Каковы последствия для безопасности, когда веб-браузер запоминает информацию для входа в систему? Должен ли я позволить браузеру запомнить, как Firefox или Chrome, или я должен запомнить сайт?
Я уверен, что наиболее безопасный вариант - каждый раз вводить данные для входа в систему, но если я решу не делать этого и вместо этого использую функции сайта "Запомнить меня" или "Сохранить этот пароль" браузер, какой подход является более безопасным?
На своих персональных компьютерах я позволю своему веб-браузеру запоминать мои пароли, но это потому, что они мои, и никто больше никогда их не тронет (если они не ворвутся в мой дом и не украдут все мои вещи, и тогда у меня будут более важные вещи, чтобы волноваться около).
Для публичных или рабочих компьютеров я бы определенно не выбрал ни один, особенно если вы работаете в общей системе.
Поскольку в любом случае любой пользователь, имеющий доступ к вашему компьютеру, может легко войти в ваши учетные записи, ни один из этих вариантов не является очень безопасным. Я полагаю, что поскольку функция "Запомнить меня" использует файлы cookie и срок их действия истекает, это будет немного безопаснее, поскольку ваши пароли (насколько я знаю) нигде не хранятся.
Я предпочитаю использовать что-то вроде Roboform или Lastpass, где пароль автоматически заполняется для меня, но я могу настроить его на запрос моего мастер-пароля при первом входе в систему во время сеанса просмотра. Таким образом, мне не нужно запоминать свои пароли, но другие люди по-прежнему не могут получить к ним доступ.
С запомненным паролем браузером вы открыты как минимум к двум проблемам:
С паролем «сайт запоминается» у вас есть файл cookie, размещенный в вашем браузере сайтом.
Это также небезопасно (в зависимости от уровня вашей паранойи):
Всегда выводите свою паранойю, основываясь на чувствительности пароля.
Ваш пароль Gmail (просто) может быть безопаснее потерять, чем ваш банковский пароль.
Passwordsafe не только надежно запоминает ваши пароли, но и имеет возможность ввести их в ваш браузер для вас.
Я, как правило, никому не запомнил свои пароли. Не в первую очередь по соображениям безопасности, но в большей степени потому, что я знаю, что забуду пароль, если не буду вводить его регулярно (и мне может понадобиться его где-нибудь на другом компьютере).
Я чувствую, что это зависит даже от того, что более безопасно: ваш компьютер или ваше соединение. Если сайт запоминает вас, то устанавливается cookie, который отправляется обратно для каждого запроса. Когда ваш пароль запомнен (и вы набираете его самостоятельно), он передается только во время входа в систему ...
(Сайты, которые на самом деле временно используют HTTPS или некоторое хэширование для отправки вашего пароля, я не думаю, что для начала нужно помнить "запомнить меня".)
Но, как многие предполагали: различия незначительны. И если вы используете один и тот же пароль на многих сайтах, то, вероятно, вам важнее не файл cookie, а фактический пароль.
Я уверен, что самый безопасный вариант - вводить данные для входа каждый раз
Если у вас не работает какой-нибудь ключ-логгер. ;-)
Я бы порекомендовал использовать что-то вроде LastPass. Здесь также есть хорошее обсуждение управления паролями: https://superuser.com/questions/255/how-do-you-keep-track-of-all-your-passwords
Если вы используете Firefox, убедитесь, что вы установили мастер-пароль для своего браузера, и тогда он зашифрует все ваши пароли. Является ли это легко взломанным шифрованием или нет, я не уверен. Все шифрование может быть взломано с помощью достаточно больших радужных таблиц.
Ни один из них на самом деле не является наиболее безопасным, чем другой, поэтому я лично для удобства просто использую функцию "Запомнить меня" на веб-сайтах. Я обнаружил, что все надстройки "Менеджеры паролей" и "Главный пароль" доставляют больше хлопот, и в любом случае они на самом деле не настолько безопасны. Если кому-то действительно нужны ваши пароли, они их получат. Но это никогда не было проблемой для меня, поэтому у меня нет причин для беспокойства.
Лично я думаю, что они оба "плохие", как друг друга.
"Запомнить меня" немного лучше, потому что на самом деле оно не хранит ваш пароль (или представление вашего пароля), но представляет собой токен, который представляет вас, и, если файл cookie украден, злоумышленник может использовать его для входа в систему. как вы, не зная свой пароль.
В общих чертах первый лучше.
Подход "запомнить меня" на сайтах обычно оставляет куки в вашем браузере.
"Запомни мой пароль" в браузере сохраняет его во внутренней базе данных.
Если вы интенсивно используете приложение, я бы использовал браузерный подход.
Если вы не интенсивно используете приложение и необходима дополнительная защита (например, ваша учетная запись), не используйте ни один, и всегда вводите его (и убедитесь, что вы используете жесткий пароль вместо обычного)
Мне нравится Google Chrome, который всегда помнит ваш идентификатор пользователя, но не пароль. Таким образом, я должен печатать меньше.
Плюс, кто знает, когда ваша жена попытается войти в систему на этом "другом" сайте;)
