Question:
Saisie du mot de passe: les fonctionnalités «coller depuis le gestionnaire de mots de passe» et «globe oculaire pour afficher les mots de passe» s'excluent-elles mutuellement?
Mike Ounsworth
2020-08-26 02:23:55 UTC
view on stackexchange narkive permalink

Contexte

NIST SP 800-63b donne les conseils suivants pour les formulaires de mot de passe (aka pages de connexion):

Les vérificateurs DEVRAIENT autoriser les demandeurs à utiliser la fonctionnalité «coller» lorsque entrer un secret mémorisé. Cela facilite l'utilisation des gestionnaires de mots de passe, qui sont largement utilisés et augmentent dans de nombreux cas la probabilité que les utilisateurs choisissent des secrets mémorisés plus forts.

Afin d'aider le demandeur à entrer avec succès un secret mémorisé, le vérificateur DEVRAIT offrir une option pour afficher le secret - plutôt qu'une série de points ou d'astérisques - jusqu'à ce qu'il soit entré. Cela permet au demandeur de vérifier son entrée s'il se trouve dans un endroit où il est peu probable que son écran soit observé. Le vérificateur PEUT également permettre au dispositif de l’utilisateur d’afficher des caractères individuels saisis pendant un court laps de temps après que chaque caractère a été tapé pour vérifier l’entrée correcte. Ceci est particulièrement applicable sur les appareils mobiles.

Question

Je me suis fait valoir que ces deux fonctionnalités ne devraient pas être mises en œuvre ensemble car elles permettraient à un utilisateur de contourner la protection d'un gestionnaire de mots de passe et afficher le mot de passe rempli automatiquement. Je soupçonne que cet argument ne tiendra pas la route, mais je suis curieux de connaître les opinions de la communauté.

Je soupçonne qu'avec la plupart (tous?) Des gestionnaires de mots de passe, si vous êtes suffisamment connecté pour coller les mots de passe, vous êtes également suffisamment connecté pour afficher le mot de passe.
Certains gestionnaires de mots de passe ont des options pour permettre à certains utilisateurs d'utiliser un mot de passe mais pas de le voir.Mais comme vous le montrez dans votre réponse, c'est une protection assez mince.Cela n'a même pas de sens si vous n'utilisez pas de plug-in de navigateur, car vous pouvez simplement le coller dans le Bloc-notes.
De plus, si quelqu'un avait accès pour saisir le mot de passe mais ne le lirait pas directement, il pouvait lire le contenu avec des outils de développement, qu'il soit visible ou non.
Six réponses:
Conor Mancone
2020-08-26 03:31:31 UTC
view on stackexchange narkive permalink

Les gestionnaires de mots de passe ne sont pas destinés à vous cacher vos mots de passe

C'est aussi simple que cela. Pour tout dire: la plupart des gestionnaires de mots de passe vous permettent d'afficher votre propre mot de passe à tout moment. Je dis «la plupart» uniquement parce que je ne les ai pas tous utilisés. J'ai travaillé avec quelques sites où le remplissage automatique ne fonctionne pas pour des raisons indépendantes de la volonté des gestionnaires de mots de passe. Par conséquent, afficher / copier vos propres mots de passe est une nécessité. OMI, un gestionnaire de mots de passe qui ne vous permet pas de voir vos propres secrets est un gestionnaire de mots de passe cassé.

Si vous pouvez utiliser le gestionnaire de mots de passe pour afficher votre propre mot de passe, alors un site individuel qui refuse d'afficher un mot de passe à la demande de l'utilisateur pour tenter de se cacher son mot de passe a grossièrement manqué la vue d'ensemble.

Certaines personnes utilisent des gestionnaires de mots de passe, d'autres non

La possibilité de coller est très utile lors de l'utilisation de gestionnaires de mots de passe. La possibilité d'afficher au fur et à mesure que vous tapez est utile pour les personnes qui saisissent leur mot de passe (en particulier sur les téléphones). Il s'agit de deux fonctionnalités différentes pour deux groupes de personnes différents, qui devraient tous deux utiliser un site donné. Par conséquent, dire que vous n'avez besoin que d'une de ces fonctionnalités à la fois est tout simplement idiot ...

J'utilise un environnement VDI où vous ne pouvez rien coller.Et tous mes mots de passe sont gérés par le gestionnaire de mots de passe.Si je ne pouvais pas les voir, je viderais ce gestionnaire et en aurais un qui fonctionne correctement.
Mon gestionnaire de mots de passe (LastPass, KeePass) me cache les mots de passe au quotidien.Il ne fait que les remplir. Inutile de les voir, à moins que je ne veuille explicitement le faire.Avec LastPass, je dois également entrer le mot de passe principal pour le voir.J'aime ça.
@Marcel Mais vous pouvez simplement remplir le mot de passe quelque part qui vous permet de le voir, comme un navigateur ou un fichier texte, non?Exiger un mot de passe principal pour le voir directement ajoute-t-il une sécurité?
@Mark pour clarifier, il existe une capacité de «remplissage automatique» dans les navigateurs pour les gestionnaires de mots de passe qui ont des extensions de navigateur.Cela signifie, par exemple, que si je vais sur example.com et que j'ai un nom d'utilisateur / mot de passe stocké pour celui-ci, l'extension remplira automatiquement mon nom d'utilisateur / mot de passe sur le site Web sans que je doive faire quoi que ce soit.Par conséquent, pour me connecter, je n'ai qu'à cliquer sur le bouton «Soumettre» du formulaire de connexion.Par conséquent, cette fonctionnalité particulière ne fonctionnera que pour les navigateurs.
Votre deuxième question est très pertinente: exiger votre mot de passe principal pour le voir ajoute-t-il une sécurité?Pour la plupart des gens, probablement pas.Une telle fonctionnalité vous protégerait contre une personne assise devant votre ordinateur lorsque vous êtes absent et copiant manuellement tous vos mots de passe.Je doute que ce soit une préoccupation pertinente pour la plupart, et ce n'est pas non plus vraiment le modèle de menace contre lequel les gestionnaires de mots de passe sont censés se protéger.Par conséquent, pour moi personnellement, je me lasserais rapidement de devoir saisir tout le temps mon mot de passe principal et trouverais un nouveau gestionnaire de mots de passe.
@ConorMancone Cependant, vous pouvez obtenir le mot de passe du navigateur sans votre mot de passe principal (comme le montre l'autre réponse), mais je l'accorderai augmenterait l'effort et les connaissances nécessaires.
@Mark en effet.Cependant, il existe une certaine atténuation des «menaces» en exigeant un mot de passe principal pour afficher les mots de passe.Sans cela, quelqu'un pourrait passer et copier les mots de passe du gestionnaire en masse.Il faudrait beaucoup plus de temps pour lancer les sites et les extraire individuellement.Encore une fois, je ne dis pas qu'exiger le mot de passe principal pour afficher les mots de passe est un * bon * choix.C'est un inconvénient pour l'utilisateur légitime et un mauvais contrôle de sécurité.Cependant, cela a une certaine valeur, même si cela ne vaut pas la peine pour la plupart des utilisateurs.
@Marcel J'utilise LastPass et le mot de passe principal déverrouille à la fois l'utilisation et la visualisation des mots de passe en même temps.(Ce qui signifie que si je suis déconnecté, je dois évidemment entrer mon mot de passe pour l'utiliser).Si je peux lui faire remplir un mot de passe, je peux voir le mot de passe.Cela dépend peut-être de la façon dont vous l'avez configuré?
@Kat En effet, j'ai raté ça d'une manière ou d'une autre.J'utilise Lastpass et une fois que j'ai déverrouillé mon coffre-fort, je peux afficher / copier les mots de passe à tout moment sans avoir à ressaisir mon mot de passe principal.
@Kat Oui, cela dépend.Comme je ne ressens presque jamais le besoin de voir mes mots de passe de toute façon, je l'ai configuré pour exiger le mot de passe principal pour le faire.Je ne trouve cependant pas le réglage pour le moment.
vous voudrez peut-être mentionner la faille de sécurité d'un "éditeur de texte".Si le mot de passe se trouve dans le presse-papiers, ils auraient pu le coller dans un champ d'édition de texte normal au lieu d'un champ de mot de passe pour voir le mot de passe.Non seulement la pensée du PO est erronée, mais elle est également inutile pour le but visé.
Cela ressemble à un non-sens de base.Bien sûr, "coller à partir du gestionnaire de mots de passe" et "globe oculaire pour afficher les mots de passe" ne sont pas mutuellement exclusifs et comment cela pourrait-il avoir une importance? " Comment une possibilité de "coller à partir du gestionnaire de mots de passe" pourrait-elle ne pas signifier qu'une fois que Scummy Hacker a craqué le gestionnaire de mots de passe, tout est perdu?
Mike Ounsworth
2020-08-26 02:49:15 UTC
view on stackexchange narkive permalink

[ self-answer

Vous pouvez facilement démasquer un champ de mot de passe avec un clic droit > Inspecter l'élément > changer type = "password" à type = "" . Il n'y a donc vraiment aucune raison ne pas de mettre un globe oculaire "Afficher votre mot de passe" sur une interface utilisateur Web.

Test sur la page d'accueil de GitHub, qui n'a pas le bouton globe oculaire:

Unmasking a password with Inspect Element

Unmasking a password with Inspect Element

Droite.J'allais dire ça.Le seul bien que cela fait est d'empêcher les utilisateurs non avertis de dévoiler le mot de passe, je suppose?
@FireQuacker les points sont pour empêcher les surfeurs d'épaule, pas pour empêcher tout utilisateur de connaître leur mot de passe.
Pas seulement des surfeurs d'épaule.Envisagez une conférence Web avec écran partagé ...
Un gestionnaire de mots de passe pourrait empêcher de remplir des champs qui ne sont pas `type =" password "`, par exemple, lorsqu'il a une intégration approfondie du navigateur, mais vous pouvez probablement toujours lire le mot de passe depuis la console du développeur.La protection est de vous aider à empêcher les autres de voir vos mots de passe et de ne pas vous empêcher de voir vos propres mots de passe, donc je n'y réfléchirais pas trop et je me connecterais rapidement après l'insertion du mot de passe par le gestionnaire de mots de passe, afin que d'autres personnes ne puissent pas l'obtenirlorsque vous laissez votre ordinateur déverrouillé et sans surveillance.
Un gestionnaire de mots de passe avec une intégration approfondie du navigateur doit croire que le navigateur ne fait rien qu'il ne devrait pas.Heureusement, les navigateurs Web ont d'excellents antécédents en matière de sécurité
@JCRM même sans intégration profonde (ni gestionnaires de mots de passe eux-mêmes), * l'utilisateur * doit toujours faire confiance au navigateur pour ne pas voler les mots de passe.
Anders
2020-08-26 18:28:00 UTC
view on stackexchange narkive permalink

Il y a déjà beaucoup de bonnes réponses, mais j'aimerais ajouter un point.

Très souvent, je dois saisir des mots de passe sur des ordinateurs sur lequel je n'ai pas installé mon gestionnaire de mots de passe. Lorsque cela se produit, je lis le mot de passe sur mon téléphone portable et je le saisis sur l'ordinateur. Ce serait également souvent le cas pour ceux qui utilisent un gestionnaire de mots de passe local sur un seul appareil.

Lors de la saisie de charabia aléatoire, il est très facile de se perdre. Effacer tout et recommencer est une douleur dans le cul. Si je n'avais pas la possibilité de voir le mot de passe en le tapant pour que je puisse facilement corriger les erreurs, je serais paresseux et choisirais des mots de passe beaucoup plus courts.

TL; RD: Permettre de voir les mots de passe lors de la saisie rend je choisis de meilleurs mots de passe, même si j'utilise un gestionnaire de mots de passe.

Bob
2020-08-26 11:05:10 UTC
view on stackexchange narkive permalink

Considérez que votre première citation fait explicitement référence à la fonctionnalité "coller" , ce qui implique un presse-papiers. Contrairement à la saisie automatique qui entre directement les données dans un formulaire de page Web.

Les implémentations courantes de presse-papiers n'empêchent pas l'utilisateur de coller le contenu du presse-papiers dans des destinations arbitraires (ou, en fait, d'autres programmes de récupérer / enregistrer le contenu du presse-papiers) .

Si l'argument est que la fonctionnalité "globe oculaire" peut révéler des mots de passe à l'utilisateur, l'utilisateur pourrait le faire plus facilement simplement en collant le contenu du presse-papiers dans un autre champ non masqué.

Mais le JavaScript bloquant les collages asinins ne fait souvent pas la distinction entre les colles de presse-papiers et les insertions de gestionnaire de mots de passe.
Coller le contenu dans des champs non masqués * ou * simplement le coller dans un programme différent tous ensemble
En parlant de JavaScript bloquant le collage, si un site interdit le collage dans la boîte de mot de passe, je ferai écho à tous les commentaires "trouver un autre gestionnaire de mots de passe" et dire "trouver un autre site".
Marcel
2020-08-26 12:37:19 UTC
view on stackexchange narkive permalink

Je dirais que ces exigences ne sont pas concurrentes ni ne s’excluent mutuellement.

La seule chose dont il faut s’assurer est que le collage du mot de passe ne déclenche pas le "Afficher le dernier caractère" pour tout le mot de passe . Au lieu de cela, lors du collage, le système doit s'assurer que seuls les points (ou tout autre repère visuel, le cas échéant) sont visibles.

Donc:

  • quand coller, le mot de passe est complètement masqué lors du collage
  • lors de la saisie par touches, le dernier caractère est affiché pour chaque frappe

Comme d'autres l'ont souligné, APRÈS avoir collé ou saisi , l'intégralité du mot de passe PEUT être inspecté soit par F12, soit par l'icône "œil".

Nzall
2020-08-26 16:37:02 UTC
view on stackexchange narkive permalink

En plus des autres réponses: tout gestionnaire de mots de passe qui mérite d'être utilisé utilise un mot de passe principal qui doit être saisi avant que tout mot de passe puisse être copié. Si vous connaissez ce mot de passe principal, le gestionnaire de mots de passe vous permet de tout voir, même si vous devez d'abord le coller dans le Bloc-notes. Si vous ne connaissez pas ce mot de passe, le gestionnaire de mots de passe ne fera rien avec vos mots de passe: il ne les déchiffrera pas, il ne les remplira pas automatiquement, il ne vous permettra pas de les coller, il ne permettra pas de contourner la protection de ce mot de passe principal de quelque manière que ce soit.

Donc, si vous ne connaissez pas ce mot de passe principal, il n'y a aucun moyen de sortir les mots de passe du coffre-fort (sauf si le gestionnaire de mots de passe a un vulnérabilité). Si vous connaissez le mot de passe principal, vous avez déjà un accès complet aux mots de passe dans le gestionnaire de mots de passe et il n'y a aucune raison d'essayer de contourner les mesures de sécurité qui n'existent pas.



Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 4.0 sous laquelle il est distribué.
Loading...