Должен ли я позволить своему браузеру или сайту запомнить мой пароль, или ни того, ни другого?

11

Каковы последствия для безопасности, позволяющие веб-браузеру запоминать информацию для входа в систему? Должен ли я позволить браузеру запомнить, как Firefox или Chrome, или я должен запомнить сайт?

Я уверен, что наиболее безопасный вариант - каждый раз вводить данные для входа в систему, но если я решу не делать этого и вместо этого использую функции сайта «Запомнить меня» или «Сохранить этот пароль» браузер, какой подход является более безопасным?

Джефф Йейтс
источник

Ответы:

14

На своих персональных компьютерах я позволю своему веб-браузеру запоминать мои пароли, но это потому, что они мои, и никто больше никогда их не тронет (если они не ворвутся в мой дом и не украдут все мои вещи, а затем у меня будут большие дела, чтобы волноваться около).

Для публичных или рабочих компьютеров я бы определенно не выбрал ни один, особенно если вы работаете в общей системе.

TheTXI
источник
7

Поскольку в любом случае любой пользователь, имеющий доступ к вашему компьютеру, может легко войти в ваши учетные записи, ни один из этих вариантов не является очень безопасным. Я предполагаю, что поскольку функция «Запомнить меня» использует файлы cookie и, как правило, срок их действия истекает, это будет немного безопаснее, поскольку ваши пароли (насколько я знаю) нигде не хранятся.

Я предпочитаю использовать что-то вроде Roboform или Lastpass, где пароль автоматически заполняется для меня, но я могу настроить его на запрос моего мастер-пароля при первом входе в систему во время сеанса просмотра. Таким образом, мне не нужно запоминать свои пароли, но другие люди по-прежнему не могут получить к ним доступ.

Дэн Уокер
источник
Вы можете иметь Firefox, требуя «Мастер-пароль». Вот как я это делаю.
TJ L
6

С паролем, запомненным браузером, вы открыты как минимум к двум проблемам:

  1. Другие используют ваш браузер и получают ваш доступ
  2. Вредоносное ПО, принимающее ваш пароль из браузера (ограничено уязвимостями браузера)

С паролем «сайт запоминается» у вас есть файл cookie, размещенный в вашем браузере сайтом.
Это также небезопасно (в зависимости от уровня вашей паранойи):

  1. Та же проблема, что и раньше, доступ к браузеру через ваш логин
  2. Файлы cookie также могут быть «украдены» или использованы не по назначению

Всегда выводите свою паранойю, основываясь на чувствительности пароля .
Ваш пароль Gmail (просто) может быть безопаснее потерять, чем ваш банковский пароль.

nik
источник
Ваш пароль Gmail хуже потерять, чем ваш банковский пароль. Ваш пароль Gmail позволит многим сайтам сбросить пароли для полного захвата аккаунта. Ваш банк, как правило, даже не позволяет человеку войти в систему с паролем и использовать многофакторную аутентификацию, даже если это глупый «вопрос безопасности»
Крис Марисик,
чувствительность между Gmail и банком: это зависит от того, сколько сайтов используют ваш адрес Gmail для входа в систему, сброса пароля и баланса вашего банка
Роланд
1

Passwordsafe не только надежно запоминает ваши пароли, но и имеет возможность ввести их в ваш браузер для вас.

PGS
источник
1

Я, как правило, никому не запомнил свои пароли. Не в первую очередь по соображениям безопасности, но в большей степени потому, что я знаю, что забуду пароль, если не буду вводить его регулярно (и мне может понадобиться его где-нибудь на другом компьютере).

balpha
источник
Тогда вы, вероятно, используете слабые пароли и не используете уникальные пароли для каждой учетной записи. Девиз: выберите пароль, который никто не сможет угадать, и вы не сможете вспомнить :-)
Роланд
@Roland Я всегда использовал уникальные пароли. Но в наши дни они генерируются менеджером паролей, и я действительно их не помню. Вы прокомментировали ответ десятилетней давности :)
balpha
Да, менеджер паролей является решением, как и другие упомянутые ответы. Но мой комментарий был «забудь» и «напечатай».
Роланд
0

Лично я думаю, что они оба "плохие", как друг друга.

«Запомнить меня» немного лучше, потому что на самом деле оно не хранит ваш пароль (или представление вашего пароля), но представляет собой токен, который представляет вас, и, если файл cookie украден, злоумышленник может использовать его для входа в систему. как вы, не зная свой пароль.

Джош Хант
источник
0

В общих чертах первое лучше.

Подход «запомнить меня» на сайтах обычно оставляет куки в вашем браузере.

«Запомнить мой пароль» в браузере сохраняет его во внутренней базе данных.

Если вы интенсивно используете приложение, я бы использовал браузерный подход.

Если вы не интенсивно используете приложение, и требуется дополнительная безопасность (например, ваша учетная запись), не используйте ни один, и всегда вводите его (и убедитесь, что вы используете жесткий пароль вместо обычного)

Мне нравится Google Chrome, который всегда помнит ваш идентификатор пользователя, но не пароль. Таким образом, я должен печатать меньше.

Кроме того, кто знает, когда ваша жена попытается войти в систему на этом "другом" сайте;)

OscarRyz
источник
0

Я чувствую, что это зависит даже от того, что более безопасно: ваш компьютер или ваше соединение. Если сайт запоминает вас, то устанавливается cookie, который отправляется обратно для каждого запроса. Когда ваш пароль запоминается (и вводится самостоятельно), он передается только во время входа в систему ...

(Сайты, которые на самом деле временно используют HTTPS или некоторое хеширование для отправки вашего пароля, я не думаю, что нужно начинать с «запомнить меня», я думаю.)

Но, как многие предполагали: различия незначительны. И если вы используете один и тот же пароль на многих сайтах, то, вероятно, вам важнее не файл cookie, а фактический пароль.

Я уверен, что самый безопасный вариант - вводить данные для входа каждый раз

Если у вас не работает какой-нибудь ключ-логгер. ;-)

Арьян
источник
0

Если вы используете Firefox, убедитесь, что вы установили мастер-пароль для своего браузера, и тогда он зашифрует все ваши пароли. Является ли это легко взломанным шифрованием или нет, я не уверен. Все шифрование может быть взломано с помощью достаточно больших радужных таблиц.

Крис Марисик
источник
К счастью, программы безопасности не имеют высокого кровяного давления и всегда могут использовать больше соли. Программистам безопасности, с другой стороны, возможно, придется помнить о том, чтобы хранить соль в коде, а не в своей еде.
pcapademic
0

Ни один из них на самом деле не является наиболее безопасным, чем другой, поэтому я лично для удобства просто использую функцию «Запомнить меня» на веб-сайтах. Я обнаружил, что все надстройки «Менеджеры паролей» и «Главный пароль» доставляют больше хлопот, и в любом случае они на самом деле не настолько безопасны. Если кому-то действительно нужны ваши пароли, они их получат. Но это никогда не было проблемой для меня, поэтому у меня нет причин для беспокойства.

Саша Чедыгов
источник