Czy powinienem pozwolić mojej przeglądarce lub stronie zapamiętać moje hasło, czy nie?

11

Jakie są konsekwencje bezpieczeństwa dla umożliwienia przeglądarce zapamiętania danych logowania? Czy powinienem pozwolić przeglądarce pamiętać, np. Firefox lub Chrome, czy też powinienem pozwolić stronie zapamiętać?

Jestem pewien, że najbezpieczniejszą opcją jest wpisywanie moich danych logowania za każdym razem, ale jeśli nie zdecyduję się tego zrobić i zamiast tego użyję funkcji „Remember Me” witryny lub funkcji „Save this password” przeglądarka, które jest bezpieczniejsze?

security browser password-management Jeff Yates
źródło

Odpowiedzi:

14

Na moich komputerach osobistych pozwolę mojej przeglądarce zapamiętać moje hasła, ale to dlatego, że są one moje i nikt inny ich nie dotknie (chyba że włamią się do mojego domu i ukradną wszystkie moje rzeczy, a wtedy będę musiał się martwić większymi sprawami) o).

W przypadku komputerów publicznych lub komputerów roboczych zdecydowanie nie wybrałbym żadnego, szczególnie jeśli pracujesz na systemie współdzielonym.

TheTXI
źródło
7

Ponieważ każdy ze sposobów dostępu do twojego komputera może łatwo dostać się na twoje konta, żadna z tych opcji nie jest bardzo bezpieczna. Domyślam się, że ponieważ funkcja „Pamiętaj mnie” używa plików cookie i zwykle wygasa, byłoby to nieco bezpieczniejsze, ponieważ twoje hasła nie są (o ile wiem) gdziekolwiek przechowywane.

Wolę używać czegoś takiego jak Roboform lub Lastpass, gdzie hasło jest dla mnie automatycznie wypełniane, ale mogę ustawić, aby pytał o moje hasło główne przy pierwszym logowaniu podczas sesji przeglądania. W ten sposób nie muszę pamiętać moich haseł, ale inni ludzie nadal nie mają do nich dostępu.

Dan Walker
źródło
Możesz mieć firefox wymagający „hasła głównego”. Tak to robię.
TJ L
6

Z zapamiętanym hasłem przeglądarki jesteś otwarty na co najmniej dwa problemy:

  1. Inni używają przeglądarki i uzyskują dostęp
  2. Złośliwe oprogramowanie odbierające hasło z przeglądarki (ograniczone do luk w przeglądarce)

Dzięki hasłu „zapamiętana witryna” plik cookie jest umieszczany w przeglądarce przez witrynę.
Jest to również niebezpieczne (w zależności od poziomu twojej paranoi):

  1. Taki sam problem jak poprzednio, każdy uzyskujący dostęp do przeglądarki z Twojego loginu ma dostęp
  2. Pliki cookie mogą być również „skradzione” lub niewykorzystane

Zawsze wyprowadzaj swoją paranoję na podstawie wrażliwości hasła .
Hasło Gmaila (tylko) może być bezpieczniejsze do stracenia niż hasło bankowe.

nik
źródło
Twoje hasło do Gmaila jest gorsze do zgubienia niż hasło do banku. Twoje hasło do Gmaila pozwoli wielu stronom zresetować hasła w celu przejęcia wszystkich kont. Twój bank na ogół nie pozwala nawet na logowanie się przy użyciu samego hasła i korzystanie z uwierzytelniania wieloskładnikowego, nawet jeśli jest to głupie „pytanie bezpieczeństwa”
Chris Marisic
wrażliwość między Gmailem a bankiem: zależy to od tego, ile stron używa Twojego adresu Gmaila do zalogowania się, zresetowania hasła i salda bankowego
Roland
1

Passwordsafe nie tylko bezpiecznie zapamiętuje twoje hasła, ale ma także możliwość wpisania ich w przeglądarce.

pgs
źródło
1

Zazwyczaj nikt nie zapamiętuje moich haseł. Jednak nie ze względów bezpieczeństwa, ale tym bardziej, że wiem, że zapomnę hasło, jeśli nie będę musiał go regularnie wpisywać (i może potrzebuję go gdzieś na innym komputerze).

balpha
źródło
Następnie prawdopodobnie używasz słabych haseł i nie używasz unikalnych haseł dla każdego konta. Motto: wybierz hasło, którego nikt nie może odgadnąć, a którego nie pamiętasz :-)
Roland
@Roland Zawsze używałem unikalnych haseł. Ale w dzisiejszych czasach są one generowane przez menedżera haseł i rzeczywiście ich nie pamiętam. Skomentowałeś dziesięcioletnią odpowiedź :)
balpha
Tak, menedżer haseł jest rozwiązaniem, podobnie jak inne wspomniane odpowiedzi. Ale mój komentarz brzmiał „zapomnij” i „wpisz”.
Roland
0

Osobiście uważam, że oboje są tak „źli” jak siebie nawzajem.

„Zapamiętaj mnie” jest nieco lepsze, ponieważ tak naprawdę nie przechowuje Twojego hasła (ani jego reprezentacji), ale jest to token, który Cię reprezentuje, a jeśli plik cookie zostanie skradziony, złośliwy użytkownik może go użyć do zalogowania się jak ty bez znajomości swojego hasła.

Josh Hunt
źródło
0

Ogólnie rzecz biorąc, ten pierwszy jest lepszy.

Podejście „zapamiętaj mnie” na stronach zazwyczaj pozostawia plik cookie w przeglądarce.

„Zapamiętaj moje hasło” w przeglądarce zapisuje je w wewnętrznej bazie danych.

Jeśli intensywnie korzystasz z aplikacji, skorzystałbym z przeglądarki.

Jeśli nie używasz intensywnie aplikacji, a potrzebne są dodatkowe zabezpieczenia (np. Konto zapasowe), nie używaj żadnego z nich i zawsze wpisuj je (i upewnij się, że używasz twardego hasła zamiast zwykłego)

Lubię Google Chrome, który zawsze pamięta twój identyfikator użytkownika, ale nie hasło. W ten sposób muszę pisać mniej.

Dodatkowo, kto wie, kiedy twoja żona będzie próbowała zalogować się na tej stronie „przyjaciela”;)

OscarRyz
źródło
0

Wydaje mi się, że zależy to nawet od tego, co jest bezpieczniejsze: od komputera lub połączenia. Jeśli witryna ma cię zapamiętać, wówczas ustawiany jest plik cookie, który jest wysyłany z powrotem do każdego żądania. Zapamiętanie hasła (i samodzielne wpisanie go) powoduje, że jest ono przesyłane tylko podczas logowania ...

(Witryny, które faktycznie tymczasowo używają HTTPS lub jakiegoś skrótu do wysyłania hasła, nie powinny pozwalać na „zapamiętaj mnie” na początku).

Ale, jak wielu sugerowało: różnice są niewielkie. A jeśli używasz tego samego hasła w wielu witrynach, prawdopodobnie mniej obchodzi cię ciasteczko niż faktyczne hasło.

Jestem pewien, że najbezpieczniejszą opcją jest wpisywanie moich danych logowania za każdym razem

Chyba że masz uruchomiony jakiś rejestrator kluczy. ;-)

Arjan
źródło
0

Jeśli używasz Firefoksa, upewnij się, że ustawiłeś hasło główne dla swojej przeglądarki, a wtedy zaszyfruje wszystkie twoje hasła. Nie wiem, czy jest to łatwe do złamania szyfrowanie. Całe szyfrowanie można jednak złamać za pomocą wystarczająco dużych tęczowych tabel.

Chris Marisic
źródło
Na szczęście w programach bezpieczeństwa nie ma wysokiego ciśnienia krwi i zawsze można użyć więcej SÓL. Z drugiej strony, programiści bezpieczeństwa mogą potrzebować pamiętać o przechowywaniu soli w kodzie, a nie w jedzeniu.
pcapademic
0

Żadne z nich nie jest tak naprawdę najbezpieczniejsze od drugiego, dlatego osobiście korzystam z funkcji „Remember Me” stron internetowych dla wygody. Uważam, że wszystkie dodatki do „menedżerów haseł” i „hasła głównego” są bardziej kłopotliwe i tak naprawdę nie są tak bezpieczne. Jeśli ktoś naprawdę chce twoich haseł, je zdobędzie. Ale to nigdy nie stanowiło dla mnie problemu, więc nie mam powodu się martwić.

Sasha Chedygov
źródło