Devo permettere ai browser di ricordare le mie password e sincronizzarle?

76

Mi chiedo, quanto è saggio consentire a Chrome e Firefox di a) ricordare le password b) sincronizzarle? Il mio istinto mi dice che se non è l'uomo nel mezzo che può intercettarli, ma Google e Mozilla possono vederli sui loro server o con l'aiuto dei loro browser. Certo, dicono che non lo faranno e le password vengono archiviate crittografate, ma possiamo saperlo di sicuro? Forse i browser stessi inviano segretamente le password a Google e Mozilla.

Ho appena iniziato a usare keepass di recente, quindi almeno ho un posto dove le mie password sono memorizzate localmente, perché in precedenza le ho archiviate solo nei browser e sincronizzate. E ora penso che non dovrei sincronizzarli più.

    
posta アレックス 09.03.2016 - 06:17
fonte

13 risposte

68

Espandere ciò che @ d1str0 ha detto: se il creatore del tuo browser voleva rubare le tue password, sarebbe banale inviarle a un server controllato dal produttore ogni volta che le hai inserite - non hanno bisogno di preoccuparsi per il fastidio di informarti sulle procedure di sincronizzazione o sull'offerta di ricordare le password. Per impostazione predefinita, tutti i browser inviano un certo livello di dati di utilizzo, in genere segnalazioni di arresti anomali e controlli di aggiornamento, che potrebbero facilmente nascondere dati relativi a password e nome utente.

Tuttavia, se fosse stato trovato un browser qualsiasi, ci sarebbe stata una protesta nei confronti di quel produttore - guarda la rabbia rivolta a Microsoft dopo il rilascio di Windows 10 con la funzione di reporting back abilitata lì.

Keepass e Password Safe sono entrambi aperti fonte (quindi, data una conoscenza di programmazione sufficiente e un compilatore di fiducia, puoi essere certo che stanno facendo quello che dicono di essere, e nient'altro - una conoscenza di programmazione sufficiente potrebbe essere comunque un livello molto alto). In entrambi i casi, i file delle password crittografate devono essere sincronizzati in modo sicuro, anche con fonti di terze parti, purché non venga fornita la password sicura. Breaking AES (Keepass) o TwoFish (Password Safe) senza la chiave appropriata (la password sicura) scende, per quanto ne sappiamo, alla forza bruta.

Lastpass e 1Password richiedono entrambi di fidarsi gli sviluppatori e si sincronizzano per impostazione predefinita in una posizione remota. Teoricamente, sono sicuri, ma non ci sarebbe alcun modo ovvio per rilevare una vulnerabilità in loro relativa allo storage. Se temi che Chrome o Firefox rubino le password, logicamente, gli stessi argomenti si applicano a queste app.

Personalmente, uso uno dei servizi di password basati su cloud menzionati - ho considerato i rischi e i benefici e ho bilanciato la quantità di sicurezza che sono disposto ad accettare contro la facilità d'uso del servizio, e ho deciso che per i miei casi d'uso, è accettabile. Il tuo rischio accettabile potrebbe essere diverso: se consideri AES vulnerabile, ad esempio, tenere un Keepass sicuro su una chiave USB crittografata che utilizza un algoritmo di crittografia diverso potrebbe essere un'opzione praticabile, ma il caricamento del file su un servizio di terze parti potrebbe essere "troppo rischioso" per te.

Si tratta di ciò che consideri sicuro, dopo aver valutato le opzioni. Molti professionisti della sicurezza hanno preso in considerazione questo problema e generalmente consigliano l'uso di un software di tipo sicuro per consentire ai browser di ricordare le password, semplicemente perché i browser erano terribili: hanno consentito l'accesso senza una password principale e utilizzato metodi di crittografia scadenti. Alcuni di questi problemi sono stati risolti ora, ma le vecchie abitudini sono dure a morire!

    
risposta data 09.03.2016 - 10:18
fonte
47

Se fossi preoccupato che Chrome o Firefox rubassero le tue password, in primo luogo non le useresti come browser web.

Un'applicazione come Keepass o LastPass può mantenere le tue password crittografate con una password principale.

Se non si utilizza una password principale, il browser Web può decrittografare le password in qualsiasi momento.

Sta a te decidere quale livello di sicurezza desideri.

    
risposta data 09.03.2016 - 06:58
fonte
10

Oltre alle risposte relative ai gestori di password, c'è un momento in cui è necessario tenere conto dell'incertezza.

Per fare l'esempio di KeePass: oltre a fidarti delle persone che riesaminano il codice (o fidati di te stesso per avere le conoscenze necessarie per controllarlo tu stesso), devi anche fidarti del fornitore del binario (che corrisponde alla pubblicità codice). Oppure ricompilalo da solo e credi che il compilatore sia corretto. E anche il sistema operativo è affidabile.

Questo è un sacco di "fiducia" e arriva sempre un momento in cui l'analisi del rischio dichiara che è "abbastanza buono". Questo "abbastanza buono" è ciò che dovresti cercare, rispetto ad altri rischi .

Sono con @Matthew riguardo all'uso dei gestori di password online: ti proteggi contro il rischio più probabile (un sito è compromesso ma hai password uniche e lunghe grazie al gestore password) contro la possibilità che Google / NSA / [mettere la tua organizzazione preferita qui] è dopo di te. se ti stanno seguendo avranno modi più efficienti per accedere ai tuoi dati.

    
risposta data 09.03.2016 - 11:34
fonte
7

Usi un computer condiviso? Se sì, o se il tuo disco rigido non è crittografato, allora no, non permettergli di salvare le password.

Non consentirei a un browser di ricordare la mia password, trovo che usare un gestore di password sia molto più semplice. Firefox (e presumo Chrome) consente, ma non richiede, l'uso di una password principale, che crittografa le password memorizzate (è a mia conoscenza che le password sono crittografate a prescindere, ma senza una password principale, nulla impedisce a chiunque di utilizzare la memoria Le password). La maggior parte delle persone non riesce a utilizzare la funzione di password principale e penso che sia dovuta al fatto che possa essere ricercata esplicitamente. Utilizzando Firefox 44.0.2, se un sito conosce la tua password, puoi

Fai clic con il pulsante destro del mouse sul campo della password > Riempi password > Visualizza login salvati > Mostra password (accetta la richiesta).

Nessuna autenticazione richiesta e tutto è in testo normale.

Che cosa è ancora più semplice e funziona su tutti i browser?

Fai clic con il tasto destro del mouse sul campo della password > Ispeziona elemento (può essere chiamato diversamente) > cambia il tipo da "password" a "testo"

Ancora una volta, non è richiesta alcuna autenticazione e tutto è in testo semplice.

    
risposta data 09.03.2016 - 16:12
fonte
4

Sembra che per l'utente medio ci sia un ragionevole compromesso: fai in modo che il tuo browser web salvi quelli meno importanti e salva il resto in modo più sicuro.

Ho qualcosa come 100 password per vari siti su internet. Probabilmente 80 di loro non mi interesserebbero se qualcuno rubasse: potrebbero, nel peggiore dei casi, farmi sembrare uno stronzo su Ars Technica o simile. Nessun denaro (o denaro insignificante e limitato) è associato al sito e alla password, e non è una password che utilizzerei mai per qualcosa che ha soldi. Quelli che ho fatto ricordare a Chrome.

L'altro ~ 15-20 che mi interessa - la carta di credito e gli accessi bancari, il mio sito di assicurazione sanitaria, ecc. - Tengo in un gestore di password crittografato offline. È offline, quindi in teoria potrebbe essere perso (anche se ce l'ho su due dispositivi separati, ma gli incendi domestici e simili sono possibili); ma tutte queste password potrebbero essere (in qualche difficoltà) recuperate se assolutamente necessario. In generale, però, sono al sicuro dall'hacking, a patto che le password non vengano recuperate da un hack del sito, ovviamente è una password (e sono frasi di passaggio uniche e complesse che potrebbero essere relativamente sicure anche in molte di quelle intrusioni).

Infine, la mia password e-mail non è memorizzata ovunque tranne che nella mia testa. Questo perché è il punto debole: un attacco di ingegneria sociale combinato con l'accesso alla mia posta elettronica potrebbe consentire a qualcuno di recuperare / ricreare le password per tutte le altre posizioni. Uso l'email abbastanza da poter memorizzare in modo sicuro tale password (e ovviamente ho un metodo di recupero per questo se non lo sono).

    
risposta data 09.03.2016 - 16:57
fonte
2

Un compromesso è usare KeePass con l'estensione per Firefox KeeFox che ti permette di usare le password dal tuo KeePass password vault con Firefox automaticamente, senza effettivamente memorizzandoli tramite Firefox.

    
risposta data 09.03.2016 - 16:50
fonte
1

È piuttosto semplice: affidare le tue password a un browser, che, anche se le buone intenzioni non sono la sua funzione principale, è sempre un problema. Soprattutto se nel browser sono installati plug-in o se l'archivio della password non è protetto da una (principale) password principale.

Quanto è grande un problema? Devi decidere. Sicuramente ho lasciato che i miei browser privati memorizzassero le password su siti non importanti, ma non per il mio conto bancario o account di posta personale. Il fatto che molte banche online rendano davvero difficile / impossibile lasciare che il browser memorizzi la password (sostituendo un semplice modulo di input con uno schema elaborato, ovvero dover fare clic su un tastierino numerico stilizzato con il mouse) dovrebbe dirti qualcosa.

Per KeePass ecc. è esattamente lo stesso pensiero, tranne che la barra è sollevata più in alto. Ad esempio, se sei veramente paranoico, non lo userai neanche tu, ma puoi fidarti di loro "un po 'di più" dei browser. Quanto spetta a te.

    
risposta data 11.03.2016 - 15:58
fonte
1

Le password memorizzate in questo modo sono estremamente insicure. Basta provare ad accedervi e si noterà che è possibile accedervi inserendo la password dell'account utente windows / linux. C'erano e probabilmente sono degli exploit per cambiare la password dell'account utente windows / linux o controllare quel controllo. Pertanto, non memorizzare mai password di obiettivi di alto valore come un conto bancario online, in particolare su un computer di lavoro.

    
risposta data 10.03.2016 - 03:00
fonte
1

Un argomento a favore di consentire ai browser di archiviare le tue password, che non ho visto nessun altro qui creato, è che può proteggerti dagli attacchi di phishing.

Chrome inserirà automaticamente le tue credenziali di accesso, ma lo farà solo se l'URL è corretto ... e se il sito è ben progettato, l'URL sarà stato verificato dall'autorità di certificazione tramite HTTPS. Se accedi a una pagina di accesso e Chrome non ha inserito automaticamente le credenziali, allora questo è motivo di preoccupazione e ricontrolla che sei nel posto giusto.

    
risposta data 21.03.2016 - 13:48
fonte
0

Ci sono molte risposte qui con alcune buone informazioni. Come sottolineato da alcuni di loro, ogni volta che si utilizza qualsiasi software, si sta investendo un certo livello di fiducia in quel software.

Con il rispetto dei browser e il loro utilizzo per memorizzare le tue password, non credo che la tua preoccupazione principale debba essere il produttore del browser. Si tratta in genere di organizzazioni più grandi che hanno notevoli investimenti nella loro reputazione. Sono anche sottoposti a una discreta quantità di controlli (specialmente cromo e firefox).

La vera minaccia proviene da siti / pagine Web dannosi e plug-in del browser. Per questo motivo, ritengo che una delle proprietà più importanti da cercare sia se il browser consente di impostare una password principale per le password memorizzate e se è necessario immettere tale password principale prima di poter utilizzare una password memorizzata.

In particolare, Chrome è stato criticato per non aver fornito sufficiente sicurezza per quanto riguarda le password memorizzate. Credo che la situazione sia migliorata, ma ciò è stato in gran parte dovuto al grido del pubblico.

Se stai usando qualcosa come keepas, allora non vedo alcun vantaggio nella memorizzazione delle tue password nel browser. Uso un gestore di password e disabilito la possibilità per tutti i browser che utilizzo di memorizzare le password in quanto non fornisce alcun vantaggio aggiuntivo.

Trovo che le persone spesso fraintendano il motivo dei gestori di password o enfatizzano gli aspetti sbagliati di essi. Molti li vedono dal punto di vista della convenienza. Consentiranno qualsiasi opzione di convenienza senza considerare l'impatto che ha sulla sicurezza, ad esempio la memorizzazione nella cache della password principale, il riempimento automatico automatico ecc. Mentre i gestori di password di qualsiasi tipo possono essere convenienti, il vero vantaggio è la riduzione del numero di complessi password che devi ricordare. È necessario ricordare solo una password complessa e complessa e ciò che si desidera è la possibilità di immettere la password principale prima che il sistema compili la password "reale". Non vuoi veramente la comodità di inserire automaticamente la password - accetta quel livello di disagio per assicurarti di mantenere il controllo.

    
risposta data 11.03.2016 - 02:47
fonte
0

Per gli accessi online, hai gli strumenti facili, come Lastpass con una buona integrazione del browser, e quelli che richiedono più lavoro, come Keepass, in cui devi copiare e incollare gli accessi. Questo è molto più lavoro quando è necessario accedere a molti siti ogni giorno.

Se ti fidi di Lastpass (o strumenti simili) in meno, puoi ancora usarlo per i siti web che non sono così importanti.

Siti web importanti - pensa a Paypal, Amazon, Ebay, dove perdere il tuo account può costare denaro, o account di posta come Gmail o Hotmail, dove perdere l'account potrebbe essere un problema ancora più grande in quanto rende possibile il reset degli accessi in altri sito web.

Meno siti web importanti: login per un forum di giochi, per Reddit, per un account Twitter non attivo, per forum di discussione, ecc. Buona possibilità che tu possa provare di essere te stesso e reclamare l'account, sfortuna se non lo è. Non è una grande perdita. E se il tuo account Reddit significa la tua vita, per me davvero non mi interessa. Quindi lo salverei in Lastpass, ma forse lo vuoi mantenere più sicuro. Cosa tenere dove dipende da te.

    
risposta data 21.03.2016 - 14:44
fonte
-1

Se le tue password sono abbastanza facili da ricordare * o abbastanza importanti **, è meglio non salvarle sul tuo computer (nel browser o altrove) perché in pratica stai dando via la tua password se qualcuno ruba il tuo computer. < br> Anche se le tue password sono criptate, questo è solo un meccanismo di ritardo, fortunatamente non molte persone avranno le conoscenze / risorse per preoccuparsi anche di decifrarle e probabilmente venderanno il tuo computer per guadagnare denaro.
Se scegli di utilizzare un gestore di password, approfittane: genera una password casuale utilizzando tutti i caratteri validi e fallo finché è consentito (4096 caratteri potrebbero essere ridicoli però ...).

* non usare password brevi, troppo facili da usare per forza bruta (10 caratteri è un buon punto di partenza)
** ad es., banca, email, negozi, Facebook (può essere utilizzato per accedere ad altri servizi)

    
risposta data 09.03.2016 - 17:34
fonte
-2

Gli altri utenti sono la ragione più preoccupante.

Non utilizzerei alcun software per ricordare password, perché oltre a consegnare loro le password che uso, c'è un rischio molto più elevato di qualcuno che ha violato il tuo account Google (ad esempio) e scarica tutte le altre password.

Puoi salvare le tue password in Chrome, quindi configurarlo per eseguirne il backup su Google. Quindi, qualcuno esegue l'hacking del tuo account Google eseguendo alcuni keylogging.

Possono accedere a tutte le password salvate in chiaro, direttamente dal pannello di controllo del profilo del tuo account Google.

Tuttavia, questo potrebbe essere mitigato dall'uso di TFA.

Come ho detto, non userei mai alcun software di memorizzazione dei pass, ma principalmente per questo motivo.

    
risposta data 10.03.2016 - 12:34
fonte

Leggi altre domande sui tag