Perché dovremmo impedire agli utenti di salvare le loro password nel loro gestore di password?

Naviga le tue risposte
10

Capisco che ci sono alcuni altri controlli, come 2FA, per effettuare transazioni in molti siti web di conti bancari, mentre solo gli utenti hanno bisogno di nome utente e password per accedere all'account.

Ho notato che posso salvare la mia password nel mio gestore di password LastPass mentre in un altro mio conto bancario l'hanno disabilitato in qualche modo. Lavorando per una società finanziaria, mi ha fatto prendere in considerazione la possibilità di creare questo tipo di protezione: un'opzione che consente di disabilitare l'opzione per gli utenti di salvare le proprie password ai propri gestori di password come LastPass.

Sarà molto semplice implementare questo tipo di soluzione di crittografia lato client, ma mi chiedo perché queste banche farebbero questa linea "extra" di protezione della sicurezza.

    
posta Filopn 29.09.2018 - 15:53
fonte

4 risposte

38

NON.

Le password univoche sono uno degli aspetti più importanti della sicurezza delle password, in quanto una violazione in un sito diverso non influirà sugli altri siti per lo stesso utente.

Le password uniche per sito sono quasi impossibili senza gestori di password. Inoltre, i gestori di password abilitano una password più lunga. Ad esempio, la maggior parte delle mie password sono uniche, di 60 caratteri, contenenti caratteri speciali. Questo è modo più sicuro rispetto alle precedenti password di dieci caratteri che ho usato in precedenza - con molto riutilizzo della password.

In breve; la tua idea probabilmente porterà a peggio sicurezza. E farà arrabbiare seriamente gli utenti attenti alla sicurezza. Segui invece le NIST Guidelines e non provare a controllare come gli utenti inseriscono la password.

Inoltre, tali tentativi di controllo dell'input possono danneggiare gli utenti con disabilità. I lettori di schermate e i metodi di input alternativi potrebbero non essere riprodotti correttamente con le opzioni di input personalizzate degli script.

    
risposta data 29.09.2018 - 17:57
fonte
7

Come ha detto vidarlo, dovresti NON farlo.

Inoltre, i siti web, dove i gestori di password non funzionano, non li disabilitano di per sé, disabilitano i campi di inserimento della password.

Di solito, disabilitano la copia delle password incollando perché considerano che indebolisce la sicurezza:

  • l'utente può incollare una password che non conosce (irrilevante con un gestore di password)
  • durante la registrazione, l'utente potrebbe digitare la password nel primo campo e incollarlo nel campo "ripeti password", entrambi i campi corrisponderanno ma non conterranno la password desiderata (irrilevante con un gestore di password)
    • Gli appunti
  • potrebbero compromettere la password (virus, accesso da parte di un'altra persona ...), giusto, ma il riutilizzo della password / password debole è un rischio maggiore ed è già molto comune, molto più dello sniffing degli appunti

Oltre a portare a una sicurezza più debole, l'opzione "di disabilitare l'opzione per gli utenti di salvare le password nei loro gestori di password" disattivando la copia / incolla della password non esiste comunque.

Perché? Poiché questa "opzione" esegue il lato client, e il lato client dell'utente può aggirare disabilitato incollare:

  • aggiunta value="mySecretPassword" al campo di immissione della password
  • rimuovendo onDrop=”false” e / o onPaste=”false” che potresti aver incluso nel campo di input (tuttavia nella maggior parte dei casi non sarà sufficiente)
  • installazione di varie estensioni del browser
  • utilizzando un gestore di password in grado di riempire i campi della password anche se l'opzione pasta è disabilitata (come Bitwarden)
risposta data 30.09.2018 - 21:29
fonte
4

La maggior parte delle altre risposte dice che le banche non dovrebbero farlo, e per la maggior parte sono d'accordo. Tuttavia, ho intenzione di rispondere alla domanda che hai posto: perché alcune banche fanno questo?

La risposta è semplice: molti gestori di password hanno avuto vulnerabilità o violazioni che perdono le password. Ad esempio, questo difetto in LastPass.

La ragione per cui le banche, in particolare, cercano di fermarlo è perché sono solitamente responsabili se si soffre di frodi online. Con la maggior parte degli altri fornitori di servizi, se sei incauto con i tuoi dati di accesso, sei solo tu a soffrire, non il fornitore. Ma poiché le banche hanno responsabilità in così tanti scenari, hanno buone ragioni per impedire alle persone di fare qualsiasi cosa considerino un rischio.

    
risposta data 02.10.2018 - 15:20
fonte
1

Esistono, in effetti, vari motivi più o meno credibili per disabilitare il supporto per i gestori di password in un'applicazione web.

Il principale è quando si utilizza una password temporanea (modifica forzata, password monouso, TAN, ecc.). Non vuoi che il gestore di password lo memorizzi.

È anche possibile che si desideri impedire il riempimento automatico, per proteggere l'utente. Mentre in teoria il gestore password protegge la sua password con una chiave master strong, la maggior parte degli utenti nel mondo reale usa una chiave master vuota per comodità.

È stato già menzionato lo sniffing degli appunti e altri attacchi, ma dipendono dal modello della minaccia (i keylogger potrebbero essere un rischio maggiore di quelli che scovano il malware).

La disattivazione potrebbe essere indirizzata all'azione di copia, non all'azione incolla principalmente, con l'incollatura disabilitata come effetto collaterale.

    
risposta data 02.10.2018 - 14:47
fonte

Leggi altre domande sui tag

Quali sono alcuni buoni modi per verificare l'identità dell'utente per il reset della password? Qualcuno è in grado di hackerare il mio account Facebook conoscendo il mio IP dinamico, PPPoE e maschera?