Quanto è sicura la compilazione automatica della password del browser nativo?

Naviga le tue risposte
2

Safari, Chrome, Firefox, Edge e IE dispongono entrambi di una funzione suggerisci-password o di un archivio di password.

  1. Quanto sono sicure queste password quando sono archiviate su un computer?

  2. Se replicati, quanto sono sicuri sull'host del cloud?

Suppongo che 1Password, LastPass o una qualsiasi delle tante applicazioni per la password abbiano queste informazioni comparative, ma non riesco a trovarla. Questa mancanza di informazioni mi fa pensare che i browser abbiano migliorato la loro sicurezza quando l'ho ricercato per ultimo (alla fine degli anni '90)

    
posta random65537 21.07.2016 - 16:54
fonte

3 risposte

6

Di solito, non è affatto sicuro. Dipende molto dal tuo modello di minaccia, ma i dati vengono solitamente salvati:

  • non crittografato,
  • crittografato con password pubbliche o
  • crittografato con una password principale fornita dall'utente

In Windows (credo 7 e oltre) Chrome utilizza una funzionalità del sistema operativo per lo spazio di archiviazione , che lega la crittografia a l'utente che ha effettuato l'accesso.

Sui sistemi Linux Chrome utilizza gnome-keyring o l'equivalente in altri desktop. Il principio è lo stesso di Windows.

Firefox, d'altra parte, evita l'uso delle strutture del sistema operativo e si occupa della crittografia e della memorizzazione stessa. Se imposti una password principale, un utente malintenzionato dovrebbe forzarlo per ottenere le password salvate (*) . Se non imposti una password principale, ne verrà fornita una e sarà la stringa vuota "". Non è una buona password se me lo chiedi.

In tutti i casi le password sono probabilmente accessibili a un utente malintenzionato con l'esecuzione di codice nel contesto utente corrente.

Nel caso di Firefox senza password principale le password sono accessibili anche a un utente malintenzionato con accesso al file di database.

questo blog ha un'analisi più approfondita dei problemi.

(*) Come notato nei commenti di Mrdeep, Firefox fa un pessimo lavoro di hashing della password principale , quindi è facilmente impostabile.

    
risposta data 26.07.2016 - 23:27
fonte
0

Una ulteriore minaccia della compilazione automatica del browser è che è possibile creare una pagina con campi invisibili e quando attivi la compilazione automatica, vengono popolati con i tuoi dati personali senza la tua conoscenza e il tuo consenso.

    
risposta data 26.08.2016 - 00:44
fonte
0

Come al solito è una questione di cosa ti fidi e quale minaccia vuoi mitigare. Ad esempio, non devi mai memorizzare password private su un computer condiviso.

Se ti fidi del tuo browser per leggere correttamente gli URL (comunque se non lo fai, non dovresti proprio usarlo!) presumi che riempirà automaticamente una password sul sito giusto, quindi l'unico problema è l'archiviazione della password su disco.

È sicuro quanto (il più debole di entrambi):

  • l'implementazione della crittografia utilizzata dal browser
  • la password principale che utilizzi

a condizione di chiudere costantemente il browser e / o bloccare lo schermo quando lasci il computer. In ogni caso, quest'ultima è una buona pratica a meno che la stanza che contiene la macchina sia protetta fisicamente.

La mia opinione è che posso fidarmi abbastanza di Firefox grezzo per memorizzare la maggior parte delle mie password in esso con una password principale globale. Non memorizzerei una password altamente sensibile, e per la parte browser, più componenti aggiuntivi meno fiducia ...

TL / DR: La mia opinione è che va bene per le password di uso generale, non per quelle che danno accesso a informazioni sensibili sulla sicurezza nazionale.

    
risposta data 28.03.2018 - 15:45
fonte

Leggi altre domande sui tag

Browser che incidono sui fusi orari e sul rinnovo dei certificati di sicurezza Algoritmo di hash dove la reidentificazione è impossibile?