Gestione delle password in Firefox, Chrome e Safari

6

Ho appena letto un paio di discussioni molto interessanti sulla strategia di sicurezza della password di Chrome.

Strategia di sicurezza della password folle di Chrome

Visualizzazione delle password memorizzate - Tim Berners-Lee

Ecco come Chrome, Firefox e Safari gestiscono l'archiviazione delle password e mostrano le password memorizzate:

Chrome utilizza il portachiavi OSX per archiviare le password in forma crittografata. In Chrome, puoi andare alla pagina delle impostazioni della password e con un clic puoi vedere le tue password.

Firefox non utilizza il portachiavi OSX per memorizzare le password in forma crittografata. In Firefox, hai la possibilità di utilizzare una password principale (non abilitata di default). Digita la password principale all'inizio di ogni nuova sessione e ogni volta che desideri visualizzare le password memorizzate.

Safari utilizza anche il portachiavi OSX per memorizzare le password in forma crittografata. Tuttavia, in Safari quando si desidera vedere le password, è necessario inserire la password KeychainLogin. (È una misura "falsa", in quanto Keychain non richiede in realtà che le applicazioni autenticate inseriscano la password di KeychainLogin per recuperare le password memorizzate da loro. Ciò può essere visto quando Safari recupera le password sui prompt di accesso al sito Web senza la password KeychainLogin .)

Date nuove sessioni di Safari e Chrome e un utente malintenzionato che non conosce la password di KeychainLogin. In effetti, Safari non è sicuro di Chrome perché l'utente può semplicemente modificare il tipo di campo della password in testo utilizzando lo strumento Verifica elemento e vedere la password.

La mia domanda è:

1) Dato un utente malintenzionato che non conosce la password master di Firefox e una nuova sessione di Firefox (che non ha ancora richiesto la password principale), quanto è facile / difficile visualizzare le password memorizzate?

2) Se la password master firefox è diversa dalla password dell'account utente del sistema operativo, la modifica della password dell'account utente non cambia nulla?

Te lo chiedo perché in una delle discussioni precedenti la guida sulla sicurezza di Chrome dice:

I'm the Chrome browser security tech lead, so it might help if I explain our reasoning here. The only strong permission boundary for your password storage is the OS user account. So, Chrome uses whatever encrypted storage the system provides to keep your passwords safe for a locked account. Beyond that, however, we've found that boundaries within the OS user account just aren't reliable, and are mostly just theater.

Consider the case of someone malicious getting access to your account. Said bad guy can dump all your session cookies, grab your history, install malicious extension to intercept all your browsing activity, or install OS user account level monitoring software. My point is that once the bad guy got access to your account the game was lost, because there are just too many vectors for him to get what he wants.

We've also been repeatedly asked why we don't just support a master password or something similar, even if we don't believe it works. We've debated it over and over again, but the conclusion we always come to is that we don't want to provide users with a false sense of security, and encourage risky behavior. We want to be very clear that when you grant someone access to your OS user account, that they can get at everything. Because in effect, that's really what they get.

    
posta Rohit Agarwal 26.08.2013 - 04:25
fonte

2 risposte

4

Qui ci sono due problemi correlati ma distinti: che Chrome può recuperare le password senza un'autenticazione aggiuntiva e che le visualizza su richiesta. Entrambi Elliott Kember e Tim Berners-Lee confonde questi problemi.

Che Chrome sia in grado di recuperare le password senza chiedere all'utente di utilizzare un sistema operativo per archiviare le password. Spetta alla struttura del sistema operativo organizzare l'autenticazione dell'utente o richiedere un'autorizzazione nel momento in cui viene richiesta o meno la password. Crittografare le password memorizzate non è più il lavoro del browser che fornire storage di file o uno stack di rete: questo è fatto dal sistema operativo e avvantaggia tutte le applicazioni, non solo l'unico browser. Gli utenti possono configurare criteri di conservazione e accesso nell'applicazione portachiavi e tali impostazioni possono essere applicate agli elementi archiviati per applicazioni diverse da Chrome (altri browser, memoria condivisa di rete, FTP, SSH, PGP, ...).

Tim Berners-Lee sembra sostenere i browser per implementare una funzionalità di crittografia della password in cima al sistema operativo. Quello è falso: perché dovrebbe farlo un browser? Firefox lo fa perché Mozilla lo fa perché Netscape lo fa perché è stato scritto per i sistemi operativi primitivi che non avevano tale caratteristica. C'è anche un vantaggio per il browser che implementa la propria archiviazione di password, ovvero che un profilo può essere copiato tra piattaforme complete di password memorizzate. Questo deve essere bilanciato dal lato negativo del browser che implementa la propria memorizzazione delle password, che rompe le aspettative degli utenti che credono che i loro segreti siano protetti dal sistema operativo. Se inserisco password in OSX, mi aspetto che vengano archiviate nel mio portachiavi, protetto dalla stessa protezione del portachiavi (crittografia su disco con password principale, inaccessibilità quando lo schermo è bloccato, ...). Se il mio browser non utilizza questa protezione, si tratta di una violazione imprevista della fiducia da parte sua.

Se un browser memorizza le password, deve essere in grado di recuperarle. Se il browser può recuperarli, così può qualsiasi altra applicazione. Quindi, quando Elliott Kember si lamenta che "non c'è una password principale, nessuna sicurezza", questo è un assurdità. Le password sono già nel portachiavi e qualsiasi applicazione può recuperarle. Chrome non sta violando alcuna sicurezza qui: rappresenta onestamente quali informazioni sono disponibili. Elliott Kember afferma che la mancanza di scelta è "profondamente fuorviante", ma è completamente sbagliato: Chrome non ha più possibilità di essere in grado di accedere alle password di quanto tu abbia una scelta di non essere in grado di sentire quando qualcuno ti sta dicendo qualcosa a voce alta. potresti tappare le orecchie e cantare "lalalala" a voce alta, ma ciò non cambierà il fatto che tu potresti essere in grado di ascoltare.

Elliott Kember riconosce che "il computer è già insicuro non appena si dispone dell'accesso fisico" e "è così che funziona la gestione delle password". Bene, precisamente. Chrome è trasparente, il che va esattamente contro la sua affermazione secondo cui "Google non è sicuro della sua sicurezza della password". Chrome è perfettamente onesto: può accedere alle password e non nasconde questo fatto agli utenti.

Elliott Kember sta sostenendo che Chrome offra agli utenti un falso senso di sicurezza. È noto che un falso senso di sicurezza è il nemico della sicurezza. Justin Schuh ha ragione.

Tim Berners-Lee fa un altro punto. Riconosce che è possibile recuperare le password, e può essere fatto scaricando una semplice applicazione se nessuno dei software installato sul computer può farlo facilmente. Tuttavia, egli sostiene che questa capacità non dovrebbe essere resa facilmente accessibile in un'applicazione dall'aspetto legittimo, perché ciò fa sembrare che guardare le password di qualcun altro sia in qualche modo legittimo.

Anche se questo ha senso, in realtà non regge l'acqua. Se stai scavando attorno al profilo di qualcun altro, stai chiaramente ficcanaso. La password di qualcuno non è più riservata della loro cronologia di navigazione. Le persone non tecniche sono più inclini a condividere la propria password rispetto alla cronologia di navigazione, e questo era già il caso prima di Chrome.

L'unica misura di sicurezza che Chrome dovrebbe implementare non rischia di rivelare accidentalmente le password quando l'utente legittimo ha il controllo. E lo sta già facendo: devi fare clic su un pulsante per mostrare ogni password.

Quindi Chrome lo sta facendo bene. Continua a fare quello che stai facendo.

    
risposta data 26.08.2013 - 11:56
fonte
0

Le migliori pratiche di sicurezza consistono nel proteggere l'account del computer con una password, bloccare lo schermo quando è incustodito e non consentire mai a nessun altro di utilizzare il proprio account. Se segui questa best practice, il modello di Chrome ha molto senso. Le tue password salvate sono sicure quanto il tuo account utente - non di più; non meno.

Naturalmente, nella vita reale le persone non seguono questa best practice sulla sicurezza. Da qui il desiderio di implementare alcune tecnologie per rendere le tue password salvate più sicure rispetto al tuo account utente. C'è qualche merito a questo, ma c'è un grosso problema: se qualcuno ha accesso al tuo account computer, tutte le scommesse sono disattivate. Possono installare malware che funziona in modo invisibile in background, monitora tutto ciò che fai e consente il controllo remoto degli attaccanti. Naturalmente, per fare ciò è necessario un certo livello di abilità tecnica.

Quindi, in ultima analisi, la decisione di implementare protezioni aggiuntive è un compromesso tra la protezione contro gli aggressori non qualificati e il dare un falso senso di sicurezza contro gli abili aggressori. Non penso che ci sia un giusto o sbagliato qui - entrambi i campi possono giustificare il loro punto di vista.

Per rispondere alle tue domande specifiche:

1) Se l'attaccante ha accesso all'account dell'utente (ad esempio nessun blocco schermo), allora è moderatamente difficile. Devono installare malware che esegua il log delle chiavi nella successiva voce della password e estrarre anche il file delle password salvate crittografato.

2) Quindi, se l'utente malintenzionato non ha accesso all'account dell'utente, questo dipende da quanto bene il sistema operativo protegge quell'account. Se la protezione è solida, l'autore dell'attacco non può accedere alle password salvate.

    
risposta data 27.10.2013 - 14:25
fonte

Leggi altre domande sui tag