Problema de segurança de senhas salvas no Chrome

Navegue suas respostas
5

Se eu salvar uma senha no Google chrome, alguém poderá ver facilmente a senha de 

Setting -> Advance Settings -> Manage saved passwords -> Show (in required password field)

e use-o em outro computador. Não está causando um problema de segurança? Eu acho que é muito seguro se exibir apenas a entrada e todos os pontos ou algo para a senha (não a senha real).

Existe alguma ideia aceitável de mostrar a senha a alguém assim tão facilmente?

Nota: o Firefox também está mostrando as senhas reais, eu não verifiquei no IE.

Chrome

    
por Nalaka526 05.07.2012 / 05:14

3 respostas

3

É um trade off de segurança e não uma fraqueza de segurança. Devido à própria natureza das senhas, se elas forem armazenadas de maneira que possam ser usadas (ou seja, para preencher um formulário), elas serão armazenadas de uma maneira que possa ser recuperada, independentemente do esquema utilizado para armazenar ou criptografá-los. Esconder a opção de mostrar a senha não muda o fato de que o próprio aplicativo em algum momento tem que recuperá-lo - e quando isso acontece, está sujeito a vários métodos de extraí-lo.

Isso parece um belo buraco, até você considerar os outros fatores no trabalho.

  • Para recuperar as senhas, o invasor precisa acessar a conta do usuário ou a conta do administrador no sistema em que estão armazenadas, geralmente por meio de malware, navegação no ombro, um PC desacompanhado mas desbloqueado ou, em alguns casos, ter acesso físico, via ferramentas de recuperação.
  • Se um invasor puder fazer o que precede, ele poderá adulterar o sistema de outras maneiras, incluindo a instalação de keyloggers, software de controle remoto, sniffers e software de gravação de desktop, para que uma senha digitada não seja necessariamente mais seguro do que um armazenado.
  • É mais provável que um usuário que armazene senhas use senhas exclusivas entre sites e tenha muito mais probabilidade de usar senhas strongs.
  • Uma senha armazenada é potencialmente mais segura do que uma nota de post-it sob o teclado, já que alguém realmente precisa fazer logon na sua conta de usuário para vê-la, enquanto ela pode memorizar, roubar, copiar ou fotografar a postagem isso.

Na realidade, a senha salva tem quase o mesmo risco que uma senha digitada em relação a um invasor determinado, pois o invasor determinado estará preparado para oportunidades como um PC desbloqueado ou um escritório desbloqueado. Com um pouco de prática e preparação antecipada, um drive USB ou site pode ser preparado para instalar um rootkit em menos de 15 segundos - menos do que o tempo necessário para tomar uma xícara de café. Se você está preocupado com alguém sentado e mostrando as senhas salvas, você tem problemas muito maiores de ter um PC desprotegido e autônomo.

Quanto às senhas mestras, elas são uma boa ferramenta, mas não acreditem muito nelas. Um atacante sério que tem a oportunidade de ir contra sua senha mestra já foi longe o suficiente para colocar um keylogger. É uma proteção moderada contra ataques de agarrar e executar no banco de dados enquanto o sistema está desligado, e boa proteção contra espiões casuais, mas isso não vai impedir alguém que leva a sério sua senha de tirar proveito de um PC desbloqueado.

Em resumo:

  • Salvar senhas no computador não é um sério risco à segurança por si só, mas é um fator agravante que pode tornar mais fácil para os malfeitores aproveitarem seu descuido se você deixar o computador desbloqueado ou deixar alguém usar o computador enquanto você estiver conectado. (Eles ainda podem causar o mesmo dano sem você salvar suas senhas - as senhas salvas apenas facilitam para elas.)
  • Salvar sua senha no computador facilita o uso de senhas seguras e exclusivas.
  • Disciplina básica de segurança, como não sair do computador sem bloqueá-lo, não compartilhar senhas, não salvar sua senha para benefício de outro usuário em seu PC e não permitir que outra pessoa trabalhe com seu login. considerações do que salvar ou não senhas.
  • Uma senha mestra ainda é uma boa ideia se você tiver a opção (defesa em profundidade), mas não permita que ela forneça uma falsa sensação de segurança. É um fator adicional, não uma desculpa para ser descuidado em outro lugar.
por 06.07.2012 / 00:23
5

Acho que há duas coisas que precisam ser esclarecidas:

  1. O Firefox permite definir uma senha mestra para manter todas as suas senhas seguras (você deve digitar a senha mestra antes de mostrar as senhas ou colocar em uma caixa de senha).
  2. O Google Chrome criptografa as senhas usando a senha de login do Windows do usuário.

Por que o google faz algo não é algo que pode ser respondido por qualquer pessoa (além do google). Aqui está o que eles disseram até agora:

‘Our decision not to implement the Master Password feature is based on our belief that it creates a false sense of security instead of actually providing a strong security benefit’

Eu não entendo, e nem muitas pessoas, mas esse é o status atual das coisas. Se você não gosta dessa parte do Chrome, use algo como LastPass .

    
por 05.07.2012 / 05:30
1

As senhas não são mostradas facilmente para ninguém. Um teria acesso à sua conta de usuário do Windows, caso contrário, suas senhas não podem ser mostradas. Como noboy, exceto você, deve ter acesso à sua conta (conhecendo sua senha), não consigo ver como o comportamento do Chrome pode ser um problema de segurança.

Embora o Internet Explorer não tenha uma maneira nativa de mostrar senhas armazenadas, elas ainda estarão disponíveis para qualquer usuário que tenha acesso à sua conta, por exemplo, usando ferramentas como o link . Não dar um jeito nativo pode ser visto como uma espécie de pseudo-segurança.

    
por 05.07.2012 / 23:12

Tags

Como posso executar uma rede através de 200 'de floresta? Posso encontrar o tipo exato de RAM sem olhar para dentro? [duplicado]