Le gestionnaire de mots de passe est-il sûr dans les navigateurs?

13

Par exemple, Opera possède une fonction «baguette» qui se souvient des noms d'utilisateur et du mot de passe que vous avez saisis sur divers sites.

Disons que vous obtenez un cheval de Troie, qui vole les données de votre PC. Le cheval de Troie peut-il décrypter les mots de passe stockés par les navigateurs et les utiliser?

Alex
la source

Réponses:

4

Les points notés dans la réponse de Bob sont tous valides, donc je ne vais pas prendre la peine de les répéter; cependant, j'ai pensé que quelques informations supplémentaires pourraient également être utiles pour certains, car votre question est une préoccupation valable.

  • La fonction Opera Wand vous permet de spécifier la fréquence à laquelle demander votre mot de passe principal Preferences > Advanced > Security > Ask for passwordavec des sélections telles que "Une fois par session" (qui, comme Bob le souligne correctement, limite votre sécurité), "Toutes les x minutes / heures" (si vous ne .inicela ne vous dérange pas de manipuler des fichiers, vous pouvez personnaliser votre propre fréquence) et "Chaque fois que nécessaire" (évidemment l'option la plus sûre car votre mot de passe ne sera pas stocké en mémoire pendant votre session de navigation). Je n'utilise pas Firefox, mais je peux imaginer qu'une extension similaire est disponible quelque part.

  • Les données de la baguette sont stockées dans un fichier appelé, attendez-le, wand.datdans un format qui peut être déchiffré avec relativement peu d'effort si aucun mot de passe maître n'est utilisé; si vous faites utiliser un mot de passe principal, il est crypté à l' aide d' une composante aléatoire et votre mot de passe maître avec un algorithme qui me échappe actuellement (devrait être facile à regarder bien).

  • Si vous utilisez un mot de passe pour un site dont la sécurité est plus importante pour vous que la connexion moyenne, vous pouvez simplement choisir de ne pas enregistrer le mot de passe .

  • Les onglets privés d'Opera (ou leur équivalent dans d'autres navigateurs) vous permettent de stocker les données de session de cet onglet séparément de celles des onglets "normaux", ce qui peut ajouter une autre couche de sécurité.

  • Le modèle de sécurité utilisé dans Chrome et ses dérivés (c'est-à-dire le sandboxing de chaque onglet dans un thread séparé) vous offre une sécurité encore plus grande.

  • Vous pouvez vous prémunir contre les enregistreurs de frappe et autres en régulièrement:

    • mettre à jour votre logiciel antivirus et pare-feu; et
    • changer vos mots de passe.

Pour résumer:

  • Le niveau de sécurité de votre navigateur et celui de vos identifiants vous appartient dans une large mesure.

  • Si quelqu'un était très compétent et ingénieux, il pourrait probablement accéder à vos données en fin de compte malgré toutes les précautions ci-dessus, mais cela rendrait les données de votre navigateur beaucoup plus sécurisées et augmenterait le niveau de sophistication requis pour les casser de manière significative.

Amos M. Carpenter
la source
22
  • Si vous avez un malware sur votre ordinateur, aucun mot de passe saisi ou stocké ne peut être considéré comme vraiment sûr. Même les mots de passe cryptés tels que les bases de données KeyPass, dès que vous entrez les détails nécessaires pour le décrypter, l'attaquant peut récupérer vos mots de passe.

  • Les navigateurs ne font généralement pas très attention à la sécurité des mots de passe enregistrés, du moins pas avec les paramètres par défaut.


Disons que vous obtenez un cheval de Troie, qui vole les données de votre PC. Le cheval de Troie peut-il décrypter les mots de passe stockés par les navigateurs et les utiliser?

En un mot: oui. Les navigateurs ne chiffrent généralement pas les mots de passe mémorisés, ils peuvent donc être lus avec un effort trivial. Le chiffrement avec une clé stockée est de toute façon inutile: si le navigateur est capable de le déchiffrer, d'autres programmes s'exécutant sur le même ordinateur peuvent faire de même.

Je connais très bien Firefox, donc je vais continuer avec ça.

Firefox vous permet de définir un «mot de passe principal». Si vous le faites, il crypte les mots de passe stockés avec le mot de passe principal. Cependant, pour des raisons de commodité, vous ne devez vous connecter en utilisant ce mot de passe principal qu'une fois par session. Une fois connecté, les informations nécessaires pour décrypter les mots de passe enregistrés sont stockées en mémoire et accessibles. Une approche plus sécurisée et plus lourde aurait consisté à exiger que le mot de passe principal soit tapé à chaque fois que Firefox devait rechercher un mot de passe enregistré.

Même si les mots de passe enregistrés étaient parfaitement cryptés et complètement inaccessibles, ils doivent être décryptés et saisis sur les formulaires Web à un moment donné. Ce qui signifie conserver les mots de passe, non chiffrés, en mémoire. Il y a effectivement quelques « astérisque Revealer programmes » conçus pour saisir les mots de passe de mémoire et, bien, les révéler. Les logiciels malveillants pourraient théoriquement faire de même.

Et les logiciels malveillants peuvent également vous enregistrer, permettant à l'attaquant de récupérer tout mot de passe que vous avez tapé.


Il y a une étude très approfondie de la sécurité des mots de passe dans les principaux navigateurs (IE, Chrome, FF) ici . Pour résumer, Chrome et IE10 s'appuient sur les routines de chiffrement de Windows, qui sont considérées comme solides. Cependant, ils ne protègent pas contre d'autres programmes fonctionnant sous le même utilisateur , c'est-à-dire qu'ils sont inutiles contre les logiciels malveillants. Encore une fois, n'importe quel programme en cours d'exécution (en tant qu'administrateur) peut récupérer des informations de la mémoire ou en enregistrant les clés de toute façon.

La méthode de cryptage est la plus importante lorsque vous envisagez la possibilité de vol de vos données enregistrées pour une analyse ultérieure, par exemple, quelqu'un s'introduisant et copiant votre ordinateur ou volant votre ordinateur. En général, tous les navigateurs modernes assurent une protection décente contre cette forme d'attaque. Firefox avec un bon mot de passe fort est de nouveau préféré, car les données cryptées de Windows peuvent être récupérées en se connectant au compte d'utilisateur Windows, et le mot de passe Windows n'est plus entièrement sûr. Notez que rien de tout cela n'arrêtera un attaquant très déterminé.

Bob
la source
Il convient de noter que si vous utilisez un authentificateur, les options d'un attaquant malveillant pour voler vos mots de passe sont considérablement réduites.
o0 '.
1

NirSoft fournit un outil appelé "IEPassView" qui peut décrypter Internet Explorer 8 et sous les mots de passe. Les informations système pour Windows peuvent faire de même; cliquez simplement sur la clé en haut.

NirSoft fournit des outils de "récupération de mot de passe" pour de nombreux navigateurs populaires ( http://www.nirsoft.net/password_recovery_tools.html ) - ceux-ci constituent une bonne "preuve de concept" pour montrer que le stockage de mot de passe intégré n'est pas sûr .

Chris
la source
Uhm ... c'est un peu trompeur, en fait. Vous avez omis de mentionner que des outils comme ceux-ci ne fonctionnent pas du tout sur les connexions protégées par un mot de passe principal ou ont besoin du mot de passe principal pour "décrypter" les informations de connexion. Au moins, cela vaut pour Opera / Chrome / Firefox, vous ne savez pas exactement ce que fait IE, vous pourriez bien être là.
Amos M. Carpenter
1

Lastpass et ses logiciels sont de bonnes réponses pratiques. Bien qu'ils ne vous offrent pas une sécurité totale (vous devez toujours faire les bases comme le pare-feu, l'antivirus, etc.), c'est un bon moyen de gérer vos mots de passe. En raison également du fait qu'il est stocké sur le cloud magique, vous pouvez y accéder de n'importe où (contrairement à certains logiciels locaux où vous devez stocker sur votre machine pour y accéder).

Griffon
la source
1
Je voudrais noter, encore une fois, que cela ne protégerait pas contre les logiciels malveillants s'exécutant localement. Premièrement, les logiciels malveillants pourraient intercepter votre mot de passe principal Lastpass. L'authentification à deux facteurs peut protéger contre cela, mais vous pourriez alors divulguer les mots de passe en les tapant dans la page Web de destination. Le fait est que si un malware s'exécute (en hauteur) sur votre machine, vos données non cryptées sont vissées. Et vos données cryptées sont vissées dès que vous essayez d'y accéder.
Bob
(C'est toujours une bonne suggestion [j'utilise personnellement Keepass, aucun de ces déchets de nuage], mais je dois répondre au point soulevé dans la question.)
Bob
@Bob, il y a aussi le problème que même sur la machine locale, les logiciels malveillants peuvent faire la même chose en interceptant les mots de passe. Le copier-coller peut également être tracé, de sorte que lorsque vous utilisez un mot de passe, il est suivi. Il n'y a pas de bon moyen, l'authentification à 2 facteurs est vraiment difficile à battre.
Griffin
Oui, je ne dis pas que Keepass est plus sûr contre les logiciels malveillants exécutés localement.
Bob