it-swarm.dev

Il salvataggio delle password in Chrome è sicuro come usare LastPass se lo lasci connesso?

Justin Schuh ha difeso il ragionamento di Google sulla scia di questo post descrivendo in dettaglio " scoperta " (sic) che le password salvate nel Chrome può essere visualizzato in testo semplice. Vorrei solo citarlo direttamente:

Sono il Chrome responsabile della tecnologia di sicurezza del browser, quindi potrebbe essere utile se spiego qui il nostro ragionamento. L'unico limite di autorizzazione per l'archiviazione della password è l'account utente del sistema operativo. Quindi, Chrome utilizza lo spazio di archiviazione crittografato fornito dal sistema per proteggere le password di un account bloccato. Oltre a ciò, tuttavia, abbiamo scoperto che i confini all'interno dell'account utente del sistema operativo non sono affidabili e sono principalmente Teatro.

Considera il caso in cui un utente malintenzionato abbia accesso al tuo account. Detto cattivo può scaricare tutti i cookie di sessione, acquisire la cronologia, installare l'estensione dannosa per intercettare tutte le attività di navigazione o installare il software di monitoraggio a livello di account utente del sistema operativo. Il mio punto è che una volta che il cattivo ha avuto accesso al tuo account, il gioco è stato perso, perché ci sono troppi vettori per lui per ottenere ciò che vuole.

Ci è stato anche chiesto ripetutamente perché non supportiamo solo una password principale o qualcosa di simile, anche se non crediamo che funzioni. Ne abbiamo discusso più e più volte, ma la conclusione a cui giungiamo sempre è che non vogliamo fornire agli utenti un falso senso di sicurezza e incoraggiare comportamenti rischiosi. Vogliamo essere molto chiari sul fatto che quando concedi a qualcuno l'accesso al tuo account utente del sistema operativo, che possono ottenere tutto. Perché in effetti, è proprio quello che ottengono.

Sto usando LastPass supponendo che sia migliore e più sicuro rispetto all'utilizzo del gestore password integrato di Chrome. Ci sono altri due fatti rilevanti qui:

  1. LastPass ha un'opzione per rimanere connesso su un computer affidabile. Supponiamo che lo usi.
  2. Chrome ti consente di creare na password separata per i dati sincronizzati di Google (leggi: password memorizzate). Supponiamo che lo faccia anche io.

Con questi dati, a parità di condizioni, LastPass è più sicuro di Chrome? Sembra che una volta che il software dannoso arriva sul mio sistema o che un cattivo ha accesso, non importa da un punto di vista teorico, sono compromesso al 100%. È vero?

Inoltre, dal punto di vista pratico, l'uno o l'altro ha maggiori probabilità di essere violato nella vita reale? Ci sono alcuni vettori di attacco che sono più comuni o di maggior successo che potrebbero funzionare uno di questi o no?

PS: Non mi interessa che amici, familiari o principianti possano accedere al mio account. Sto chiedendo di hacker malintenzionati intelligenti.

97
brentonstrine

[~ # ~] note [~ # ~] Questa risposta potrebbe non essere aggiornata a causa di miglioramenti in Chrome poiché la risposta è stata scritta.

Prima di tutto, Chrome lo fa crittografa le tue password e altri dati segreti. Ma ci sono diversi aspetti in base all'impostazione, oltre ad alcuni dettagli che dovresti tenere a mente.

Sul tuo computer, nel tuo sistema operativo

Quando le password vengono salvate localmente sul tuo computer, Google tenterà di utilizzare qualunque vault password locale possa esistere. Ad esempio, se sei su OSX, questo è il portachiavi del sistema . Se sei su Windows, è l'API di Windows Data Protection (Microsoft ha un'abilità peculiare per la denominazione dei prodotti), se sei su KDE, è il Portafoglio , in GNOME è Gnome Keyring .

Ognuno di questi prodotti ha le sue implicazioni che vale la pena notare. Ad esempio, se mai sincronizzi le tue password su un dispositivo OSX, tali password vanno nel Portachiavi (come menzionato) che è stato rinominato il Portachiavi iCloud - le cui implicazioni sono esattamente come sembrano: ora Apple conosce anche le tue password salvate e le sincronizzerà con il tuo iPhone, iPad e qualsiasi altro Apple. Potrebbe essere esattamente quello che volevi. E forse no. Sii solo consapevole.

L'API Professional Edition di Windows Exciting Names and Data Protection non offre tali funzionalità. Le tue password sono sul tuo computer e rimangono lì fino a nuovo avviso. Chiamalo vecchio stile o chiamalo sicuro. Ma tieni presente che Microsoft ha una storia di inseguimenti di Apple e potrebbe decidere di farlo anche qui.

Nel cloud

Oltre a qualsiasi sincronizzazione involontaria di iCloud come menzionato sopra, Chrome sincronizzerà anche le tue password tra Chrome. Ciò significa che invii i tuoi dati a Google. Sì, è crittografato .

Come viene crittografato? Dipende da te. Puoi utilizzare il tuo account Google (impostazione predefinita) oppure impostare una "passphrase di sincronizzazione" speciale. Mentre non ho una conoscenza speciale degli interni di queste due opzioni, le implicazioni sembrano piuttosto dirette.

Se utilizzi la password del tuo account Google, le password vengono decodificate senza ulteriori interventi da parte tua. Si noti che l'attuale password è effettivamente richiesto; l'accesso al solo account Google non è sufficiente. Ho visto situazioni in cui Chrome è riuscito con successo ad accedere e recuperare i suoi dati di sincronizzazione tramite autorizzazione esterna ma non è stato in grado di decrittografarli fino a quando non ho digitato la password Gmail originale. Il vantaggio, quindi , di usare una "passphrase di sincronizzazione" separata significa assicurarsi che chiunque abbia la tua password Gmail (presumibilmente Google potrebbe, ad esempio) non avrà la tua password di sincronizzazione.

Ricordando il completamento automatico = off Password

L'articolo di geek.com menzionato fa apparire un punto interessante, ma quel punto è tradizionalmente sostenuto da una posizione di ... unenlightenment. È una posizione comune assunta dai "sostenitori della privacy" (in particolare il tipo per il quale metterei quel termine tra virgolette) ma le implicazioni per la sicurezza sono molto, molto, molto chiare e decisamente decisamente dalla parte di Google.

Ne ho già scritto. Vai a leggere l'altra risposta e poi torna indietro. Aspetterò.

Vai avanti.

OK, indietro? OK, ecco i punti critici mentre sono freschi nella tua mente: autocomplete=off è stato aggiunto un intervento per disattivare una funzione molto pericolosa. Questa funzione non è il salvataggio della password di cui abbiamo parlato.

La funzionalità di cui abbiamo parlato aiuta utenti. L'altro è stato un tentativo fuorviante di essere utile compilando moduli usando cose che hai digitato su altro siti web. Quindi immagina un assistente di completamento automatico come Clippy, ma con peggiori abilità sociali: "Vedo che stai tentando di accedere a Ebay; inserirò il tuo login da Yahoo e vedremo se funziona." Sì, abbiamo avuto idee divertenti sulla sicurezza negli anni '90. Puoi capire perché mettere autocomplete=off tutto in remoto, anche in relazione alla sicurezza, è diventato rapidamente un punto elenco negli audit del sito.

In confronto, il completamento automatico di cui abbiamo parlato è una soluzione per il miglioramento della sicurezza molto attentamente controllata. E se lo usi per niente, ti consigliamo di utilizzarlo per le tue password più sicure? Perché? Phishing.

Il phishing è letteralmente l'attacco online più pericoloso per te. È super efficace e super devastante. Non ottiene quasi l'attenzione che dovrebbe perché puntiamo sempre un dito sullo stupido utente che ha dato la sua password all'Esercito elettronico siriano. Ma difendersi dal phishing è molto, molto difficile, e sfruttarlo è quindi davvero, davvero facile. Inoltre, un exploit di phishing di successo ha un potenziale di danno illimitato, fino allo spegnimento del tutto tipo di catastrofe sanguinaria.

E per proteggerti dal phishing, la tua arma più grande è un gestore di password integrato nel browser. Sa dove utilizzare le password e ti impedisce di usarle a meno che tu non sia in realtà guardando il sito giusto. Non viene ingannato dai domini simili o dalla grafica "site seal", sa controllare il certificato SSL e sa how controllare il certificato SSL. Mantiene le tue password bloccate fino a quando non sei pronto per usarle e fissando il prompt di accesso corretto.

Se Chrome password manager ignora il autocomplete=off Messaggio? PIÙ Sicuramente SÌ.

Dovresti usarlo? Se stai usando LastPass, allora stai bene. Ma questa dovrebbe essere considerata un'alternativa ragionevole se le avvertenze di cui sopra non ti danno fastidio.

Se non stai utilizzando any password manager, inizia a utilizzare questo proprio ora. È sicuro da qualsiasi misura ragionevole, e in particolare, molto più sicuro di non usarlo.

59
tylerl

In definitiva, il punto di Justin era lo stesso della tua osservazione secondo cui anche le password di LastPass sarebbero vulnerabili al 100% al malware presente sul tuo computer. La tua macchina è la massima sicurezza.

Il post di Elliot Kember afferma che la tua sicurezza generale è aumentata se hai bisogno di una password principale per visualizzare altre password. E ha un punto valido. Esiste sicuramente un vantaggio nel ridurre la superficie di attacco e la sua affermazione è che Google non ci sta nemmeno provando in tal senso. Elliot afferma che il "falso senso di sicurezza" di Justin ignora l'elemento umano, il che significa che il 95% delle persone a cui potresti prestare la tua macchina non è in grado di sfruttarla. Tuttavia, se presti la tua macchina al tuo inutile cognato, potrebbe fare qualcosa di sciocco che ti espone a un virus: tuo cognato non ti sfrutta deliberatamente, ma è un potenziale vettore per l'infezione.

Tutto sommato l'argomentazione di Justin sfrutta anche il comportamento umano. Se Chrome consente ad altre persone di vedere facilmente le tue password, saresti stupido a permettere a qualcun altro di usarlo senza una stretta supervisione. Entrambe le parti hanno punti validi.

Il problema non espresso con Chrome è che a meno che non si faccia clic su un'opzione di sincronizzazione avanzata oscura, la password di sincronizzazione è la stessa della password di Google. Pertanto, per impostazione predefinita, Google ha la possibilità di decrittografare il file di sincronizzazione e accedere le tue password. Ora hai esteso la tua superficie di attacco in modo da includere completamente la fiducia in Google per proteggere tutte le tue password. Google è degno di fiducia? La semplice risposta è chiedere perché Google dovrebbe mai ficcare il naso sulle tue password e rischiare di danneggiare la fiducia che le persone hanno per loro. Ma li consegnano alle autorità quando vengono presentati con un mandato e una lettera di sicurezza nazionale? Quelle domande hanno risposte inconoscibili, ma hanno a che fare con la tua sicurezza personale.

Tuttavia, puoi fare un ulteriore passo avanti e migliorare effettivamente la tua sicurezza tramite hardware affidabile. Puoi collegare il tuo account LastPass per utilizzare un YubiKey per autenticazione a doppio fattore . È una chiave USB che si comporta come una tastiera, ma la tieni sul portachiavi accanto alla chiave di casa. Fornisce una stringa apparentemente casuale a Lastpass che Lastpass può quindi utilizzare un algoritmo per verificare, garantendo l'accesso al tuo account. Anche su una macchina totalmente coperta in cui il malware può intercettare le password in uso attivo, purché non abbia accesso agli appunti o utilizzi il plug-in del browser Lastpass, le tue password sono al sicuro.

10
John Deters

Stai chiedendo come essere sicuro supponendo che un attore malintenzionato abbia avviato un processo sul tuo sistema (o abbia dirottato un altro processo con il proprio codice) in esecuzione con "fiducia dell'utente".

Su Windows, puoi attivare questa azione da solo, ad esempio scaricando http://example.com/virus.exe e quindi eseguirlo volontariamente. Anche se non viene mai richiesto un prompt UAC, il sistema è comunque efficacemente compromesso.

Su Linux, è possibile attivare questa azione scaricando un binario (o anche uno script Shell, Ruby, Python, Java jar, ecc.), rendendolo eseguibile e eseguendolo.

Il modello di sicurezza della maggior parte dei sistemi operativi, in particolare quelli che non sono stati configurati in modo molto specifico con una rigorosa politica di controllo dell'accesso obbligatorio, che non sono quasi mai pronti all'uso per comodità - non è in grado di mitigare un compromesso in questo livello.

I seguenti potenziali vettori di attacco si presentano immediatamente su Windows, Mac OS X, desktop GNU/Linux, desktop BSD, Android, iOS, ecc., Supponendo che un attore malintenzionato sia in grado di eseguire una qualche forma di codice con la fiducia dell'utente sul sistema/dispositivo :

  • Acquisizione o iniezione di mouse/tastiera: acquisizione di sequenze di tasti, movimenti/clic del mouse o iniezione delle azioni della tastiera/mouse dell'aggressore.
  • Screen scraping o injection: catturare screenshot o video dell'output del display o iniettare i dati arbitrari propri dell'attaccante sullo schermo per farti pensare che stai facendo una cosa mentre ne fai effettivamente un'altra.
  • Dirottamento del browser Web: rubare i cookie di sessione e caricarli su un server remoto.
  • Lettura arbitraria di tutti i dati sul file system a cui è possibile accedere manualmente come utente e invio di tali dati al server dell'aggressore.
  • Utilizzo di exploit pubblicati o non pubblicati a livello di API di sistema (libreria C, librerie di sicurezza, librerie di autenticazione, interfaccia kernel, ecc.) Per elevare le autorizzazioni da utente a livello amministratore, quindi eseguire tecniche di compromesso più avanzate (rootkit, ecc.) Che non sono in genere è possibile, come utente normale, esfiltrare ulteriormente i dati o confondere l'utente nel digitare le proprie password o informazioni personali, che vengono poi keyloggate ed esfiltrate

Dato questo elenco di possibili vettori di attacco, e probabilmente altri che mi mancano, è impossibile per qualsiasi "gestore di password" impedire attivamente lo sfruttamento di uno/tutti questi metodi per rubare i tuoi dati o farti pensare di essere su un sito Web legittimo in cui si inviano inconsapevolmente le proprie credenziali o informazioni di identificazione personale all'attaccante.

Mettiamola in questo modo: se la falsificazione della richiesta tra siti e gli script tra siti o Heartbleed sono paragonabili alla porta aperta, cercando di avere una sicurezza significativa all'interno di un gestore di password in uno scenario di programmi dannosi in esecuzione sotto la fiducia degli utenti è come cercare di dormire sonni tranquilli quando puoi vedere un ladro nella tua camera da letto che sfoglia i tuoi oggetti di valore personali e mette quelli interessanti in una grande borsa.

7
allquixotic

Per me questo è come dire che non devi preoccuparti di bloccare la tua auto perché se qualcuno volesse davvero entrare, avrebbe solo rotto un finestrino.

Anche se lasci la sessione di LastPass connessa (il che non è consigliabile se qualcun altro ha accesso al tuo computer), è ancora più forte in molti modi rispetto all'utilizzo di qualsiasi sistema in cui le chiavi sono archiviate sul disco (Chrome).

È possibile accedere alle chiavi LastPass (in memoria) solo mentre la sessione è connessa, mentre le chiavi Chrome sono accessibili in qualsiasi momento se si dispone dell'accesso ai file. Ciò significa che quest'ultima è suscettibile a una vasta gamma di vettori di attacco:

  • Anche se mantieni il tuo computer fisicamente sicuro, se qualcuno ha accesso a un'unità di backup non crittografata, al backup su cloud o al backup della rete locale, può ottenere le tue chiavi. Ad esempio, i computer sul mio lavoro eseguono il backup dei file del profilo utente su SMB - il trasferimento dei file non viene crittografato, quindi chiunque abbia accesso alla rete o ai dischi del server di backup o al backup i dischi, o anche l'accesso futuro a tali dischi, otterrebbero tutte le mie password se le salvassi in Chrome.
  • Dopo che il computer è stato bloccato o spento, non è possibile accedere alle chiavi in ​​LastPass, ma le chiavi in ​​Chrome sono ancora sul disco (supponendo che il tuo disco rigido non sia crittografato). l'attaccante può semplicemente estrarre il disco rigido o prendere l'intero computer.
  • Se si tratta di un utente malintenzionato remoto, è molto più semplice avere un programma dannoso copiare alcuni Chrome dal tuo account utente piuttosto che ottenere un programma dannoso per accedere alla sessione LastPass attualmente aperta. LastPass potrebbe impedire ad altri software a livello di utente di accedere alla sua memoria e manipolare l'input della finestra e il software che tenta di assumere il controllo dello schermo o della tastiera può avvisare gli scanner dei virus. [Nota che probabilmente è ancora facile sostituire i collegamenti ai programmi e intercettare un futuro esecuzione di LastPass, ma ciò richiede di non notare l'intrusione.]

Naturalmente se lasci il tuo computer sbloccato e qualcuno si avvicina e ottiene tutte le password, allora è colpa tua, ma almeno con LastPass hai la possibilità di bloccare la sessione e renderla notevolmente più coinvolta.

5
codebeard

Stai assumendo "hacker malintenzionati intelligenti" che hanno installato software dannoso sul tuo sistema. Qualsiasi differenza tra due gestori di password è marginale e, a questo punto, è solo una questione di fortuna, non una garanzia di sicurezza progettata.

4
user29761

Se sei preoccupato per la sicurezza, vai all'autenticazione a due fattori per l'intero stack di Google E usa un Chromebook. Non un mac né un PC Windows. Inizia con gmail, unità, calendario, ecc.

I Chromebook stanno limitando in qualche modo, ma molto, molto, molto più resilienti alle minacce persistenti avanzate. Se ottengono una backdoor nella rete, possono intercettare il traffico del tuo Chromebook, ma non possono ottenere un punto d'appoggio persistente o backdoor nel tuo dispositivo. È estremamente difficile.

Lavoro per un'azienda di sicurezza informatica. Tutti i nostri dipendenti sono costantemente sotto attacco. Ho fatto un dump della memoria sul mio dispositivo Windows circa una volta al mese e poi una ricostruzione. nessun scherzo. molto stancante.

Il Chromebook è stata un'ottima alternativa. Più sicuro. Ti abitui a lavorare su fogli, documenti e quindi utilizzare Excel, Word, pdf-Adobe come archivio per il documento in quell'istante. Un modo diverso e migliore di pensare. La collaborazione è integrata. Il calendario funziona alla grande. Una volta che ti sarai abituato al diverso approccio per iniziare con documenti collaborativi, se vuoi, invece di versioni costanti in MS Office, ti piacerà molto. ma devi abituarti ed è diverso. diverso non è migliore, diverso è diverso! quindi sii paziente.

3
Mike Stanley

Come sostenitore di LastPass al lavoro - la sicurezza è ampiamente equivalente tra Chrome e Lastpass come gestori password.

LastPass mantiene una chiave di ripristino nei browser per impostazione predefinita (può essere disattivata), quindi anche se non rimani connesso qualcuno con accesso al tuo account può reimpostare l'accesso se hanno accesso alla tua e-mail/SMS.

LastPass ha molti punti vendita, supporto per più browser, funzionalità Enterprise ecc., Ma non credo che nessuno di questi lo renda più sicuro.

Il punto di forza per noi è che offre alcuni report aziendali di base. Quindi posso dire se i miei utenti utilizzano LastPass, hanno 2FA e utilizzano password casuali (o almeno altrettanto potenti).

È possibile disabilitare il token di ripristino, limitare l'accesso per paese, i dispositivi della whitelist e abilitare 2FA, ma è ancora un plug-in del browser con vari accessi locali complessi.

1
Simon