Каковы последствия для безопасности, позволяющие веб-браузеру запоминать информацию для входа в систему? Должен ли я позволить браузеру запомнить, как Firefox или Chrome, или я должен запомнить сайт?
Я уверен, что наиболее безопасный вариант - каждый раз вводить данные для входа в систему, но если я решу не делать этого и вместо этого использую функции сайта «Запомнить меня» или «Сохранить этот пароль» браузер, какой подход является более безопасным?
Ответы:
На своих персональных компьютерах я позволю своему веб-браузеру запоминать мои пароли, но это потому, что они мои, и никто больше никогда их не тронет (если они не ворвутся в мой дом и не украдут все мои вещи, а затем у меня будут большие дела, чтобы волноваться около).
Для публичных или рабочих компьютеров я бы определенно не выбрал ни один, особенно если вы работаете в общей системе.
Поскольку в любом случае любой пользователь, имеющий доступ к вашему компьютеру, может легко войти в ваши учетные записи, ни один из этих вариантов не является очень безопасным. Я предполагаю, что поскольку функция «Запомнить меня» использует файлы cookie и, как правило, срок их действия истекает, это будет немного безопаснее, поскольку ваши пароли (насколько я знаю) нигде не хранятся.
Я предпочитаю использовать что-то вроде Roboform или Lastpass, где пароль автоматически заполняется для меня, но я могу настроить его на запрос моего мастер-пароля при первом входе в систему во время сеанса просмотра. Таким образом, мне не нужно запоминать свои пароли, но другие люди по-прежнему не могут получить к ним доступ.
С паролем, запомненным браузером, вы открыты как минимум к двум проблемам:
С паролем «сайт запоминается» у вас есть файл cookie, размещенный в вашем браузере сайтом.
Это также небезопасно (в зависимости от уровня вашей паранойи):
Всегда выводите свою паранойю, основываясь на чувствительности пароля .
Ваш пароль Gmail (просто) может быть безопаснее потерять, чем ваш банковский пароль.
Passwordsafe не только надежно запоминает ваши пароли, но и имеет возможность ввести их в ваш браузер для вас.
Я, как правило, никому не запомнил свои пароли. Не в первую очередь по соображениям безопасности, но в большей степени потому, что я знаю, что забуду пароль, если не буду вводить его регулярно (и мне может понадобиться его где-нибудь на другом компьютере).
Лично я думаю, что они оба "плохие", как друг друга.
«Запомнить меня» немного лучше, потому что на самом деле оно не хранит ваш пароль (или представление вашего пароля), но представляет собой токен, который представляет вас, и, если файл cookie украден, злоумышленник может использовать его для входа в систему. как вы, не зная свой пароль.
В общих чертах первое лучше.
Подход «запомнить меня» на сайтах обычно оставляет куки в вашем браузере.
«Запомнить мой пароль» в браузере сохраняет его во внутренней базе данных.
Если вы интенсивно используете приложение, я бы использовал браузерный подход.
Если вы не интенсивно используете приложение, и требуется дополнительная безопасность (например, ваша учетная запись), не используйте ни один, и всегда вводите его (и убедитесь, что вы используете жесткий пароль вместо обычного)
Мне нравится Google Chrome, который всегда помнит ваш идентификатор пользователя, но не пароль. Таким образом, я должен печатать меньше.
Кроме того, кто знает, когда ваша жена попытается войти в систему на этом "другом" сайте;)
Я чувствую, что это зависит даже от того, что более безопасно: ваш компьютер или ваше соединение. Если сайт запоминает вас, то устанавливается cookie, который отправляется обратно для каждого запроса. Когда ваш пароль запоминается (и вводится самостоятельно), он передается только во время входа в систему ...
(Сайты, которые на самом деле временно используют HTTPS или некоторое хеширование для отправки вашего пароля, я не думаю, что нужно начинать с «запомнить меня», я думаю.)
Но, как многие предполагали: различия незначительны. И если вы используете один и тот же пароль на многих сайтах, то, вероятно, вам важнее не файл cookie, а фактический пароль.
Я уверен, что самый безопасный вариант - вводить данные для входа каждый раз
Если у вас не работает какой-нибудь ключ-логгер. ;-)
Я бы порекомендовал использовать что-то вроде LastPass . Здесь также есть хорошее обсуждение управления паролями: /superuser/255/how-do-you-keep-track-of-all-your-passwords
Если вы используете Firefox, убедитесь, что вы установили мастер-пароль для своего браузера, и тогда он зашифрует все ваши пароли. Является ли это легко взломанным шифрованием или нет, я не уверен. Все шифрование может быть взломано с помощью достаточно больших радужных таблиц.
Ни один из них на самом деле не является наиболее безопасным, чем другой, поэтому я лично для удобства просто использую функцию «Запомнить меня» на веб-сайтах. Я обнаружил, что все надстройки «Менеджеры паролей» и «Главный пароль» доставляют больше хлопот, и в любом случае они на самом деле не настолько безопасны. Если кому-то действительно нужны ваши пароли, они их получат. Но это никогда не было проблемой для меня, поэтому у меня нет причин для беспокойства.