rimanere non connessi: è la procedura più sicura?

3

ogni volta che mi collego a una rete pubblica o privata accedo a siti Web mantenendo l'opzione "resta connesso" o "mantieni l'accesso" non selezionato, quindi devo digitare nuovamente il mio nome utente e passwod tutte le volte che Riapre il browser e voglio navigare all'interno dei miei account privati.

Lo faccio perché ho sempre supposto che un tale metodo sia il più sicuro, dal momento che spero che mi protegga dal correre il rischio di far rubare le mie password rubate .

Ma mi chiedo se potrebbe comportare qualche altro tipo di rischio e quanto dovrei preoccuparmi (ad esempio, mi riferisco alla possibilità che un kaylogger non voluto possa leggere le mie password mentre vengono digitate sulla tastiera, e che tale rischio aumenta più frequentemente registro, se indovino correttamente come funziona un keylogger).

Sono preoccupato per altri tipi di scenari che non conosco.

Qual è il metodo più sicuro? - > Devo mantenere i miei account registrati o non dovrei?

    
posta franz1 29.01.2016 - 16:10
fonte

2 risposte

3

Rischi di rimanere loggati:

  • Gli attacchi CSRF e XSS potrebbero essere usati per compromettere le tue sessioni, se il sito in questione è vulnerabile.
  • Se l'applicazione utilizza token di sessione deboli o prevedibili, la tua potrebbe essere forzata bruta.
  • Un attacco fisico (ad esempio un laptop rubato) potrebbe consentire l'accesso a tutte le sessioni registrate. Questo potrebbe essere mitigato usando la crittografia del disco, o se si utilizza un browser che crittografa i cookie come Chrome può essere mitigato con una password complessa sul proprio account del sistema operativo. Entrambe le mitigazioni presuppongono che il tuo laptop sia bloccato / disconnesso al momento dell'attacco, preferibilmente disconnesso per impedire attacchi di avvio a freddo dalla lettura la chiave dalla memoria.

Rischi di digitare la password ogni volta:

  • Potresti essere vulnerabile al phishing a meno che tu non controlli diligentemente il dominio e il lucchetto HTTPS ogni volta.
  • I keylogger possono ottenere la tua password, anche se in questo caso la tua macchina è compromessa, quindi hai già perso.

Suggerirei l'uso di un gestore password basato su browser per mitigare il phishing, poiché la password verrà riempita solo se il dominio corrisponde, anche se non ho ancora visto nessuna protezione contro ssl strip (ovvero, convalidano il dominio, ma non che il protocollo sia HTTPS).

Rischi di un gestore di password:

  • Se riempiono automaticamente le caselle delle password senza chiedere conferma, un attacco XSS potrebbe prendere la password se il sito fosse vulnerabile.
  • Ti stai fidando del software o del servizio con le tue chiavi per il regno.
  • Potresti essere alla mercé di qualsiasi vulnerabilità nel software client o nella memoria lato server (se applicabile).
  • Tutte le tue uova potrebbero essere in un solo cestino nel caso in cui la tua password principale venga compromessa.
risposta data 29.01.2016 - 16:19
fonte
1

Non rimanere connesso aumenta il potenziale danno che un keylogger potrebbe fare. Anche le tue password saranno molto più semplici perché è necessario richiamarle tutte le volte.

Restare loggati aumenta il danno che un ladro di sessione potrebbe infliggere.

Quest'ultimo è utilizzabile solo se l'attaccante si trova nella stessa rete. Se si è sempre nella propria rete sicura, resterei connesso per comodità e perché il rischio è trascurabile.

Entrambe le minacce sono facili da evitare se si mantiene aggiornato il proprio sistema, non si installano casini casuali e non si aprono strani allegati.

    
risposta data 29.01.2016 - 16:19
fonte