Pytanie:
Czy jest jakiś powód, aby wyłączyć wklejanie hasła podczas logowania?
IAmJulianAcosta
2016-07-27 07:31:23 UTC
view on stackexchange narkive permalink

Dzisiaj zalogowałem się, aby zapłacić rachunek za telefon komórkowy i okazało się, że witryna ma wyłączoną funkcję wklejania w polu hasła.

Jestem webdevem i wiem, jak naprawić to, ale dla zwykłego użytkownika jest NAPRAWDĘ irytujące konieczność wpisywania losowego hasła, takiego jak o\&$t~0WE'kL.

I Wiesz, że to normalne, że użytkownicy zapisują hasło podczas tworzenia konta , ale czy jest jakiś powód, aby wyłączyć wklejanie haseł podczas logowania ?

Jak myślisz, dlaczego „zmuszanie użytkowników do wpisywania hasła podczas tworzenia konta jest normalne”?to dokładnie to samo: utrudnia korzystanie z menedżerów haseł (które na przykład generują dobre nowe hasła do użycia podczas tworzenia konta)
Zauważ, że blokowanie skryptów może czasami pomóc, ale mogą być obsługiwane z tego samego serwera, co skrypty, które faktycznie chcesz, co sprawia, że proste rozwiązanie noscript jest nieco trudniejsze.Wklejanie, logowanie, a następnie kliknięcie „tymczasowo zezwól ...” może Ci pomóc.
jedną rzeczą, jaką zauważyłem w niektórych witrynach, na przykład przy logowaniu Microsoftu, jest to, że wyłączają "wklej" w menu kontekstowym, ale możesz użyć `CTRL / CMD + v`, aby wkleić hasło.
Słyszałem teorię, że „chcemy przeszkolić użytkowników, aby trzymali swoje hasła poza podatnym na atak schowkiem” ... ale czy klawiatura jest bezpieczniejsza, jeśli została naruszona?
@DaniEll Myślę, że wyłączają wklejanie hasła podczas tworzenia konta, aby ludzie nie wpisywali niewłaściwego hasła w pierwszym polu i kopiowali nieprawidłowe hasło do drugiego pola ...
nie wspominając o tym, że ponieważ nie uniemożliwia to użytkownikowi * kopiowania * hasła z dowolnego miejsca, nie sprawia, że schowek jest bezpieczniejszy.Zanim użytkownik zorientuje się, że pasta nie działa, jest już za późno.
Nie, nie dzwonię.Brzmi jak pomysł _ eksperta ds. Bezpieczeństwa_ instytucji finansowej.Na przykład * hej, ograniczmy długość do 15, z powodu [wstaw-zły-powód] *.
@Dupontrocks11 normalnie nie możesz skopiować tekstu * z * pola hasła w żadnym systemie, więc nie możesz skopiować błędnego hasła z pierwszego pola do drugiego.Najbliższym możliwym rozwiązaniem jest wklejenie niewłaściwego hasła do obu pól z innego miejsca.
Uważam to za niezwykle irytujące, gdy nie mogę wkleić hasła, więc jeśli Twoja firma chce drażnić ludzi lub ryzykować, że użytkownicy zmienią swoje hasła na coś prostego do wpisania (i łatwiejszego do zhakowania / odgadnięcia)
A co z metodą „kliknij i przeciągnij”?Uważam, że to działa, gdy czcionki się nie wklejają. Nie jest pomocny w przypadku automatycznego wysyłania, ale jest dobry w niektórych sytuacjach, na przykład gdy nie można wyświetlić podglądu wpisanego tekstu.Eliminuje to małe drażniące: „Czy dobrze to wpisałem?”Jeśli cała plątanina haseł jest wklejona razem, np. W ten sposób, to czy nie można po prostu podświetlić i kliknąć i przeciągnąć, aby „wkleić”?Przepraszam, jeśli się mylę.--BLBU
Świetny pomysł.Wyłącz nawet wszystkie pasty.Powinieneś zalać cały schowek, a także wyłączyć klawiaturę sprzętową.Wyłącz także monitor i wymuszaj schemat haseł, który zmienia / resetuje każdy koniec sesji, wymagając 10 razy 5 regionalnych symboli hindi z rzędu przy długości 256 znaków, gdzie nie możesz powtórzyć hasła, którego użyłeś wcześniej.Jeśli ktoś nie logował się przez okres 2 dni, mimo wszystko zresetuj go.I zmień ich nazwę użytkownika.Następnie, aby było naprawdę bezpieczne, włącz uwierzytelnianie dwuskładnikowe, gdzie drugim czynnikiem jest list potwierdzony [poczta ślimakowa] na adres podany w informacjach o ubezpieczeniu społecznym;)
@dhaupin: Czy zaprojektowałeś formularz logowania do mojego banku?
@MarkKCowan lol Chciałbym kiedyś pracować dla banku.Wyciągnij ich z wczesnych lat 90-tych i zapoznaj z podstawowymi koncepcjami „Web2.0” z początku 2000 roku po cenie 180 tys. $ Rocznie.Potrzebujesz koncepcji po 2011 roku?Ups, to straszne / krwawe rzeczy.Więc nie przejmuj się starszym zarządem CTO + - pamiętaj o swoich problemach z sercem, nie ekscytuj się zbytnio.Powolne i niskie ... nie martw się o te algos MD5, ale zachowaj szaleństwo związane z hasłami, ponieważ wszyscy zgadzamy się, że siwobrody wiedzą najlepiej.
@plainclothes: „Słyszałem teorię, że„ chcemy przeszkolić użytkowników, aby trzymali swoje hasła poza podatnym na ataki schowkiem ”… ale czy klawiatura jest bezpieczniejsza?Chociaż może to być prawda, głównym celem może być zapobieganie łatwemu do uniknięcia śladom dowodów kryminalistycznych poprzez trzymanie ich poza schowkiem?
Czy możesz zadać pytanie i odpowiedzieć na pytanie, jak to obejść.A następnie połącz go tutaj.Głosowałbym za pytaniem i odpowiedzią.
Dziesięć odpowiedzi:
tlng05
2016-07-27 07:47:25 UTC
view on stackexchange narkive permalink

Blokowanie wklejanych haseł nie daje żadnych istotnych korzyści w zakresie bezpieczeństwa; wręcz przeciwnie, prawdopodobnie osłabi bezpieczeństwo, zniechęcając do korzystania z menedżerów haseł do generowania i automatycznego uzupełniania losowych haseł. Chociaż niektórzy menedżerowie haseł są w stanie ominąć ograniczenia wklejania, nadal chodzi o to, że użytkownicy nie powinni być zmuszani do ręcznego wpisywania hasła.

Fragment odpowiedniego artykułu WIRED:

Witryny internetowe, przestań blokować menedżerów haseł. Jest rok 2015

Ale szalone jest to, że w 2015 roku niektóre strony internetowe celowo wyłączają funkcję, która umożliwiłaby łatwiejsze używanie silniejszych haseł - a wiele z nich robi to, ponieważ niesłusznie się o to kłócą sprawia, że ​​jesteś bezpieczniejszy.

Oto problem: niektóre witryny nie pozwalają na wklejanie haseł do ekranów logowania, zmuszając cię zamiast tego do ich wypisania. Uniemożliwia to korzystanie z niektórych rodzajów menedżerów haseł, które są jedną z najlepszych linii obrony, aby zablokować konta.

Inny artykuł omawiający „obronę” tej praktyki: https://www.troyhunt.com/the-cobra-effect-that-is-disiring/
Wygląda na to, że jakiś dobry stary * Name & Shame * jest w porządku.Kto do cholery celowo to robi?
@AndrewHoffman PayPal robił to przez jakiś czas.Nie jestem pewien, czy opamiętali się.
Fidelity i eClinicalWeb to dwie witryny, z których korzystam regularnie (nie z wyboru), które, pozornie celowo, bardzo utrudniają życie menedżerom haseł.Nie blokują wklejania, ale robią wszystko, co w ich mocy, aby menedżerowie haseł zawiedli w dziwaczny sposób.
Mogło być gorzej.Witryna .gov do kupowania bonów skarbowych wymagała klawiatury ekranowej z losowym rozmieszczeniem liter w stosunku do myszy.Kompletna tortura dla losowego silnego hasła, a po zrobieniu tego raz naprawiłem je za pomocą greasemonkey.
Wydaje się, że @KevinKrumwiede PayPal rozwiązał problem, przynajmniej dla mnie.Jeśli spróbuję automatycznie wypełnić LastPass, to mówi mi, że moje hasło jest nieprawidłowe, ale jeśli mam LastPass, skopiuj moje hasło do schowka i wklejam je ręcznie, działa dobrze.
Nie mogę znieść, kiedy nie mogę „wkleić” swojego hasła.Jako zapalony użytkownik menedżera haseł mam hasło tylko do tych witryn.To nie jest bezpieczne i nie jest mocne.Zasadniczo mógłbym równie dobrze użyć słowa hasło.Uważam też, że cała witryna jest z tego powodu niebezpieczna.
Jeśli używasz przeglądarki Chrome, ciesz się [nie f *** z wklejaniem] (https://chrome.google.com/webstore/detail/dont-fuck-with-paste/nkgllhigpcljnhoakjkgaieabnkmgdkb?hl=en), ponieważ poważnie, nie pieprzyć z pastą.
Samo powiedzenie, ale „jest [bieżący rok]” nie jest argumentem
RommelTJ
2016-07-27 00:57:07 UTC
view on stackexchange narkive permalink

Wyłączenie wklejania pola hasła wprowadza „ efekt Cobry”. Efekt kobry „pojawia się, gdy próba rozwiązania problemu w rzeczywistości go pogarsza”.

Troy Hunt napisał niedawno artykuł, w którym wyjaśnia to bardziej szczegółowo. Zasadniczo jest to teatr bezpieczeństwa, podobnie jak to, co dzieje się na lotniskach, aby „uczynić nas bezpieczniejszymi”. Troy Hunt nazywa to efektem Cobry, ponieważ wyłącza używanie bezpiecznych, 50-znakowych haseł, które można by wkleić z menedżera haseł. W najlepszym przypadku zmusza ludzi do tworzenia haseł, które są łatwe do zapamiętania, a przez to łatwiejsze do zhakowania.

Niektórzy mogą powiedzieć, że zwiększa to bezpieczeństwo, ponieważ zapobiega kopiowaniu schowka przez złośliwe oprogramowanie, ale ignorują fakt że jeśli złośliwe oprogramowanie już to robi, może również kopiować wszystkie rodzaje naciśnięć klawiszy, a nie tylko Ctrl + V. To bez sensu.

Z perspektywy UX jest to po prostu denerwujące, jak mówisz. Jest to więc denerwujące z punktu widzenia UX i nie czyni nas bezpieczniejszymi. Ta „funkcja” nie ma sensu.

Chociaż generalnie zgadzam się z twoją odpowiedzią, nie zgadzam się z twoją opinią na temat bezpieczeństwa schowka.Na przykład Flash Player może uzyskać dostęp do schowka, ale myślę, że nie może rejestrować naciśnięć klawiszy (przynajmniej tak długo, jak obiekt flash nie jest skupiony)
Jeśli [Adobe] (http://help.adobe.com/en_US/as3/dev/WS2F6A31B9-1AE6-4b23-9C12-57A33F4F0516.html) jest poprawne, Flash Player może czytać schowek tylko wtedy, gdy użytkownik aktywnie wkleja coś zto.
Szczerze mówiąc, jeśli usprawiedliwieniem dla niemożności wklejenia haseł w witrynie jest „obawiamy się złośliwych wtyczek flash, które kradną Twoje dane uwierzytelniające”, to naprawdę zastanawiam się, dlaczego w pierwszej kolejności zezwalasz na złośliwe wtyczki flash w swojej witrynie.Każda witryna może się tak zdarzyć na dwa sposoby: poprzez złośliwą reklamę i włamanie na stronę, a te zwykle robią znacznie gorsze rzeczy niż kradzież jednego (zwykle unikalnego) poświadczenia jednej witryny.
Zgadzam się z duchem tej odpowiedzi, ale błędem jest twierdzenie, że jest to w 100% bezcelowe.* Istnieją * scenariusze, w których może dojść do włamania do schowka, ale keyloggery (lub inne ataki) albo nie mogą, albo są mniej prawdopodobne.Przykład: zablokowany system operacyjny kiosku lub oportunistyczny napastnik, który jest świadkiem wklejania hasła.
thomasyung
2016-07-26 05:18:42 UTC
view on stackexchange narkive permalink

Nie, nie ma rozsądnego powodu, aby to robić. To zły UX, prosty i prosty. Wyłączenie wklejania w pole hasła w rzeczywistości zachęca do używania złych haseł. Menedżerowie haseł automatycznie usuwają schowek po wklejeniu, więc ten argument nie jest już ważny.

Niektóre menedżery haseł * Używam LastPass, który jest dość dużym menedżerem haseł i nie czyści mojego schowka
@DasBeasto robi, ale nie po wklejeniu, ale po określonym czasie kopiowania.Wyczyści również schowek po wyjściu z aplikacji
Nawet jeśli to prawda, że menedżerowie haseł usuwają schowki po wklejeniu, nie wszyscy używają menedżerów haseł, a ludzie będą również kopiować i wklejać z innych źródeł.
A co z wykrywaniem wklejania w skrypcie javascript w formularzu logowania, a następnie wyczyszczeniem schowka?Czy javascript jest wystarczająco potężny?
@beppe9000 Po co w ogóle wkręcać się w schowek użytkownika.Są użytkownikami, przypuszczalnie wiedzą, co robią i są najlepiej przygotowani do zarządzania własnymi hasłami.Być może mają system, który robi coś bardziej inteligentnego niż to, co robi strona internetowa.A co, jeśli chcą tylko zobaczyć, co ich menedżer haseł wkleił, aby rozwiązać problem techniczny?
@Sqeaky Mam na myśli to, że jeśli absolutnie chcą majstrować w schowku użytkownika, powinni to robić * po * wklejeniu.
Philipp
2016-07-27 17:29:42 UTC
view on stackexchange narkive permalink

Głównym argumentem zabezpieczającym zakazującym kopiowania copy&pastowania haseł jest to, że hasło pozostaje później w schowku użytkownika. Może to prowadzić do przypadkowego ujawnienia hasła w niepowiązanym kontekście. Na przykład, gdy użytkownik przypadkowo wklei go do innego pola wejściowego w innej aplikacji (sieciowej lub innej). Innym możliwym scenariuszem może być sytuacja, gdy użytkownik odchodzi od swojego urządzenia bez blokowania go, a ktoś inny naciska ctrl + v, aby sprawdzić, co ma w schowku.

Jest to jednak naprawdę małe ryzyko w porównaniu z ogromne korzyści w zakresie bezpieczeństwa, jakie mają menedżerowie haseł. Ponadto menedżerowie haseł często mają funkcję automatycznego czyszczenia schowka kilka sekund po skopiowaniu z nich hasła, co znacznie zmniejsza to ryzyko.

Jest też jeden duży problem z tą logiką, polegający na tym, że już skopiowałeś swoje hasło, zanim dowiedziałeś się, że nie możesz go wkleić ...
@AntP Ale ten „błąd” popełnisz tylko przy pierwszej próbie zalogowania się do witryny za pomocą menedżera haseł, a nie za każdym razem, gdy będziesz korzystać z aplikacji.
To prawda ... Głównie dlatego, że nie logowałbym się po raz drugi :)
Tak, myślę, że naprawdę błędnym motywem jest tutaj założenie, że ta praktyka „wyszkoli” użytkowników, aby nigdy nie kopiowali swojego hasła do schowka, podczas gdy wszystko, co naprawdę zrobi, to zmusić ich do obejścia go w tej konkretnej witrynie.
Po prostu przenosi podatność z rejestratora schowka na keyloggera.Co samo w sobie jest czerwoną flagą, że deweloperzy nie wiedzą zbyt wiele o bezpieczeństwie i należy unikać tej witryny:)
@Philipp Tylko jeśli logujesz się na tyle często, że pamiętasz, że to nie działa.Jeśli logujesz się tylko raz w miesiącu lub trzy razy w roku, prawdopodobnie zapomnisz i spróbujesz ponownie, a może nawet spróbujesz jeszcze raz, mając nadzieję, że pozbyli się „funkcji”.
dobry menedżer haseł wyczyści schowek po pewnym czasie, mój jest skonfigurowany tak, aby robił to po 15 sekundach
Superbest
2016-07-28 01:48:43 UTC
view on stackexchange narkive permalink

Istnieją powody, by to zrobić, choć niezbyt dobre.

Zasadniczo odradza to kopiowanie i wklejanie. Oznacza to, że użytkownicy rzadziej zapomną o tym w swoim schowku i przypadkowo wyciekną. Ponadto, jeśli go wklejają, oznacza to, że zapisali go gdzieś (na przykład plik tekstowy), co nie jest tak bezpieczne jak ich mózg - więc jeśli plik tekstowy stanie się bezużyteczny, być może będą bardziej polegać na swojej pamięci.

Oczywiście to nie ma sensu. Wiele osób, które kopiują i wklejają, robi to ze swojego menedżera haseł, który jest bardzo dobrze chroniony. Menedżerowie haseł również automatycznie czyścą schowek, a jak wskazano w innym miejscu, jakie są szanse, że Twój użytkownik ma keyloggera, który może czytać schowek, ale nie naciska klawiszy?

Dla mnie takie rzeczy ujawniają rodzaj pogardy dla inteligencji użytkownika. Zasadniczo oznacza to, że „jesteś zbyt głupi, aby nie zostać skradzionym hasła, jesteś zbyt głupi, aby przestrzegać prostych zasad bezpieczeństwa. Zamierzamy po prostu przypiąć do Ciebie tę uprząż dla niemowląt, aby chronić Cię przed sobą”. Nieważne, że kradzież danych logowania jest znacznie bardziej prawdopodobna z powodu naruszenia danych po stronie serwera niż wycieku schowka po stronie klienta. Staram się unikać takich witryn, jeśli to w ogóle możliwe, ponieważ sprawiają, że myślę, że nie jestem odpowiednią grupą docelową dla witryny.

Na szczęście wielu menedżerów haseł w dzisiejszych czasach zaczyna po prostu naśladować naciśnięcia klawiszy zamiast prostych do wklejania, więc w końcu żart jest z nich.

Dan Henderson
2016-07-28 04:07:12 UTC
view on stackexchange narkive permalink

Właściwie mogę wymyślić dokładnie jeden dobry powód, aby zabronić wklejania hasła. Podczas początkowego ustawiania lub zmieniania hasła.

Powodem jest to, że istnieje niewielka szansa, że ​​z jakiegoś powodu nie udało Ci się skopiować hasła do schowka, tak jak myślałeś, i co z tego wklejesz w pole hasła to właściwie tylko nonsens, który był wcześniej w twoim schowku. Ponieważ pole hasła jest maskowane, nie miałbyś pojęcia, że ​​właśnie wkleiłeś

826 W. Main St. w nowe pole hasła, zamiast

Bubblez84-l0ve!
lub
h*7dn$l83k&(4;p

tak jak myślisz miałeś. Co będzie poważnym problemem przy następnej próbie logowania.

Więc co?Istnieje odzyskiwanie hasła.Prawdopodobnie również wkleisz to hasło do trwałego przechowywania przed / po ustawieniu go na stronie internetowej i powinieneś zauważyć lub po prostu mieć to samo.
@akostadinov, jeśli (myślałeś), że skopiowałeś hasło * z * gdzieś, jest mało prawdopodobne, abyś dołożył specjalnych starań, aby wkleić je również * w * czystą przestrzeń tekstową w tym samym czasie.Chyba że jesteś podobny do mnie i rzeczywiście doświadczyłeś sytuacji, w której podejmujesz działanie, które powinno coś skopiować, ale tego nie robi, * i * zdałeś sobie sprawę, że tak się stało.
Dobrym sposobem na pozbycie się tego problemu jest zaprzestanie maskowania haseł.W większości sytuacji zapewnia bardzo małe bezpieczeństwo.
@pipe Jestem z tobą.To naprawdę pomaga tylko wtedy, gdy znajdujesz się w przestrzeni publicznej i / lub ktoś prawdopodobnie przez cały czas patrzy ci przez ramię.Możliwość ujawnienia hasła (które faktycznie wydaje się stawać się ostatnio) jest całkowicie w porządku.W wielu przypadkach użytkownicy nie będą mieli kogoś dosłownie obserwującego ich przez ramię.A poza tym, jeśli ktoś ich obserwował, to maskowanie nie pomaga tak bardzo.Obserwująca osoba może również zanotować, co wpisujesz, lub zobaczyć, co skopiowałeś.Mało prawdopodobne, żeby to zapamiętali, ale ... sytuacje też nie są takie prawdopodobne.
@pipe ma to sens podczas screencastów lub prezentacji.O ile oczywiście właściciel hasła nie wykrzyczy wcześniej prezenterowi hasła.
„826 W. Main St.”ponieważ hasło ma 66 bitów entropii, „Bubblez84-l0ve!”ma 76, a "h * 7dn $ l83k & (4; p") ma 64. Poza brakiem pojęcia, jakie jest twoje hasło, możesz zrobić gorzej pod względem trudności z odgadnięciem.
@pipe Jedyny wyjątek dotyczy urządzeń mobilnych.Większość klawiatur programowych automatycznie dostosowuje swoje sugestie na podstawie tego, co za ich pośrednictwem wpisujesz, ale zazwyczaj blokują gromadzenie tej telemetrii podczas interakcji z zamaskowanymi polami.
@VLAZ Nie widzieliby tego, co skopiowali.Dzięki mojemu menadżerowi haseł mogę wygenerować, skopiować i wkleić hasło bez ujawniania mi go.Nie wiem, czy to dobry pomysł, ale mogę.
securityPM
2016-07-28 23:30:15 UTC
view on stackexchange narkive permalink

Jestem menedżerem produktu ds. bezpieczeństwa online w bardzo dużej firmie.

Właściwie miałem dziś spotkanie dotyczące wyłączenia wklejania haseł. W tej chwili zezwalamy na wklejanie haseł, ale myślimy o ich zmianie.

Są różne perspektywy, z których możesz przyjąć to podejście, a zalety / wady mogą się całkowicie różnić w zależności od Twojego przypadku użycia i tego, jak Twoja witryna jest zabezpieczona oraz czy korzystasz z 2FA, czy nie.

Osobiście nie wyłączałbym wklejania haseł do witryn, które opierają się tylko na nazwie użytkownika & hasło do logowania.

Myślę o wyłączeniu go w naszym przypadku z kilku powodów

  • Siła hasła nie zapewnia większego bezpieczeństwa w naszym przypadku. Tak, wiem, że od wieków mówimy ludziom, że powinni wybrać odpowiednio bezpieczne hasło, ale ostatecznie nie pomoże to Tobie / nam, jeśli Twój komputer jest zainfekowany złośliwym oprogramowaniem. Złośliwe oprogramowanie nie dba o to, czy Twoje hasło to „12345”, czy jakiś super skomplikowany szyfr 100-znakowy. Albo ją kradnie, albo przejmuje sesję.

  • Nie grozi nam brutalna siła czy zgadywanie haseł. Istnieją sposoby na złagodzenie tego, które mamy w naszym przypadku.

  • Istnieją rozwiązania biometryczne behawioralne, w których profile są budowane na podstawie dynamiki naciśnięć klawiszy itp., co pozwala z dużą dozą pewności stwierdzić, czy użytkownik wprowadzający dane uwierzytelniające jest rzeczywiście użytkownikiem oczekujemy. Poświadczenia są prawdziwe lub fałszywe. Jeśli ktoś ma Twoje dane uwierzytelniające, może je uwierzytelnić. Dlatego chciałbym wiedzieć, czy osoba, która wprowadza prawidłowe dane uwierzytelniające, jest rzeczywiście osobą, od której oczekujemy, że ją poznamy. Nazwa użytkownika i hasło muszą być wprowadzane za każdym razem podczas procesu logowania, więc te pola są dość interesujące, aby sprawdzić, czy takie rozwiązanie jest wdrożone w organizacji. Nie jest to możliwe, jeśli ktoś skopiuje / wklei swoje hasło.

Jeszcze nie zdecydowałem o wyłączeniu go w naszym przypadku. Jak zawsze musimy zachować równowagę między użytecznością a bezpieczeństwem.

W moich oczach twoje argumenty nie wytrzymują.„Siła hasła nie zapewnia większego bezpieczeństwa w naszym przypadku”.- Więc dlaczego w ogóle masz hasła?A kiedy zawsze wybieram silne hasła (używając np. Menadżera pw), dlaczego miałbym zrobić wyjątek dla Twojej witryny?
„Nie grozi nam brutalna siła czy zgadywanie haseł”.- Ataki siłowe są przeprowadzane za pomocą skryptu wysyłającego dane bezpośrednio na serwer, a nie za pomocą przeglądarki.Wyłączenie wklejania denerwuje Twoich legalnych użytkowników, a nie hakerów.
„Istnieją rozwiązania biometryczne behawioralne, w których profile są budowane na podstawie dynamiki naciśnięć klawiszy itp.”- Co byś zrobił, gdyby użytkownik wprowadził poprawne dane uwierzytelniające, ale z „złą dynamiką”?Odmówić dostępu?Używając złożonych haseł, jestem bardzo podatny na pomyłki i często je przepisuję.Myślę, że nigdy nie dałbyś mi dwukrotnie tej samej „dynamiki”.
@Dubu Podejrzewam, że poprawne dane uwierzytelniające o niewłaściwej dynamice doprowadziłyby do wyzwania tożsamości w następujący sposób: * Dane biometryczne są niespójne z danymi użytkownika „Dubu”.Wymagana dodatkowa weryfikacja.Proszę [odpowiedz na to pytanie bezpieczeństwa / wpisz kod, który właśnie do Ciebie wysłaliśmy / sprawdź swój zarejestrowany adres e-mail, aby uzyskać link weryfikacyjny]. *
Punkt 1 - jest za wklejaniem.Jeśli nie ma znaczenia, czy użytkownik jest chroniony, wyłączenie go _still_ nie ma znaczenia, ale zwykle denerwuje użytkowników.Zysk netto - zero dla bezpieczeństwa, punkt za użyteczność.Punkt 2 - punkt przeciwko każdemu, kto uważa, że brutalne wymuszanie odbywa się za pośrednictwem strony internetowej.Zysk netto: -1 dla bezpieczeństwa.Punkt 3. - biometria to gówno.To jest niespójne.Pisanie jedną ręką, niewłaściwa ręka (na telefonie komórkowym), inna klawiatura, inne miejsce może mieć na to wpływ i stanowić wyzwanie.Wiele fałszywych alarmów.Nawet jeśli wpisywanie użytkownika jest spójne, prawdopodobnie nie byłoby to aż tak wyjątkowe.
@DanHenderson FYI, jeśli nawet widzę „Dane biometryczne są niezgodne z użytkownikiem„ Dronz ”. Wymagana dodatkowa weryfikacja”.Zamierzam rozważyć zakończenie mojego związku z jakąkolwiek firmą, która to wprowadziła, i prawdopodobnie publicznie narzekam na to, wymieniając nazwę firmy w gniewny sposób, regularnie przez lata (dziesięciolecia?).Z drugiej strony, gdyby wysłał _ mi_ e-mail w tej sprawie, jako do Twojej wiadomości, nie miałbym nic przeciwko.
Głosowano za, tylko dlatego, że jest to kontrargument i dlatego jest znacznie bardziej zróżnicowany niż wiele odpowiedzi powyżej.
Inną formą ataku brute force, w stosunku do której podejrzewam, że techniki mitygacji nic nie dadzą, jest kradzież bazy danych zaszyfrowanych haseł, a następnie atakujący przeprowadzają atak na skradzioną kopię bazy danych na własnym sprzęcie, bezryzyko wyzwolenia blokad, ograniczenia szybkości itp., które są zaimplementowane w Twoim środowisku.
Bacon Brad
2016-07-28 05:23:52 UTC
view on stackexchange narkive permalink

Wiele odpowiedzi wskazuje, że jest to zła praktyka, ponieważ może spowodować uszkodzenie menedżerów haseł. Chociaż należy zachęcać do korzystania z menedżerów haseł, należy zdecydowanie odradzać przechowywanie haseł w schowku. Schowek nie jest jakąś specjalną, bezpieczną szafką na informacje i zgodnie z projektem ułatwia dostęp do zawartości i nie oferuje szyfrowania.

Oto tylko jeden scenariusz, w jaki sposób można to wykorzystać:

  • Użytkownik kopiuje hasło zwykłym tekstem.
  • Użytkownik odwiedza inną witrynę internetową z aplikacją Flash podczas zwykłego przeglądania sieci. Lub strona internetowa została celowo wysłana do ofiary przez atakującego.
  • Flash umożliwia dostęp do schowka jako API. Dzięki temu zawartość schowka jest łatwo dostępna i może zostać wysłana do atakującego.

Zdarzały się nawet przypadki, gdy ktoś kupił kilka reklam multimedialnych na wielu dobrze znanych witrynach internetowych. Wyglądały na pozornie nieszkodliwą reklamę flashową, ale w rzeczywistości kradły dane ze schowka gości w nadziei na uzyskanie przydatnych informacji.

Podsumowując, jeśli masz coś, co chcesz zabezpieczyć, don nie przechowuj go w schowku .

... lub po prostu skopiuj coś innego do schowka zaraz potem.
Lub nie używaj Flasha na swojej stronie logowania.
Menedżer haseł zwykle czyści schowek po kilku sekundach.Mój używa również kombinacji pisania i selektywnego kopiowania / wklejania, ponieważ takie moje hasło nigdy nie jest w pełni czytelne w moim schowku lub historii wpisywania (np. Plik dziennika keyloggera)
@DanHanderson możesz zobaczyć historię schowka za pomocą niektórych programów
@ardaozkal Schowek w systemie Windows nie ma historii, ale masz rację, że program może tworzyć własną historię.
@JDługosz To nie jest kwestia używania Flasha na stronie logowania.To kwestia tego, czy użytkownik końcowy ma zainstalowaną wtyczkę Flash i przechodzi do witryny z osadzoną złośliwą aplikacją Flash.
@DanHenderson OP oświadczył, że robi to ich operator komórkowy.Telefony komórkowe są powszechnie używane przez osoby nie tak techniczne lub ostrożne.Więc dostawca komórek prawdopodobnie zakłada, że klient nie robi nic, aby się chronić.
@baconface Przepraszam, co mówisz, że OP stwierdził, że robi to ich firma komórkowa?Nie widzę żadnej wzmianki, że firma „kopiuje [kopiuje] coś innego do schowka zaraz potem”…
@ardaozkal taki program musi już być uruchomiony, zanim skopiujesz rzeczy do schowka.W normalnych okolicznościach schowek systemu Windows nieodwracalnie odrzuca swoją poprzednią zawartość, gdy kopiowane jest coś nowego.
@DanHenderson Drugi akapit.Wspomina, że blokują one użytkownikom możliwość wklejania ze schowka.
@baconface to jednak zupełnie inna rzecz od tego, co powiedziałem.Tutaj, pozwól mi wyjaśnić.Z Twojej odpowiedzi: „Jeśli masz coś, co chcesz zabezpieczyć, nie przechowuj tego w schowku”.Ja: „Albo po prostu skopiuj coś innego do schowka zaraz po tym, jak [skończysz używać schowka do tej jednej rzeczy]”.Widzieć?To, co powiedziałem, nie było niczym, co OP stwierdził, że robi ich firma komórkowa.
Microsoft Office [przechowuje historię poprzedniej zawartości Schowka] (http://i.stack.imgur.com/05vu8.png), w tym rzeczy skopiowane przez programy firm innych niż Microsoft.Zapewnia [możliwość usuwania elementów z historii] (http://i.stack.imgur.com/1zVfL.png), więc możemy mieć nadzieję, że menedżerowie haseł wykorzystają tę możliwość, ale po prostu kopiują nowe informacje doSchowek nie usuwa historii.
@DanHenderson Zwracałem uwagę, że to, co robi jego firma komórkowa, nie jest sytuacją „co mogę zrobić, żeby się zabezpieczyć”.Jest to sytuacja „co mogę zrobić, aby chronić moich użytkowników”.Chociaż zwracam uwagę, że umieszczanie tajemnic w schowku nie jest bezpieczne, wskazywałem również, jak / dlaczego firma się tym zajmuje.
Jest o wiele bardziej prawdopodobne, że dojdzie do złamania hasła lub ataku siłowego niż którykolwiek z tych problemów.
@baconface, czy masz odniesienie do flasha, które ma dostęp do schowka użytkownika bez interakcji ze strony użytkownika?zgodnie z tym http://www.adobe.com/devnet/flashplayer/articles/fplayer10_uia_requirements.html uzyskanie schowka systemowego wymaga interakcji użytkownika.
Micheal Johnson
2016-07-30 22:55:29 UTC
view on stackexchange narkive permalink

Inne odpowiedzi zawierają bardziej szczegółowe wyjaśnienia, ale w skrócie należy pamiętać, że największe zagrożenie bezpieczeństwa w odniesieniu do haseł nadal wynika z ataków wymierzonych w serwery, a nie na klienta. Innymi słowy, posiadanie hasła w schowku nie naraża go na duże ryzyko, ponieważ gdyby zostało złamane, byłoby bardziej prawdopodobne, że zostałoby ono złamane z bazy danych haseł skradzionych z serwera lub nawet brutalnie wymuszone niż skradzione ze schowka.

Dlatego tak ważne jest to, że, jak wskazały inne odpowiedzi, uniemożliwienie użytkownikowi wklejenia hasła zniechęca go do posiadania złożonego hasła, dzięki czemu hasło jest łatwiejsze do złamania, a przez to mniej bezpieczne.

distacle
2016-07-27 13:25:10 UTC
view on stackexchange narkive permalink

Myślę, że to zależy od usług, które zabezpiecza formularz logowania. Należy wziąć pod uwagę, że menedżer haseł może ograniczyć logowanie do urządzenia, na którym jest zainstalowany menedżer haseł, co nie zawsze zgadza się z usługodawcą. Na przykład, jeśli usługą był bank, który chce dać swoim użytkownikom możliwość zablokowania kart na wypadek zgubienia lub kradzieży, może chcieć zachować ten przywilej w przypadku zgubienia lub kradzieży urządzenia z menedżerem haseł.

W jaki sposób menedżer haseł może uniemożliwić Ci logowanie na innym urządzeniu?Twoje ostatnie zdanie jest niejasne.
Jak wskazał @AakashM, nie widzę powodu, dla którego używanie menedżera haseł miałoby uniemożliwiać mi logowanie z innego urządzenia.Instaluję również menedżera pw na tym urządzeniu, zapamiętuję hasło lub je przepisuję.
Czy chcesz powiedzieć, że bank może nie chcieć, aby użytkownicy używali menedżerów haseł, ponieważ wtedy nie mogliby zalogować się w celu anulowania swoich kart, gdyby komputer został zabrany w tej samej kradzieży?Jeśli tak, należy usunąć ostatnie „nie” i znaleźć wyraźną frazę niż „ogranicz logowanie do urządzenia”.
Menedżery haseł mogą służyć do ułatwienia korzystania z haseł, które są trudne do zapamiętania.Tak więc ułatwienie korzystania z nich może przynajmniej zmniejszyć prawdopodobieństwo, że użytkownicy będą mogli zalogować się bez menedżera haseł.
więc @distacle sugerujesz, że niektóre banki mogą chcieć _zniechęcać_ swoich użytkowników do używania menedżerów haseł, a nawet używania twardych haseł, ponieważ ... jeśli ich karta bankowa ORAZ komputer zostanie skradziony, mogą nie być w stanie się zalogować (na czyimśurządzenie) w celu zgłoszenia kradzieży.Chciałem się tylko upewnić, że zrozumiałem twoją sugestię.


To pytanie i odpowiedź zostało automatycznie przetłumaczone z języka angielskiego.Oryginalna treść jest dostępna na stackexchange, za co dziękujemy za licencję cc by-sa 3.0, w ramach której jest rozpowszechniana.
Loading...