Pytanie:
Jak bezpieczne jest przechowywanie hasła w Chrome?
Tony Ruth
2017-10-01 22:23:43 UTC
view on stackexchange narkive permalink

Za każdym razem, gdy podaję login do nowej witryny, Chrome pyta mnie, czy powinien przechowywać dane logowania. Kiedyś uważałem, że to dość bezpieczne. Gdyby ktoś stwierdził, że mój komputer jest odblokowany, mógłby ominąć ekran logowania do jakiejś witryny internetowej przy użyciu zapisanych danych, ale gdyby ponownie poprosił o hasło, tak jak przy kasie, lub gdyby chciał zalogować się do usługi z innego urządzenia, nie byłoby go szczęścia.

Przynajmniej tak myślałem, kiedy sądziłem, że przeglądarka nie przechowuje samego hasła, ale skrót lub szyfrowanie hasła. Zauważyłem, że przeglądarka wypełnia pola nazwy użytkownika i hasła, a pole hasła wskazuje liczbę znaków w haśle.

Należę do osób, które poproszone o zmianę hasła po prostu zachowują to samo hasło, ale na końcu zmieniają numer. Wiem, że to źle, ale przy tym, jak często jestem proszony o zmianę haseł, naprawdę nie mogłem sobie przypomnieć liczby haseł, których się ode mnie oczekuje. Powoduje to wiele haseł, które są takie same, ale czasami zapominam, jaki numer końcowy musi być dla danego logowania.

Nie pamiętałem numeru końcowego dla określonego loginu, więc wszedłem na stronę internetową, na której było przechowywane hasło. Usunąłem kilka ostatnich znaków i wypróbowałem różne cyfry i altówkę, wiedziałem, jaki jest właściwy numer końcowy.

Wydaje mi się, że jest to fundamentalna luka w zabezpieczeniach. Jeśli uda mi się sprawdzić ostatni znak mojego hasła bez sprawdzania innych, wówczas liczba prób złamania hasła rośnie liniowo wraz z liczbą znaków, a nie wykładniczo. Stamtąd wydaje się, że wystarczy krótki krok, by powiedzieć, że gdyby ktoś przyszedł do mojego komputera, gdy był on odblokowany, prosty skrypt mógłby wyodrębnić wszystkie zapisane hasła do wszystkich głównych witryn internetowych, do których przechowuję hasła.

Czy tak nie jest? Czy jest jakaś inna warstwa zabezpieczeń, która by temu zapobiegła?

Myślę, że bardzo skorzystasz na korzystaniu z menedżera haseł, takiego jak LastPass.
Odpowiedź na to pytanie będzie w dużym stopniu zależeć od tego, o której przeglądarce mówisz, mówiąc „przeglądarka”.W tym przypadku jest to Chrome, ale teoretycznie nie ma powodu, dla którego inna przeglądarka nie mogłaby zarządzać hasłami w znacznie bezpieczniejszy sposób.A może przyszła aktualizacja Chrome może zawierać funkcje, które znacznie poprawią bezpieczeństwo tej funkcji.Po prostu coś, o czym należy pamiętać, czytając poniższe odpowiedzi.
@Awn: Czy dodatki do przeglądarki nie są jeszcze większym zagrożeniem dla bezpieczeństwa?Chrome daje autorowi dodatku nieograniczone uprawnienia do „aktualizowania” go.Pozwala mu to na przesyłanie złośliwego kodu w celu kradzieży danych kont i haseł użytkowników, a następnie ponowne przesłanie niegroźnego kodu - i nikt się nie dowie.
Dla tych, którzy zastanawiają się, jak _Firefox_ przechowuje hasła, mam odpowiedź ze szczegółami tutaj: https://security.stackexchange.com/a/120666/91904
Chrome musi przechowywać pełne hasło (nie zaszyfrowane), aby mogło wysłać hasło do witryny internetowej.Nie da się tego obejść.
Najlepsza praktyka, gdy wstajesz z komputera, blokuj go (w systemie operacyjnym Windows naciśnięcie klawisza „Klawisz Windows + L” blokuje go natychmiast), na koniec dnia jest tak samo, jak gdybyś miał zapisane hasła, ale zostawił przóddrzwi twojego domu otwarte i odblokowane, masz większe problemy (i prawdopodobnie zgubiłeś wszystkie drogie przedmioty :)).
AiligqqxhrCMT - https://www.engadget.com/2017/03/22/critical-exploits-found-in-lastpass-on-chrome-firefox/
@Awn Tak, nie wracam do LastPass, ponieważ pojawiają się luki, jednak ** na pewno ** nie wracam do [głupich sztuczek] (https://lifehacker.com/5937303/your-clever-sztuczki-haseł-arent-chroniące-przed-dzisiejszymi-hakerami), takie jak ten, o którym wspomniał OP.Swoją drogą, OP, ** musisz ** wygenerować swoje hasła maszynowo (lub kostką), ich ręczne wybieranie jest największym wrogiem bezpieczeństwa.
@NH.„Wciąż pojawiają się luki w zabezpieczeniach”.Och, dziecko.„Nigdy nie wracam do X, ponieważ wciąż pojawiają się luki”, gdzie X = Android, iOS, Chrome, Linux, Apache, *
Menedżer haseł Chrome z pewnością nie jest bezpieczny.Wczoraj dostałem infekcję złośliwym oprogramowaniem (przez mój błąd) i całe moje zapisane hasło w Chrome zostało zrzucone do katalogu złośliwego oprogramowania w appdata jako plik txt.
Witamy, @midlan - wydaje się, że powinien to być komentarz, a nie odpowiedź.W obecnym stanie Twoja odpowiedź nie dostarcza żadnego kontekstu ani dowodu poza twoim osobistym doświadczeniem.Opublikuj to jako komentarz (kiedy zdobędziesz wystarczającą reputację, aby to zrobić) lub rozszerz swoją odpowiedź o opisanie, w jaki sposób * przechowywanie haseł może zostać naruszone (tak, może, ale jak dokładnie? W jakich okolicznościach?).
Złośliwe oprogramowanie może zrzucić dowolne miejsce do przechowywania haseł, jeśli zostało odblokowane w tym czasie, a pamięć haseł Chrome zostanie odblokowana po zalogowaniu.To nie czyni go niebezpiecznym, oznacza po prostu, że złośliwe oprogramowanie nie jest zagrożeniem, przed którym zostało zaprojektowane (wraz z każdym innym skarbcem haseł, jeśli odblokujesz swoje hasła, gdy masz uruchomione złośliwe oprogramowanie, niewiele można zrobić).
Dziewięć odpowiedzi:
Meir Maor
2017-10-02 00:10:12 UTC
view on stackexchange narkive permalink

Chrome nie tylko przechowuje tekst hasła, ale także wyświetla je. W ustawieniach -> zaawansowane -> zarządzaj hasłami możesz znaleźć wszystkie hasła do wszystkich swoich witryn. Kliknij pokaż na dowolnym z nich, a zostanie on wyczyszczony.

Zaszyfrowane hasła działają w witrynie uwierzytelniającej Cię. Nie są opcją dla menedżerów haseł. Wiele osób zaszyfruje dane lokalnie, ale klucz będzie również przechowywany lokalnie, chyba że masz ustawione hasło główne.

Osobiście korzystam z menedżera haseł chrome i uważam to za wygodne. Mam jednak również pełne szyfrowanie dysku i pilnie blokuję ekran. To sprawia, że ​​ryzyko jest imho rozsądne.

Wydajesz się być niespójny (wiele z nich), zarówno wybierając łatwe do zapamiętania hasła, jak i używając menedżera haseł. I mogę zaryzykować zgadywanie, że możesz nawet powtórzyć hasło lub przynajmniej motyw w wielu witrynach. To daje ci najgorsze z obu światów. Ryzyko związane z menedżerem haseł nie wiąże się z żadnymi korzyściami.

Dzięki zaufanemu menedżerowi haseł możesz nadać każdej witrynie unikalne, losowe hasło, którego w ogóle nie da się zapamiętać, i zyskać dużą ochronę przed wieloma bardzo realnymi wektorami ataków . W zamian za pojedynczy punkt awarii twojego menedżera haseł. Nawet w przypadku mniej niż doskonałego menedżera haseł nie jest to nierozsądny kompromis. Z dobrym menedżerem haseł staje się to konsensusową najlepszą praktyką.

Edytuj, aby dodać: przeczytaj Henno Brandsma odpowiedź wyjaśniającą, w jaki sposób hasło logowania i obsługa systemu operacyjnego mogą być używane do szyfrowania haseł, zapewnia to rozsądny poziom ochrony haseł, gdy komputer jest wyłączony / zablokowany (lepsze jest szyfrowanie całego dysku) i niewiele pomoże, jeśli pozostawisz komputer odblokowany. Nawet jeśli przeglądarka wymaga hasła, aby wyświetlić zwykły tekst, narzędzia do debugowania nadal będą wyświetlać już wypełnione hasła jako komentarze @Darren_H. Poprzednie zalecenie nadal obowiązuje, używając losowych unikalnych haseł i menedżera haseł.

W najnowszej wersji Chrome (68) menu nie znajduje się w sekcji Zaawansowane, ale w sekcji pierwszej (ustawienia -> Osoby -> hasła) - lub po prostu wpisz „chrome: // settings / passwords” w pasku adresu przeglądarki
Henno Brandsma
2017-10-02 03:12:17 UTC
view on stackexchange narkive permalink

Chrome (w systemie Windows) faktycznie szyfruje przechowywane hasła. Ale robi to w taki sposób, że tylko osoba znająca twoje hasło logowania (lub przechwytująca twoją sesję logowania) może faktycznie używać lub przeglądać zapisane hasła. Jest to dobrze udokumentowane (korzysta z tak zwanego API ochrony danych (DPAPI), które jest dostępne w systemie Windows od NT 5.0 (tj. Windows 2000) i nowszych, który obecnie wykorzystuje AES-256 do szyfrowania danych hasła). Google uważa, że ​​to wystarczające zabezpieczenie, ponieważ zapewnia taki sam poziom ochrony, jak cały login. Na komputerach Mac i Linux używają natywnej technologii pęku kluczy do ochrony specjalnego hasła głównego Chrome, uzyskując zasadniczo ten sam efekt. Przeczytaj źródła, aby poznać wszystkie szczegóły ...

Edge i IE (dostępne oczywiście tylko w systemie Windows) również używają tej technologii, przy okazji, w opakowaniu zwanym Credential Store, w najnowszych wersjach systemu Windows (i wcześniej korzystali z danych DPAPI przechowywanych w rejestrze). Aby uzyskać więcej informacji na temat DPAPI, zobacz tutaj, np.

Zobacz https://github.com/byt3bl33d3r/chrome-decrypter, aby zobaczyć przykład, jak ludzie wyodrębniają zapisane hasła, znając Twoje dane logowania.

Ostatnio w systemie Windows system zmienił się na system bardziej podobny do MacOS: przechowywany jest jeden 256-bitowy klucz główny (w osobnym pliku o nazwie Local State w katalogu aplikacji, zakodowanym w formacie base64 i reprezentowanym w formacie JSON) jako sekret DPAPI ponownie, a każdy element hasła jest następnie zakodowanym szesnastkowo, zaszyfrowanym wpisem AES-GCM w bazie danych sqlite w tym samym katalogu (wszystko pod tym kluczem głównym , ale każdy ma własną 12-bajtową wartość numeryczną i 16-bajtowy znacznik w celu ochrony integralności). Więc ostatecznie zależy to od poświadczeń hasła użytkownika. Gdy hasło użytkownika (a raczej jego skrót SHA1) jest znane, wszystkie wpisy można odszyfrować. Jak powiedziałem, jest to zgodne z projektem. Nawet Edge firmy Microsoft (wersja Chromium) używa teraz tego systemu, jak stwierdzono w tym poście na blogu.

W typowych systemach Linux na komputery stacjonarne Chrome używa sesji kluczy (tj. GNOME Keyring lub KWallet, które obejmują większość instalacji Linuksa na komputerach stacjonarnych), która szyfruje hasła za pomocą klucza uzyskanego z hasła konta użytkownika do przechowywania.
@DavidFoerster rzeczywiście, umieszcza tam losowe „hasło” Chrome, które pochodzi od klucza używanego w bazie danych haseł.Pęk kluczy / portfel ma taki sam poziom ochrony jak logowanie, podobnie jak system Windows.
Chociaż nie została wybrana jako odpowiedź, ta odpowiedź nie powinna zostać przeoczona i poważnie rozważona przez osobę, która próbuje ocenić ryzyko korzystania z magazynu haseł Chrome i jak zminimalizować ryzyko.
Uwaga w systemie Linux miejsce, w którym Chrome przechowuje hasła (które klucze mają być używane lub poza bazą kluczy, niezaszyfrowane w folderze danych Chrome) można zmodyfikować za pomocą [--password-store setting] (https://peter.sh/experiments/ chromium-przełączniki-wiersza-poleceń / # magazyn-haseł).
@Uniphonic LastPass może je zobaczyć, ponieważ działa tak, jak Ty, a klucze szyfrowania są dla Ciebie dostępne, ponieważ Chrome nie ma „soli”, której używa tylko dla siebie, a może to zrobić.Ale bycie open source oznacza, że każdy może zobaczyć tę „sól chromową”, więc to mija się z celem.Drugi problem dotyczy synchronizacji haseł przez Chrome na komputerach podczas logowania się na konto Google.Jest to ustawienie, które możesz wyłączyć, jeśli nie chcesz, aby tak się stało.Złośliwe oprogramowanie działające na poziomie użytkownika również może je zobaczyć, jeśli jest tego świadome.
@HennoBrandsma OK, dzięki!Myślę, że to również wyjaśnia, dlaczego Chrome jest podatny na zrzucanie haseł, jak wspomniano w innej odpowiedzi https://security.stackexchange.com/a/170535/165747
Wiesz, że wszystko, co musisz zrobić, to skopiować folder danych użytkownika Chrome do innego użytkownika.Następnie używając hasła tego nowego konta użytkownika, odblokuj hasło z poziomu Chrome ... Chrome odszyfruje je, nawet jeśli nie jest to to samo konto Windows, pod warunkiem, że hasło jest poprawne.
@NotoriousPyro Nie, to nie zadziała, drugie konto musiałoby mieć te same pliki S-ID i klucza głównego, których nie będzie miało.To nie jest * tylko * hasło logowania użytkownika, ale musisz klonować znacznie więcej, a posiadanie tego samego S-ID jest zabronione między użytkownikami tej samej domeny itp., Więc jest bardzo trudne do zrealizowania.Korzystanie z narzędzi deszyfrujących DPAPI w trybie offline jest znacznie łatwiejsze niż to, co proponujesz.
Nie, mylisz się.Zrobiłem to wiele razy i skopiowałem dane użytkownika z wielu różnych systemów i musiałem wprowadzić hasło mojego obecnego użytkownika ... Powinieneś spróbować
@HennoBrandsma Celem soli jest zapobieganie pęknięciom wstępnie obliczonego stołu tęczowego, więc sól jest ogólnie publiczna, ale należy ją zmienić za pomocą hasła.
@HennoBrandsma Niestety, sprawdziłem i Chrome nie wykonuje podstawowego kroku polegającego na zapisaniu innej soli na hasło, więc sól ma niewielką wartość, ale myślę, że przechowywanie haseł w Chrome jest poza tym rozsądnie bezpieczne.
@NetMage W Linuksie szyfrują wszystkie hasła tym samym hasłem głównym (trzymanym w łańcuchu kluczy, takim jak system);nie ma tam soli, podczas gdy plamy DPAPI systemu Windows mają różne sole „wbudowane” w konstrukcję.System Windows jest naprawdę w porządku.Główne hasło Linuksa jest generowane jako 128-bitowa entropia, więc nie można jej brutalnie wymusić.Wyciek, które konta mają * to samo hasło *, system Windows tego nie pokazuje.
Elias
2017-10-02 03:00:07 UTC
view on stackexchange narkive permalink

Proszę, proszę, przestańcie ponownie używać swoich haseł!

W przeglądarce Firefox można ustawić hasło główne, które będzie chronić zapisane hasła przed przeglądaniem. To hasło główne będzie również wymagane raz na sesję, zanim przeglądarka rozpocznie wprowadzanie haseł za Ciebie.

Możesz także użyć menedżera haseł ogólnego przeznaczenia, na przykład Keepass.

W każdym razie dla większości ludzi niebezpieczeństwo utraty hasła z powodu włamania na jedną witrynę jest większe niż utrata go na własnym komputerze. Dzieje się tak, ponieważ osoba atakująca z dostępem do Twojego komputera ma wiele innych możliwości zaatakowania Ciebie. Jedną z głównych zalet korzystania z menedżera haseł jest to, że nie musisz już ręcznie wprowadzać hasła, dzięki czemu możesz wybrać całkowicie losowe i bezpieczne hasła.

Jeśli ponownie używasz haseł przez jakiś czas jest fajna witryna, na której można sprawdzić niektóre z bardziej widocznych naruszeń, aby sprawdzić, czy zostałeś dotknięty: https://haveibeenpwned.com/

Jeśli musisz użyć wielu różnych maszyny, które możesz rozważyć przy użyciu czegoś takiego jak Keepass2Android w telefonie.

@jiggunjer - więc jeśli ktoś uzyska dostęp do hasła A, będzie miał dostęp do Twojego banku, Google, hostingu, kryptowaluty i systemu operacyjnego.Katastrofa. Przynajmniej każdy z nich powinien mieć uwierzytelnianie dwuskładnikowe LUB unikalne hasło.Najlepiej oba.
@Katinka-Hesselink nie jest moim bankiem ani Google, a mój system operacyjny / portfel wymagają fizycznego dostępu.To jest dwa czynniki.Tak, mogą uzyskać zarówno mój hosting, jak i moją sieć VPN, jeśli wiedzą, z których usług korzystam i które e-maile są z nimi powiązane.Mało prawdopodobne.
@jiggunjer Dowiedziałem się teraz, że to, co jest mało prawdopodobne dla użytkownika, jest tylko zachętą dla hakera.Hakerzy lubią wyzwania i jeśli je zobaczą, pójdą na to.
Teun
2017-10-02 20:04:21 UTC
view on stackexchange narkive permalink

Możesz także wyświetlać hasła w Chrome, zmieniając kod HTML. Zmień typ pola wprowadzania na „tekstowe”, a wstępnie wypełnione informacje będą widoczne w postaci zwykłego tekstu. Jeśli więc ktoś na Twoim komputerze zna witrynę, na której jesteś zarejestrowany, a Chrome automatycznie uzupełni Twoje hasło, będzie mógł je zobaczyć.

Daniel Grover
2017-10-03 00:21:44 UTC
view on stackexchange narkive permalink

Chrome jest podatny na zrzucanie haseł. Istnieje wiele narzędzi, które zrzucają hasła Chrome. LaZagne jest jednym z nich. Nie potrzebujesz nawet uprawnień administratora ani poświadczeń ani nic takiego.

Najwyraźniej jest to tak proste, jak połączenie się z bazą danych SQLite, a następnie wywołanie Win32CryptUnprotectData w celu odszyfrowania hasła.

https://github.com/AlessandroZ/LaZagne

Złośliwy użytkownik może po prostu uruchomić ten zrzut haseł lub zainstalować złośliwe oprogramowanie, a następnie zdalnie uruchomić to narzędzie . Jednak użytkownik nietechniczny nie byłby w stanie wykonać tego zadania. Dlatego przechowywanie haseł w przeglądarce jest bezpieczne dla osób nietechnicznych, ale nieskuteczne przed złośliwym oprogramowaniem lub użytkownikami technicznymi.

Jeśli Chrome używa szyfrowania AES-256, w jaki sposób LaZagne łamie bazę danych?
Patrząc na źródło (https://github.com/AlessandroZ/LaZagne/blob/master/Windows/lazagne/softwares/browsers/chrome.py#L82) wydaje się, że ponieważ działa tak jak Ty, ma dostęp do Twojegochronione dane.W rzeczywistości nie jest to atak, który można wykorzystać do uzyskania dostępu do danych innych użytkowników.
Pytanie dotyczy kogoś, kto uzyskuje dostęp do jego komputera, gdy jest on bez opieki.Co więcej, dzięki uprawnieniom administratora uzyskanym przez obejście UAC lub inne luki w zabezpieczeniach, takie jak przejęcie dll, można uzyskać dostęp do wszystkich danych użytkownika.
@jiggunjer Zobacz moją odpowiedź powyżej, używa DPAPI, którego bezpieczeństwo ostatecznie zależy od siły hasła logowania (jeśli atakujący nie może zrzucić pamięci procesu, w której znajdują się również klucze).Jeśli uruchomisz go samodzielnie, system Windows odszyfruje za pomocą CryptUnprotectData, ponieważ masz dostęp do własnych kluczy.
Christophe Roussy
2017-10-02 17:08:25 UTC
view on stackexchange narkive permalink

Największym zagrożeniem jest posiadanie przeglądarki bez hasła głównego i pozostawienie komputera bez blokowania go: każdy może wtedy szybko zrobić zdjęcie zapisanych haseł, zajmuje to tylko kilka sekund. Więc oczywiste: zawsze blokuj komputer i ustaw hasło główne, nie używaj ponownie haseł ani podobnych wzorców ...

Aby Chrome wyświetlał hasło w postaci zwykłego tekstu, musisz wprowadzić hasło logowania.I będzie to robić tylko jeden naraz.O ile wiem, nie ma sposobu, aby wyświetlić wszystkie Twoje hasła.
Jest to więc bezpieczniejsze niż domyślne ustawienie przeglądarki Firefox.
Wygląda na to, że rozszerzenie automatycznego wylogowania oparte na czasie może być dobrym pomysłem.Na przykład.wyloguj się z chrome po 15 minutach bezczynności.
allo
2017-10-05 19:39:38 UTC
view on stackexchange narkive permalink

To zależy od Twojej platformy.

W Linuksie Chrome używa kwallet / gnome-keyring na pulpicie KDE lub gnome, które powinny zapewniać dobre bezpieczeństwo. W systemie OSX używa zestawu kluczy OSX, który również ma dobre zabezpieczenia. W systemie Windows implementują własne przechowywanie haseł, które nie jest tak bezpieczne, jak zestawy kluczy systemowych w innym systemie operacyjnym.

Dla określonych słabości w implementacja Windows zobacz inne odpowiedzi.

Tgr
2017-10-02 12:36:30 UTC
view on stackexchange narkive permalink

Jeśli martwisz się, że ktoś uzyska dostęp do Twojego laptopa, gdy jesteś zalogowany (np. używasz go w pracy lub w miejscu publicznym i od czasu do czasu pozostawiasz go bez ochrony lub nie ufasz członkowi rodziny), przechowywanie hasła w przeglądarce nie jest dobrym rozwiązaniem. Jeśli martwisz się złośliwym oprogramowaniem na swoim komputerze (które może przechwytywać twoje pisanie) lub ludźmi, którzy zobaczą, co piszesz, jest to dość bezpieczne, a to są znacznie częstsze problemy.

Ta odpowiedź jest odwrotna imo.Użytkownicy bez wiedzy technicznej raczej nie będą w stanie uzyskać haseł w postaci zwykłego tekstu, ale złośliwe oprogramowanie może je łatwo zrzucić bez interakcji z użytkownikiem.Zobacz moją odpowiedź.Możesz uruchomić to narzędzie samodzielnie, jeśli mi nie wierzysz.
Chrome z hasłem głównym jest IMO równie dobrze chroniony przed kradzieżą hasła jak menedżer haseł.(To znaczy niezbyt dobrze. Jeśli coś działa na Twoim komputerze i ma takie same prawa dostępu, jakie masz, Twoje szanse na zapobieżenie kradzieży haseł są dość ograniczone.) Bez hasła głównego ani przeglądarki, ani menedżery hasełmoże zapewnić dużo obrony.
John Denniston
2017-10-04 18:01:29 UTC
view on stackexchange narkive permalink

Jest całkiem pewne, że żaden mechanizm nie jest w 100% bezpieczny, ale niektóre mechanizmy są bezpieczniejsze niż inne. Na najprostszym poziomie długie hasło jest bezpieczniejsze niż krótkie, ale trudniejsze do zapamiętania i poprawnego wpisania. Musisz zdecydować, gdzie leży równowaga między bezpieczeństwem a łatwością użytkowania. Menedżery haseł są jedną z odpowiedzi, jeśli uważasz, że stosunek kosztów do ryzyka jest dla Ciebie odpowiedni.

Jeśli nie ufasz żadnemu mechanizmowi przechowującemu hasło na Twoim komputerze, jednym ze sposobów obejścia tego jest użycie algorytmu wygenerować dla Ciebie za każdym razem, gdy tego potrzebujesz. Tak się składa, że ​​używam małego programu, który implementuje wariant Playfair ( https://en.wikipedia.org/wiki/Playfair_cipher) do generowania części mojego hasła do dowolnej witryny - co ma tę zaletę że mogę to zrobić ręcznie, jeśli zajdzie taka potrzeba. Unikaj jednak trywialnych algorytmów (takich jak po prostu odwracanie liter w witrynie internetowej).

Wiele firm wymaga okresowej zmiany hasła. Kiedyś było to standardowe, ale GCHQ odradza tę praktykę (patrz https://www.ncsc.gov.uk/articles/problems-forcing-regular-password-expiry), ponieważ powód, o którym wspominasz. Miejmy nadzieję, że z czasem ten wymóg stanie się mniej powszechny.



To pytanie i odpowiedź zostało automatycznie przetłumaczone z języka angielskiego.Oryginalna treść jest dostępna na stackexchange, za co dziękujemy za licencję cc by-sa 3.0, w ramach której jest rozpowszechniana.
Loading...