggi utilizza AES-256 per crittografare i dati della password). Google ritiene che questa sicurezza sia sufficiente, poiché ha lo stesso livello di protezione dell'intero accesso. Su Mac o Linux usano la tecnologia keychain nativa per proteggere una password master di Chrome speciale, ottenendo lo stesso effetto, in sostanza. Leggi le fonti per tutti i dettagli ...

Edge e IE (disponibili ovviamente solo su Windows) utilizzano questa tecnologia, BTW, sotto un wrapper chiamato Credential Store, nelle ultime versioni di Windows (e prima che usassero i dati DPAPI memorizzati nel registro). Per maggiori informazioni su DPAPI, vedi qui , ad es.

Vedi link per un esempio su come le persone estraggono i dati memorizzati delle password, conoscendo le tue credenziali di accesso.

    
risposta data 02.10.2017 - 00:12
fonte
28

Per favore, per favore, smetti di riutilizzare le tue password!

In Firefox puoi effettivamente impostare una password principale che proteggerà le tue password memorizzate dalla visualizzazione. Questa password principale sarà richiesta anche una volta per sessione prima che il browser inizi a compilare le password per te.

Puoi anche utilizzare un gestore di password generico, ad esempio Keepass .

In ogni caso, per la maggior parte delle persone il pericolo di perdere una password perché un sito è stato violato è più grande che perderlo sul proprio computer. Questo perché un utente malintenzionato con accesso al tuo computer ha molte altre opzioni per attaccarti. Uno dei principali vantaggi dell'utilizzo di un gestore di password è che non è necessario immettere manualmente la password in modo da poter effettivamente scegliere password completamente casuali e sicure.

Se hai riutilizzato le password per un po ', c'è un sito accurato per controllare alcune delle violazioni più importanti per vedere se sei stato interessato: link

Se devi utilizzare molte macchine diverse puoi prendere in considerazione l'utilizzo di qualcosa come Keepass2Android sul telefono.

    
risposta data 02.10.2017 - 00:00
fonte
5

Chrome è vulnerabile al dumping delle password. Ci sono molti strumenti là fuori che scaricheranno le password di Chrome. LaZagne è uno di questi. Non hai nemmeno bisogno di privilegi o credenziali di amministratore o altro.

Apparentemente, questo è semplice come connettersi al database SQLite e quindi chiamare Win32CryptUnprotectData per decodificare la password.

link

Un utente malintenzionato può semplicemente eseguire questo dump di password o installare malware e quindi eseguire in remoto questo strumento. Tuttavia, un utente non tecnico non sarebbe in grado di svolgere questa attività. Pertanto, la memorizzazione delle password nel browser è sicura contro le persone non tecniche, ma inefficace contro malware o utenti tecnici.

    
risposta data 02.10.2017 - 21:21
fonte
5

Puoi anche visualizzare le password in Chrome modificando l'HTML. Cambia il tipo di campo di input in "testo" e puoi vedere le informazioni precompilate in testo normale. Quindi, se qualcuno sul tuo computer conosce un sito web sul quale sei registrato e Chrome carica automaticamente la tua password, può vederla.

    
risposta data 02.10.2017 - 17:04
fonte
3

Il più grande pericolo è avere un browser senza una password principale e lasciare il computer senza bloccarlo: chiunque può quindi fare rapidamente una foto delle password memorizzate, ci vogliono solo pochi secondi. Quindi è ovvio: blocca sempre il tuo computer e imposta una password principale, non riusare password o pattern simili ...

    
risposta data 02.10.2017 - 14:08
fonte
0

Se sei preoccupato per qualcuno che accede al tuo portatile mentre sei loggato (ad esempio lo stai usando al lavoro o in un luogo pubblico e occasionalmente lo lasci non sorvegliato, o non ti fidi di un membro della famiglia), memorizzando la password in un browser non è una buona soluzione. Se sei preoccupato per il malware sul tuo computer (che potrebbe catturare la tua digitazione) o per le persone che vedono ciò che scrivi, è piuttosto sicuro contro di esso, e queste sono preoccupazioni molto più comuni.

    
risposta data 02.10.2017 - 09:36
fonte
0

È abbastanza certo che nessun meccanismo è sicuro al 100%, ma alcuni meccanismi sono più sicuri di altri. Al livello più semplice, una password lunga è più sicura di una password corta, ma è più difficile da ricordare e digitare correttamente. Quello che devi decidere è dove si trova l'equilibrio tra sicurezza e facilità d'uso. I gestori di password sono una risposta se il rapporto costi / rischi è giusto per te.

Se non ti fidi dei meccanismi che memorizzano la tua password sul tuo computer, allora un modo per aggirare questo è usare un algoritmo per generarne uno ogni volta che ne hai bisogno. Mi capita di utilizzare un piccolo programma che implementa una variante di Playfair ( link ) per generare parte della mia password per qualsiasi sito - che ha il vantaggio di poterlo creare a mano se necessario. Tuttavia, evita algoritmi banali (come semplicemente invertendo le lettere in un sito web).

Molte aziende richiedono di cambiare periodicamente la password. Questo era uno standard, ma GCHQ ora sconsiglia la pratica (vedi link ), proprio per la ragione che hai menzionato. Speriamo che questo requisito diventi meno frequente nel tempo.

    
risposta data 04.10.2017 - 15:01
fonte
0

Dipende dalla tua piattaforma.

Su Linux Chrome utilizza kwallet / gnome-keyring sul desktop KDE o gnome, che dovrebbero entrambi fornire una buona sicurezza. Su OSX utilizza il portachiavi OSX, che ha anche una buona sicurezza. Su Windows implementano la propria archiviazione di password, che non è sicura come i portachiavi del sistema sull'altro sistema operativo.

Per i punti deboli specifici dell'implementazione di Windows, vedi le altre risposte.

    
risposta data 05.10.2017 - 16:39
fonte

Leggi altre domande sui tag