Jakie są konsekwencje bezpieczeństwa dla umożliwienia przeglądarce zapamiętania danych logowania? Czy powinienem pozwolić przeglądarce pamiętać, np. Firefox lub Chrome, czy też powinienem pozwolić stronie zapamiętać?
Jestem pewien, że najbezpieczniejszą opcją jest wpisywanie moich danych logowania za każdym razem, ale jeśli nie zdecyduję się tego zrobić i zamiast tego użyję funkcji „Remember Me” witryny lub funkcji „Save this password” przeglądarka, które jest bezpieczniejsze?
źródło
Z zapamiętanym hasłem przeglądarki jesteś otwarty na co najmniej dwa problemy:
Dzięki hasłu „zapamiętana witryna” plik cookie jest umieszczany w przeglądarce przez witrynę.
Jest to również niebezpieczne (w zależności od poziomu twojej paranoi):
Zawsze wyprowadzaj swoją paranoję na podstawie wrażliwości hasła .
Hasło Gmaila (tylko) może być bezpieczniejsze do stracenia niż hasło bankowe.
źródło
Passwordsafe nie tylko bezpiecznie zapamiętuje twoje hasła, ale ma także możliwość wpisania ich w przeglądarce.
źródło
Zazwyczaj nikt nie zapamiętuje moich haseł. Jednak nie ze względów bezpieczeństwa, ale tym bardziej, że wiem, że zapomnę hasło, jeśli nie będę musiał go regularnie wpisywać (i może potrzebuję go gdzieś na innym komputerze).
źródło
Osobiście uważam, że oboje są tak „źli” jak siebie nawzajem.
„Zapamiętaj mnie” jest nieco lepsze, ponieważ tak naprawdę nie przechowuje Twojego hasła (ani jego reprezentacji), ale jest to token, który Cię reprezentuje, a jeśli plik cookie zostanie skradziony, złośliwy użytkownik może go użyć do zalogowania się jak ty bez znajomości swojego hasła.
źródło
Ogólnie rzecz biorąc, ten pierwszy jest lepszy.
Podejście „zapamiętaj mnie” na stronach zazwyczaj pozostawia plik cookie w przeglądarce.
„Zapamiętaj moje hasło” w przeglądarce zapisuje je w wewnętrznej bazie danych.
Jeśli intensywnie korzystasz z aplikacji, skorzystałbym z przeglądarki.
Jeśli nie używasz intensywnie aplikacji, a potrzebne są dodatkowe zabezpieczenia (np. Konto zapasowe), nie używaj żadnego z nich i zawsze wpisuj je (i upewnij się, że używasz twardego hasła zamiast zwykłego)
Lubię Google Chrome, który zawsze pamięta twój identyfikator użytkownika, ale nie hasło. W ten sposób muszę pisać mniej.
Dodatkowo, kto wie, kiedy twoja żona będzie próbowała zalogować się na tej stronie „przyjaciela”;)
źródło
Wydaje mi się, że zależy to nawet od tego, co jest bezpieczniejsze: od komputera lub połączenia. Jeśli witryna ma cię zapamiętać, wówczas ustawiany jest plik cookie, który jest wysyłany z powrotem do każdego żądania. Zapamiętanie hasła (i samodzielne wpisanie go) powoduje, że jest ono przesyłane tylko podczas logowania ...
(Witryny, które faktycznie tymczasowo używają HTTPS lub jakiegoś skrótu do wysyłania hasła, nie powinny pozwalać na „zapamiętaj mnie” na początku).
Ale, jak wielu sugerowało: różnice są niewielkie. A jeśli używasz tego samego hasła w wielu witrynach, prawdopodobnie mniej obchodzi cię ciasteczko niż faktyczne hasło.
Chyba że masz uruchomiony jakiś rejestrator kluczy. ;-)
źródło
Polecam użycie czegoś takiego jak LastPass . Dobra dyskusja na temat zarządzania hasłami tutaj: /superuser/255/how-do-you-keep-track-of-all-your-passwords
źródło
Jeśli używasz Firefoksa, upewnij się, że ustawiłeś hasło główne dla swojej przeglądarki, a wtedy zaszyfruje wszystkie twoje hasła. Nie wiem, czy jest to łatwe do złamania szyfrowanie. Całe szyfrowanie można jednak złamać za pomocą wystarczająco dużych tęczowych tabel.
źródło
Żadne z nich nie jest tak naprawdę najbezpieczniejsze od drugiego, dlatego osobiście korzystam z funkcji „Remember Me” stron internetowych dla wygody. Uważam, że wszystkie dodatki do „menedżerów haseł” i „hasła głównego” są bardziej kłopotliwe i tak naprawdę nie są tak bezpieczne. Jeśli ktoś naprawdę chce twoich haseł, je zdobędzie. Ale to nigdy nie stanowiło dla mnie problemu, więc nie mam powodu się martwić.
źródło