Dois-je laisser mon navigateur ou le site se souvenir de mon mot de passe, ou ni l'un ni l'autre?

11

Quelles sont les implications pour la sécurité de laisser un navigateur Web se souvenir des informations de connexion pour moi? Dois-je laisser un navigateur se souvenir, comme Firefox ou Chrome, ou dois-je laisser le site se souvenir?

Je suis sûr que l'option la plus sécurisée consiste à saisir mes informations de connexion à chaque fois, mais si je choisis de ne pas le faire et d'utiliser à la place les fonctionnalités "Se souvenir de moi" d'un site ou les fonctionnalités "Enregistrer ce mot de passe" d'un navigateur, quelle est l'approche la plus sécurisée?

security browser password-management Jeff Yates
la source

Réponses:

14

Sur mes ordinateurs personnels, je permettrai à mon navigateur Web de se souvenir de mes mots de passe, mais c'est parce qu'ils m'appartiennent et que personne d'autre ne les touchera (à moins qu'ils n'entrent par effraction dans ma maison et volent toutes mes affaires, puis j'ai de plus grandes choses à m'inquiéter. sur).

Pour les ordinateurs publics ou les ordinateurs de travail, je ne choisirais certainement ni l'un ni l'autre, surtout si vous travaillez sur un système partagé.

TheTXI
la source
7

Étant donné que de toute façon, quiconque ayant accès à votre ordinateur pourrait facilement accéder à vos comptes, aucune de ces options n'est très sécurisée. Je suppose que parce que la fonction "Se souvenir de moi" utilise des cookies et expire généralement, elle serait légèrement plus sûre car vos mots de passe ne sont (à ma connaissance) stockés nulle part.

Je préfère utiliser quelque chose comme Roboform ou Lastpass, où le mot de passe est rempli automatiquement pour moi, mais je peux le configurer pour qu'il demande mon mot de passe principal la première fois qu'il se connecte pendant une session de navigation. De cette façon, je n'ai pas à me souvenir de mes mots de passe, mais d'autres personnes ne peuvent toujours pas y accéder.

Dan Walker
la source
Vous pouvez demander à Firefox d'avoir un "mot de passe principal". Voilà comment je le fais.
TJ L
6

Avec un mot de passe mémorisé par un navigateur, vous êtes ouvert à au moins deux problèmes:

  1. D'autres utilisent votre navigateur et obtiennent votre accès
  2. Malware récupérant votre mot de passe depuis le navigateur (limité aux vulnérabilités du navigateur)

Avec un mot de passe "site mémorisé" , vous avez un cookie placé dans votre navigateur par le site.
C'est également dangereux (selon le niveau de votre paranoïa):

  1. Même problème qu'auparavant, toute personne accédant au navigateur à partir de votre identifiant a accès
  2. Les cookies peuvent également être «volés» ou mal utilisés

Dérivez toujours votre paranoïa en fonction de la sensibilité du mot de passe .
Votre mot de passe gmail (juste) pourrait être plus sûr de perdre que votre mot de passe bancaire.

nik
la source
Votre mot de passe gmail est pire à perdre que votre mot de passe bancaire. Votre mot de passe gmail permettra à de nombreux sites de réinitialiser les mots de passe pour une prise de contrôle totale du compte. Votre banque n'autorise généralement même pas une personne à se connecter avec un mot de passe seul et à utiliser l'authentification multifacteur même si c'est une stupide 'question de sécurité'
Chris Marisic
sensibilité entre gmail et banque: cela dépend du nombre de sites qui utilisent votre adresse gmail pour se connecter, réinitialiser le mot de passe et votre solde bancaire
Roland
1

Passwordsafe se souvient non seulement en toute sécurité de vos mots de passe, mais a la possibilité de les saisir dans votre navigateur pour vous.

pgs
la source
1

J'ai tendance à ne me souvenir de mes mots de passe. Pas principalement pour des raisons de sécurité, mais surtout parce que je sais que j'oublierai le mot de passe si je n'ai pas à le saisir régulièrement (et je pourrais en avoir besoin sur un autre ordinateur quelque part).

balpha
la source
Ensuite, vous utilisez probablement des mots de passe faibles et n'utilisez pas de mots de passe uniques pour chaque compte. Devise: choisissez un mot de passe que personne ne peut deviner et dont vous ne vous souvenez pas :-)
Roland
@Roland J'ai toujours utilisé des mots de passe uniques. Mais ces jours-ci, ils sont générés par un gestionnaire de mots de passe et je ne m'en souviens pas. Vous avez commenté une réponse vieille de dix ans :)
balpha
Oui, un gestionnaire de mots de passe est LA solution, comme les autres réponses mentionnées. Mais mon commentaire portait sur "oublier" et "taper".
Roland
0

Personnellement, je pense qu'ils sont tous les deux aussi «mauvais» l'un que l'autre.

"Se souvenir de moi" est légèrement meilleur car il ne stocke pas réellement votre mot de passe (ou une représentation de votre mot de passe), mais c'est un jeton qui vous représente et, si le cookie est volé, un utilisateur malveillant pourrait l'utiliser pour se connecter comme vous sans connaître votre mot de passe.

Josh Hunt
la source
0

En termes généraux, le premier est meilleur.

L'approche "se souvenir de moi" dans les sites laisse généralement un cookie dans votre navigateur.

Le "mémoriser mon mot de passe" dans le navigateur le stocke dans une base de données interne.

Si vous utilisez intensivement une application, j'utiliserais l'approche du navigateur.

Si vous n'utilisez pas intensivement une application et qu'une sécurité supplémentaire est nécessaire (comme votre compte arrière), n'utilisez ni l'une ni l'autre et tapez-la toujours (et assurez-vous d'utiliser un mot de passe dur au lieu d'un mot de passe commun)

J'aime Google Chrome qui se souvient toujours de votre identifiant, mais pas du mot de passe. De cette façon, je dois taper moins.

De plus, qui sait quand votre femme va essayer de se connecter sur ce site "ami";)

OscarRyz
la source
0

Je pense que cela dépend même de ce qui est le plus sûr: votre ordinateur ou votre connexion. Pour que le site se souvienne de vous, un cookie est créé, qui est renvoyé pour chaque demande. Lorsque vous vous souvenez de votre mot de passe (et que vous le saisissez vous-même), il n'est transmis que lorsque vous vous connectez ...

(Je pense que les sites qui utilisent temporairement HTTPS ou un hachage pour envoyer votre mot de passe ne devraient pas commencer par "se souvenir de moi".)

Mais, comme beaucoup l'ont suggéré: les différences sont mineures. Et si vous utilisez le même mot de passe sur de nombreux sites, vous vous souciez probablement moins du cookie que du mot de passe réel.

Je suis sûr que l'option la plus sécurisée consiste à saisir mes informations de connexion à chaque fois

Sauf si vous avez un enregistreur de frappe en cours d'exécution. ;-)

Arjan
la source
0

Si vous utilisez Firefox, assurez-vous de configurer un mot de passe principal pour votre navigateur, puis il cryptera tous vos mots de passe. Que ce soit ou non un cryptage facilement cassable, je ne suis pas sûr. Cependant, tout le cryptage peut être rompu avec des tables arc-en-ciel suffisamment grandes.

Chris Marisic
la source
Heureusement, les programmes de sécurité n'ont pas d'hypertension et peuvent toujours utiliser plus de SEL. Les programmeurs de sécurité, d'autre part, peuvent avoir besoin de se rappeler de garder le sel dans le code et non dans leur nourriture.
pcapademic
0

Aucun des deux n'est vraiment plus sûr que l'autre, donc j'utilise personnellement la fonctionnalité "Remember Me" des sites Web pour plus de commodité. J'ai trouvé que tous les modules complémentaires "gestionnaires de mots de passe" et "mot de passe principal" sont plus compliqués, et ils ne sont pas vraiment sécurisés de toute façon. Si quelqu'un voulait vraiment vos mots de passe, il les obtiendrait. Mais cela n'a jamais été un problème pour moi, donc je n'ai aucune raison de m'inquiéter.

Sasha Chedygov
la source