Si vous avez un malware sur votre ordinateur, aucun mot de passe saisi ou stocké ne peut être considéré comme vraiment sûr. Même les mots de passe cryptés tels que les bases de données KeyPass, dès que vous entrez les détails nécessaires pour le décrypter, l'attaquant peut récupérer vos mots de passe.
Les navigateurs ne font généralement pas très attention à la sécurité des mots de passe enregistrés, du moins pas avec les paramètres par défaut.
Disons que vous obtenez un cheval de Troie, qui vole les données de votre PC. Le cheval de Troie peut-il décrypter les mots de passe stockés par les navigateurs et les utiliser?
En un mot: oui. Les navigateurs ne chiffrent généralement pas les mots de passe mémorisés, ils peuvent donc être lus avec un effort trivial. Le chiffrement avec une clé stockée est de toute façon inutile: si le navigateur est capable de le déchiffrer, d'autres programmes s'exécutant sur le même ordinateur peuvent faire de même.
Je connais très bien Firefox, donc je vais continuer avec ça.
Firefox vous permet de définir un «mot de passe principal». Si vous le faites, il crypte les mots de passe stockés avec le mot de passe principal. Cependant, pour des raisons de commodité, vous ne devez vous connecter en utilisant ce mot de passe principal qu'une fois par session. Une fois connecté, les informations nécessaires pour décrypter les mots de passe enregistrés sont stockées en mémoire et accessibles. Une approche plus sécurisée et plus lourde aurait consisté à exiger que le mot de passe principal soit tapé à chaque fois que Firefox devait rechercher un mot de passe enregistré.
Même si les mots de passe enregistrés étaient parfaitement cryptés et complètement inaccessibles, ils doivent être décryptés et saisis sur les formulaires Web à un moment donné. Ce qui signifie conserver les mots de passe, non chiffrés, en mémoire. Il y a effectivement quelques « astérisque Revealer programmes » conçus pour saisir les mots de passe de mémoire et, bien, les révéler. Les logiciels malveillants pourraient théoriquement faire de même.
Et les logiciels malveillants peuvent également vous enregistrer, permettant à l'attaquant de récupérer tout mot de passe que vous avez tapé.
Il y a une étude très approfondie de la sécurité des mots de passe dans les principaux navigateurs (IE, Chrome, FF) ici . Pour résumer, Chrome et IE10 s'appuient sur les routines de chiffrement de Windows, qui sont considérées comme solides. Cependant, ils ne protègent pas contre d'autres programmes fonctionnant sous le même utilisateur , c'est-à-dire qu'ils sont inutiles contre les logiciels malveillants. Encore une fois, n'importe quel programme en cours d'exécution (en tant qu'administrateur) peut récupérer des informations de la mémoire ou en enregistrant les clés de toute façon.
La méthode de cryptage est la plus importante lorsque vous envisagez la possibilité de vol de vos données enregistrées pour une analyse ultérieure, par exemple, quelqu'un s'introduisant et copiant votre ordinateur ou volant votre ordinateur. En général, tous les navigateurs modernes assurent une protection décente contre cette forme d'attaque. Firefox avec un bon mot de passe fort est de nouveau préféré, car les données cryptées de Windows peuvent être récupérées en se connectant au compte d'utilisateur Windows, et le mot de passe Windows n'est plus entièrement sûr. Notez que rien de tout cela n'arrêtera un attaquant très déterminé.
NirSoft fournit un outil appelé "IEPassView" qui peut décrypter Internet Explorer 8 et sous les mots de passe. Les informations système pour Windows peuvent faire de même; cliquez simplement sur la clé en haut.
NirSoft fournit des outils de "récupération de mot de passe" pour de nombreux navigateurs populaires ( http://www.nirsoft.net/password_recovery_tools.html ) - ceux-ci constituent une bonne "preuve de concept" pour montrer que le stockage de mot de passe intégré n'est pas sûr .
la source
Lastpass et ses logiciels sont de bonnes réponses pratiques. Bien qu'ils ne vous offrent pas une sécurité totale (vous devez toujours faire les bases comme le pare-feu, l'antivirus, etc.), c'est un bon moyen de gérer vos mots de passe. En raison également du fait qu'il est stocké sur le cloud magique, vous pouvez y accéder de n'importe où (contrairement à certains logiciels locaux où vous devez stocker sur votre machine pour y accéder).
la source