Quanto è sicuro il gestore delle password nei browser?


13

Ad esempio, Opera ha una funzione "bacchetta" che ricorda i nomi utente e la password digitati su vari siti.

Diciamo che hai un trojan, che ruba i dati dal tuo PC. Il trojan può decrittografare le password memorizzate dai browser e utilizzarle?

Risposte:


4

I punti indicati nella risposta di Bob sono tutti validi, quindi non mi preoccuperò di ripeterli; tuttavia, ho pensato che alcune informazioni aggiuntive potrebbero anche essere utili per alcuni, poiché la tua domanda è una preoccupazione valida.

  • La funzione Bacchetta di Opera ti consente di specificare la frequenza con cui richiedere la tua password principale Preferences > Advanced > Security > Ask for passwordcon selezioni come "Una volta per sessione" (che, come sottolinea correttamente Bob, limita la tua sicurezza), "Ogni x minuti / ore" (se don ti dispiace armeggiare con i .inifile, puoi personalizzare la tua frequenza) e "Ogni volta che serve" (ovviamente l'opzione più sicura in quanto la tua password non verrà archiviata in memoria durante la sessione di navigazione). Non uso Firefox ma posso immaginare che sia disponibile un'estensione simile da qualche parte.

  • I dati di Wand sono memorizzati in un file chiamato, wait, wand.datin un formato che può essere decifrato con relativamente piccolo sforzo se non viene utilizzata una password principale; Se si fa utilizzare una password principale, è codificato utilizzando un componente casuale e la password principale con un algoritmo che attualmente mi sfugge (dovrebbe essere facile da guardare in alto però).

  • Se usi una password per un sito la cui sicurezza è più importante per te rispetto all'accesso medio, puoi semplicemente scegliere di non salvare la password .

  • Le schede private in Opera (o il loro equivalente in altri browser) ti consentono di memorizzare i dati della sessione di quella scheda separatamente da quelli nelle schede "normali", il che può aggiungere un altro livello di sicurezza.

  • Il modello di sicurezza utilizzato in Chrome e i suoi derivati ​​(ovvero sandboxing di ciascuna scheda in un thread separato) offre una sicurezza ancora maggiore.

  • Puoi proteggerti dai keylogger e simili regolarmente:

    • aggiornamento del software antivirus e firewall; e
    • cambiando le tue password.

Per riassumere:

  • Il livello di sicurezza del tuo browser e quello dei tuoi accessi dipende in larga misura da te.

  • Se qualcuno è stato molto abile e pieno di risorse, si potrebbe probabilmente ottenere a portata di dati alla fine , nonostante tutte le precauzioni di cui sopra, ma sarebbe rendere i dati del tuo browser molto più sicuro e sarebbe aumentare il livello di sofisticazione necessaria per rompere in modo significativo.


22
  • Se hai malware sul tuo computer, nessuna password inserita o archiviata può essere considerata veramente sicura. Anche le password crittografate come i database KeyPass, non appena si inseriscono i dettagli richiesti per decrittografarlo, l'attaccante può recuperare le password.

  • I browser in genere non prestano molta attenzione alla sicurezza delle password salvate, almeno non con le impostazioni predefinite.


Diciamo che hai un trojan, che ruba i dati dal tuo PC. Il trojan può decrittografare le password memorizzate dai browser e utilizzarle?

In una parola: sì. I browser in genere non crittografano le password memorizzate, quindi possono essere letti con uno sforzo banale. La crittografia con una chiave memorizzata è comunque inutile: se il browser è in grado di decrittografarla, altri programmi in esecuzione sullo stesso computer possono fare lo stesso.

Conosco molto bene Firefox, quindi ci andrò.

Firefox consente di impostare una "password principale". In tal caso, crittografa le password memorizzate con la password principale. Tuttavia, per comodità, è necessario accedere utilizzando questa password principale solo una volta per sessione. Una volta effettuato l'accesso, le informazioni necessarie per decrittografare le password salvate vengono archiviate in memoria e sono accessibili. Un approccio più sicuro e ingombrante sarebbe stato quello di richiedere la digitazione della password principale ogni volta che Firefox aveva bisogno di cercare una password salvata.

Anche se le password salvate erano perfettamente crittografate e completamente inaccessibili, a un certo punto devono essere decifrate e inserite nei moduli Web. Il che significa tenere in memoria le password, non crittografate. In realtà ci sono alcuni programmi di " rivelatore di asterisco " progettati per catturare quelle password dalla memoria e, beh, rivelarle. Il malware potrebbe teoricamente fare lo stesso.

Inoltre, il malware potrebbe anche eseguire il keylog, consentendo all'utente malintenzionato di recuperare qualsiasi password digitata.


C'è uno studio molto approfondito sulla sicurezza delle password nei principali browser (IE, Chrome, FF) qui . Per riassumere, sia Chrome che IE10 si basano sulle routine di crittografia di Windows, che sono considerate efficaci. Tuttavia, non proteggono da altri programmi in esecuzione con lo stesso utente , ovvero sono inutili contro il malware. Ancora una volta, qualsiasi programma in esecuzione (come amministratore) può catturare informazioni dalla memoria o tramite keylogging comunque.

Il metodo di crittografia è molto importante quando si considera la possibilità di furto dei dati salvati per successive analisi, ad esempio qualcuno che si intrufola e copia il tuo o ruba il tuo computer. In generale, tutti i browser moderni svolgono un discreto lavoro di protezione contro tale forma di attacco. Si preferisce nuovamente Firefox con una password valida e sicura, poiché i dati crittografati di Windows possono essere recuperati accedendo all'account utente di Windows e la password di Windows non è più completamente sicura. Nota che nessuno di questi fermerà un attaccante molto determinato.


Vale la pena notare che se si utilizza un autenticatore, le opzioni di un utente malintenzionato per rubare le password vengono notevolmente ridotte.
o0 '.

1

NirSoft fornisce uno strumento chiamato "IEPassView" in grado di decrittografare Internet Explorer 8 e le password. Le informazioni di sistema per Windows possono fare lo stesso; basta fare clic sul tasto in alto.

NirSoft offre strumenti di "recupero password" per molti browser popolari ( http://www.nirsoft.net/password_recovery_tools.html ) - questi costituiscono una buona "prova del concetto" per dimostrare che l'archiviazione della password integrata non è sicura .


Uhm ... questo è un po 'fuorviante, in realtà. Non hai menzionato che strumenti come questi o non funzionano affatto sugli accessi protetti da una password principale o necessitano della password principale per "decrittografare" i dettagli di accesso. Almeno questo vale per Opera / Chrome / Firefox, non sei sicuro di cosa faccia IE, potresti essere proprio lì.
Amos M. Carpenter,

1

Lastpass e software simili sono buone risposte convenienti. Anche se non ti danno la sicurezza totale (devi ancora fare le basi come firewall, antivirus, ecc.) È un buon modo di gestire le tue password. Inoltre, grazie al fatto che è memorizzato nel cloud magico, è possibile accedervi da qualsiasi luogo (a differenza di alcuni software locali in cui è necessario archiviare sul proprio computer per accedervi).


1
Vorrei sottolineare, ancora una volta, che ciò non proteggerebbe dal malware in esecuzione localmente. In primo luogo, il malware potrebbe intercettare la password principale di Lastpass. L'autenticazione a due fattori può proteggere da ciò, ma in questo caso è possibile perdere le password nel processo di digitazione nella pagina Web di destinazione. Il fatto è che se il malware è in esecuzione (elevato) sul tuo computer, i tuoi dati non crittografati vengono rovinati. E i tuoi dati crittografati vengono fregati non appena provi ad accedervi.
Bob,

(È ancora un buon suggerimento [uso personalmente Keepass, nessuna di quelle immondizie della nuvola], ma devo affrontare il punto sollevato nell'interrogazione.)
Bob

@Bob c'è anche il problema che anche sul malware della macchina locale può fare la stessa cosa intercettando le password. Copia e incolla possono anche essere tracciati, quindi quando si utilizza una password viene tracciata. Non c'è buon modo, l'autenticazione a 2 fattori è DAVVERO difficile da battere.
Griffin,

Sì, non sto dicendo che Keepass sia più sicuro contro i malware gestiti localmente.
Bob
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.