Bezpečnost správců hesel v prohlížečích

jmk

  • ***
  • 179
    • Zobrazit profil
    • E-mail
Bezpečnost správců hesel v prohlížečích
« kdy: 09. 12. 2023, 09:36:06 »
Ahoj,
objevil jsem moc hezkou bakalářku na téma "Bezpečnostní analýza ukládání hesel v prohlížeči Mozilla Firefox". Pro mě, jako pro neúplně bezpečnostního experta  :) jsem tam našel plno zajímavých informací i když nedokážu posoudit jejich pravdivost a relevanci. Možná by po doplnění aktuálních informací, z toho někdo dokázal vytesat nějaké smysluplné info ve formě krátkého článku na Rootu?
https://dspace.cvut.cz/handle/10467/94953
Write programs that do one thing and do it well. Write programs to work together. Write programs to handle text streams, because that is a universal interface.


Re:Bezpečnost správců hesel v prohlížečích
« Odpověď #1 kdy: 11. 12. 2023, 09:33:43 »
tak to se taky připojím, tohle by mě také dost zajímalo, ale né tentokrát Lišák, nýbrž Edge s vazbou na MS Authenticator

Ozi

Re:Bezpečnost správců hesel v prohlížečích
« Odpověď #2 kdy: 11. 12. 2023, 12:38:53 »
tak jsem si ve všech FF změnil master heslo tam a zase zpátky...

Re:Bezpečnost správců hesel v prohlížečích
« Odpověď #3 kdy: 11. 12. 2023, 13:26:57 »
https://marektoth.cz/blog/spravci-hesel-autofill/

Zakázat autofill, pak by mělo být bezpečné.

Re:Bezpečnost správců hesel v prohlížečích
« Odpověď #4 kdy: 11. 12. 2023, 14:40:38 »
No jeden z důvodu proč neukladat do prohlížeče je ten, že pokud mi ukradnou profil z pc, tak maj i hesla...


Mlocik97

  • *****
  • 891
  • Ubunťák, JS dev.
    • Zobrazit profil
    • E-mail
Re:Bezpečnost správců hesel v prohlížečích
« Odpověď #5 kdy: 11. 12. 2023, 15:33:44 »
No jeden z důvodu proč neukladat do prohlížeče je ten, že pokud mi ukradnou profil z pc, tak maj i hesla...

Preto sú tie heslá šifrované....

Re:Bezpečnost správců hesel v prohlížečích
« Odpověď #6 kdy: 11. 12. 2023, 20:51:44 »
Vždy mi připadalo, že používat správce hesel neznámého vydavatele je asi stejné, jako dát kopii klíčů od bytu cizímu člověku.

Re:Bezpečnost správců hesel v prohlížečích
« Odpověď #7 kdy: 11. 12. 2023, 21:46:01 »
Vždy mi připadalo, že používat správce hesel neznámého vydavatele je asi stejné, jako dát kopii klíčů od bytu cizímu člověku.

Jakéhokoliv vydavatele, buďto ty klíče prodá nebo ztratí.

Re:Bezpečnost správců hesel v prohlížečích
« Odpověď #8 kdy: 12. 12. 2023, 08:59:18 »
Rozne malware (napr. RedLine Stealer) sa vedia k browser (gecko aj chrome based) heslam v pohode dostat  :-\

Re:Bezpečnost správců hesel v prohlížečích
« Odpověď #9 kdy: 12. 12. 2023, 13:04:22 »
mrkni na vaultwarden, self hosted a rozumna bezpecnost i funkce. mas to pak i cross browser a device.

jjrsk

  • ****
  • 480
    • Zobrazit profil
Re:Bezpečnost správců hesel v prohlížečích
« Odpověď #10 kdy: 12. 12. 2023, 14:43:42 »
Problem s browsery vidim osobne primarne v tom, ze se snazi userum (a co si budem rikat vetsinou uspesne) vnutit ukladani profilu do cmoudu, coz je v pripade hesel totalni silenost.

Staci pak jediny bug v implementaci a provozovatel cmoudu* (nebo ten kdo mu ty data ukrad) ma vsechny hesla. A to nemluvim o zcela neomezenem a uzivatelem nijak nezjistitelne moznosti bruteforce. Kolik lidi ma ten master aspon 20 znaku dlouhy? Kdyz reknu ze 0 nebudu daleko od pravdy, realita bude ze pokud vubec nejaky maji tak do 5 znaku, tzn utok na 5s.

*a hackovat takove uloziste je ekonomicky radove zajimavejsi nez nejaky domaci pocitac.

Mlocik97

  • *****
  • 891
  • Ubunťák, JS dev.
    • Zobrazit profil
    • E-mail
Re:Bezpečnost správců hesel v prohlížečích
« Odpověď #11 kdy: 12. 12. 2023, 15:18:57 »
Problem s browsery vidim osobne primarne v tom, ze se snazi userum (a co si budem rikat vetsinou uspesne) vnutit ukladani profilu do cmoudu, coz je v pripade hesel totalni silenost.

Staci pak jediny bug v implementaci a provozovatel cmoudu* (nebo ten kdo mu ty data ukrad) ma vsechny hesla.

Keď sa pozrieš na mobilný trh, zistíš že na výber máš len Android alebo iOS... u Android potrebuješ Google účet... s ktorým máš i Gmail.... teda či už do toho Google účtu ukladáš heslá, alebo či niekto použije tvoj email na obnovu hesla, tak je to vlastne úplne jedno... a ak aj neregistruješ účty na Gmail, tak stále kvôli ekosystému Google (v podstate monopolu), teda vo výsledku tvoja bezpečnosť je len v rukách Google. Keďže každý web žiada mail k registraci, tak i akákoľvek iná mail služba (ak nemáš vlastnú self-hosted), je teoretická diera alebo možný zneužiteľ k získaniu prístupu k tvojim účtom. A v podstate mail vs cloud už rozdiel moc nie je... väčšina mailov vlastne beží na cloudu, alebo ich obsach je uchovývaný v cloudu.

Kolik lidi ma ten master aspon 20 znaku dlouhy? Kdyz reknu ze 0 nebudu daleko od pravdy, realita bude ze pokud vubec nejaky maji tak do 5 znaku, tzn utok na 5s.

Moje master heslo je 26 znakov dlhé, a bolo vygenerované samotným password managerom (úplne náhodný string, ktorý obsahuje znaky, ktoré sa dajú na klávesnici napísať, samozrejme to emoji či čínske znaky obsahovať nebude).

Re:Bezpečnost správců hesel v prohlížečích
« Odpověď #12 kdy: 12. 12. 2023, 15:32:24 »
Tak není snad nutné používat na Androidu Gmail pro registraci do různých služeb.

jjrsk

  • ****
  • 480
    • Zobrazit profil
Re:Bezpečnost správců hesel v prohlížečích
« Odpověď #13 kdy: 12. 12. 2023, 15:47:12 »
...
Ani ne, mam android, tedy lineageos a guugle tam zadny neni. Mam androidi tv, a ... taky je ungoogled (v tomhle pripade byl duvod primarne nedostatek mista na ulozisti, a tudiz odstraneni stejne nepouzivaneho humusu).

Ak zada web email, nejaky random  mu vygeneruju, stejne ho uz nikdy na nic nebudu potrebovat. Na podobne weby pak vsude zadavam Password0), na to nepotrebuju ty hesla nekam ukladat.

Ukladam si hesla k administraci hromady vsemoznych krabic, systemu atd atd tzn tam, kde to dava smysl resit.

Re:Bezpečnost správců hesel v prohlížečích
« Odpověď #14 kdy: 13. 12. 2023, 12:56:20 »
Problem s browsery vidim osobne primarne v tom, ze se snazi userum (a co si budem rikat vetsinou uspesne) vnutit ukladani profilu do cmoudu, coz je v pripade hesel totalni silenost.

Staci pak jediny bug v implementaci a provozovatel cmoudu* (nebo ten kdo mu ty data ukrad) ma vsechny hesla. A to nemluvim o zcela neomezenem a uzivatelem nijak nezjistitelne moznosti bruteforce. Kolik lidi ma ten master aspon 20 znaku dlouhy? Kdyz reknu ze 0 nebudu daleko od pravdy, realita bude ze pokud vubec nejaky maji tak do 5 znaku, tzn utok na 5s.

*a hackovat takove uloziste je ekonomicky radove zajimavejsi nez nejaky domaci pocitac.
Není to tak dávno, co hackeři ukradli zašifrované hesla z cloudu a i po dlouhé době je nedešifrovaly.