Ho letto molti, molti, molti post su come "probabilmente stai memorizzando le password in modo errato". Si riferiscono sempre alla memorizzazione di password su un server in cui un utente sta registrando; sono fondamentalmente consigli di rilegatura (gioco di parole) come assicurarsi di salare le password, ecc. ecc. Tuttavia, non ho mai visto un articolo sulle migliori pratiche per memorizzare le password su un client in modo che il client non deve accedere manualmente ogni volta che vogliono accedere; la funzione "ricordami".
Molti software hanno questa caratteristica, dai browser ai programmi come Dropbox.
Ho letto un vecchio articolo di recente su come Dropbox ha archiviato un ID sul tuo computer che potresti semplicemente copiare / incollare su un altro computer e avviare Dropbox e accedere come dispositivo dal quale hai ottenuto l'ID; nessun accesso, niente e accesso completo all'account Dropbox. Sembra un disegno davvero stupido, ma non riesco a pensare a un modo migliore di farlo.
Non sono nemmeno sicuro su come evitare di memorizzare qualcosa come un cookie in testo normale. Se lo cripti, dove memorizzi la chiave per decodificarlo?
L'unico modo che vedo per non introdurre vulnerabilità di sicurezza è rimuovere la funzionalità di autologin e fare in modo che l'utente digiti la propria password ogni volta che vuole utilizzare un servizio, ma questa è una lotta per l'usabilità e gli utenti sono viziati dall'aspettare di non dover fallo.
Che cosa posso leggere sull'archiviazione locale delle credenziali in modo sicuro per implementare la funzione di accesso automatico? Se i principi sono troppo semplici per un intero articolo, quali sono? Il software in questione non dovrebbe dipendere da caratteristiche non presenti su tutte le piattaforme (come il "portachiavi" di cui alcune distribuzioni Linux hanno).