Jelszó tárolása böngészőben - secure?

Security-all

Kíváncsi lennék security szakértők véleményére, hogy mi az aktuális álláspont erről. Van kimutatás/tapasztalat a nagy böngészőket illetően, hogy mennyire secure a beépített jelszókezelő? Ti használjátok nap mint nap, vagy ez akkora lámaság, mint ráírni a laptop tetejére a jelszavaimat?

Céges audit koppintott meg, hogy "poor practice", de igazából tiltva nincs. Laikusként nyilván látom, hogy a kényelmi funckiók mellett számtalan gondot okozhat, de ez szinte mind úgy kezdődik, hogy "hozzáférés esetén ...". Gondolom ennyi erővel akkor minden file lehetne OS szinten is cryptelve, különben hozzáférés esetén megnyithatóak.

Alapból csak ott használom ami egész nap kell, de gyakran timeoutol, pl. JIRA és társai. Password manager tool természetesen van a fontos dolgoknak, de mire onnan kimásolom addig be is írhatnám.

  • 773 megtekintés

( resist v | 2021. 06. 03., cs – 09:38 )

Én Firefox mesterjelszóval használom, engem is érdekel a kérdés.

A keepass offline alapkiépítésben. Szerintem nem is rossz ez így, de én nem tenném automatikussá a jelszavak beírását, mert ez a plugin lesz a gyenge láncsszem. Hanem kopipasztáznám, akkor én döntöm el, hogy mikor használok egy jelszót, nem tud véletlenül automatikusan bekerülni a dobozba. Persze ennek is van baja, mert akkor meg a vágólapon lesz a jelszó :-(.

Nincs tökéletes megoldás, legalábbis nem ismerem.

Egyébként még nem is zavarna, ha x naponta meg kell változtatni, de hogy nem lehet beilleszteni a random generált, egyedi, 64 karakteres jelszavamat, s még ha random generált rövidebbet is választok, mire megtanulnám, le kell cserélnem, hát ott dugja fel a szekuritijét, aki ezeket kitalálta. 

Lehet menni kapálni, illetve lehet pampogni (az hasznosabb) azért, hogy az adott alkalmazás ne saját, hanem AD-auth-ot használjon. Igaz, akkor az AD-s jelszavadnak kell kifejezetten komplexnek és erősnek lenni. De lehetne 2fa-val csinálni (szereti az MNB), meg újragondolni az egészet, és "zero trust" irányba is tenni lépéseket (2fa-val spékelve természetesen).

( cdbb | 2021. 06. 03., cs – 10:05 )

Szerintem a lényeg az hogy te nem látod mi történik a jelszavaddal miután "syncelődik", egy zárt forráskód esetén.

Én inkább bíznék egy külsős kifejezetten erre szakosodott open-source szoftvert író cégben, neadjisten aki zero-knowledge módszerrel dolgozik, mert ők nem valószínű hogy máról holnapra megszüntetik a funkciót, míg pl. Google, meg Mozzilla kivezetheti máról holnapra. (mondjuk nem valószínű...) Plusz mivel zárt forrású, ezért nem tudjuk hogy ha őket meghákolják, akkor hozzá tudnak-e férni a jelszavaidhoz.

A lényeg hogy használj 2fa-t, és akkor mindegy hogy van-e közvetlen hozzáférés (ha jól van titkosítva helyben).

( htmm v | 2021. 06. 03., cs – 10:10 )

En egyet ertek azzal, hogy nem a legjobb. Az en gepemen a bongeszo a legnagyobb tamadasi felulet (es azt is a legegyszerubb tamadni) ugyhogy mar az is ad egy extra reteg vedelmet, ha a jelszomanagered egy kulon process. Mondjuk ennek csak akkor van ertelme, ha mindenhonnan rendszeresen kijelentkezel vagy rendszeresen torlod a cookiekat.

( KGer | 2021. 06. 03., cs – 11:04 )

nálunk cég határozott álláspontja hogy kerülendő mert nem biztonságos, de technikailag nincsen letiltva, gondolom kisebb jelentőségű vagy teszt vagy privát dolgok miatt

ha mégis vmi security breach történik azáltal mert mégis használtad, gondolom akkor felvetődhet a részbeni felelősség kérdése
 

( mogorva v | 2021. 06. 03., cs – 12:13 )

> Gondolom ennyi erővel akkor minden file lehetne OS szinten is cryptelve

 

Kellene is legyen. Pl. bitlockerrel vagy bármivel.

A böngészőben való jelszó tárolással a következő gondok lehetnek:

* böngésző/plugin sérülékenységen át kihúzzák

* bárki leül a géped elé, használni tudja

* egy idő után elfelejted és fogalmad se lesz mi a jelszó :)

* ha megmarhul a böngésző, akkor egy régi jelszóval folyton ki tud téged lockolni

* nem tudhatod, hová sync-eli ki a te kényelmed érdekében (lehet, hogy minden rossz szándék nélkül, de akkor is necces), bár persze megnézheted a forrást és/vagy forgathatsz magadnak saját binárist amiről tudod, hogy nem syncel kifelé

Lehet rosszul fogalmaztam, de arra gondoltam, hogy az OS betöltődése utáni file szintű crypting, pl. AxCrypt. BitLocker természetesen van, de ahogy mondtam a security finding azt mondja "hozzáférést esetén..." ami ellen a BitLocker nem véd, mert azt boot előtt feloldod.

A többi tippet köszi.

( zrubi v | 2021. 06. 03., cs – 12:16 )

Határozottan magánvélemény:

 

manapság egy böngésző már mindint is akar csinálni, a sandoxtól a DNS feloldásig...

Nem csak emiatt, de és (sajnos?) egyikben sem tudok megbízni annyira, hogy a jelszavaimat rábízzam.

 

Persze ez sem fekete vagy fehér, mert a "mindehová egy jelszót használók" esetében óriási előrelépés lenne már a böngsézó jelszókezelője is, de:

sajnálatos módon ezek a jelszókezelők igen buták, és pl firefox esetében 3rd party cég kezében vannak, így én ezek használatát biztosan nem javaslom.

Nem beszélve arról, hogy ha többféle böngészőt használsz, akkor többfelé kell mentened a jelszavaidat...

Sőt, van akinél nem csak a böngészőbe kell jelszó ;)

 

Szóval szerintem mindenképp külön password manager használatának van értelme.

Hogy ki melyikben termékben bízik meg, az egy teljesen más kérdés, de még egy külön jelszókezelő böngésző pluginja is inkább kényelmi fícsör, ami a biztonságot erősen lerontja, hiszen a böngésző el tud kérni bármilyen jelszót...

 

Sok céges policy tiltja is a böngésző jelszókezelőjének használatát - bár nem hiszem hogy valós érvekkel alá van támasztva, inkább csak olyan megszokás abból az időből, amikor a böngészők még csak simán "megjegyezték" a jelszavakat. :D

 

szerintem.

zrubi.hu

( YleGreg | 2021. 06. 03., cs – 12:58 )

Á, nem kell aggódni, én azt olvastam egy MS reklámban, hogy a Windows a legbiztonságosabbabb, a böngésző legutóbbi frissítése meg azt mondta, hogy most aztán tényleg olyan biztonságban vagyok mint anyum pocijában voltam. És most ahogy nézem, hogy a pityu.exe (ez egy ingyenes víruskereső és potencianövelő alkalmazás amit tök ingyen kaptam egy orosz warezpornó oldalról) azt mondja, hogy a legtöbb cucc a gépemen már tök titkos, és hogy segít nekem bitcoin számlát nyitni, mert olyan jó fej, szóval szerintem a pénzügyi dolgaimat is rábízhatom. Ja, a böngészőről volt szó, hát szerintem a jelszókezelő az valahova a keretébe van beépítve, az ártó kódok meg mindig csak az ablakon belül futnak, szóval szerintem az ablakkeretben tárol jelszavakhoz nem férnek hozzá. Igen, ezt a pityu mondta, de én bízok benne, mert ha 10 ismerősömnek elküldöm, akkor megadja annak dögös macának a telefonszámát amelyiknek az előbb megnyitotta a weboldalát. Pedig nem is kértem, de tulajdonképpen tökre okos, tudja, hogy mit szeretnék igazából, szerintem a Cortanát le is cserélem a pityura. A cortanában egyébként sem bízok, mert állítólag nem GDPR kompatibilis, és nekem szívügyem az adatvédelem, nem akarom, hogy a MS megtudja, hogy hányszor nyitom meg az Excelt egy nap, ez tök para, miért akarják ezt is tudni rólam a nagy cégek?

( uid_16313 | 2021. 06. 03., cs – 13:20 )

Annál biztonságosabb, mintha felszinkronizálnád a firefox-hoz, Google-höz, Vivaldi-hoz, etc.