Question:
Y a-t-il une raison de désactiver le collage du mot de passe lors de la connexion?
IAmJulianAcosta
2016-07-27 07:31:23 UTC
view on stackexchange narkive permalink

Aujourd'hui, je me suis connecté pour payer ma facture de téléphone portable et j'ai constaté que le site avait désactivé la fonctionnalité de collage dans le champ du mot de passe.

Je suis un webdev et je sais comment réparer ceci, mais pour les utilisateurs réguliers, c'est VRAIMENT ennuyeux de devoir taper un mot de passe aléatoire comme o\&$t~0WE'kL.

I sachez qu'il est normal que les utilisateurs écrivent le mot de passe lors de la création d'un compte , mais y a-t-il une raison de désactiver le collage des mots de passe lors de la connexion ?

pourquoi pensez-vous qu'il est "normal de faire écrire le mot de passe aux utilisateurs lors de la création d'un compte"?c'est exactement la même chose: cela gêne l'utilisation des gestionnaires de mots de passe (qui génèrent par exemple de bons nouveaux mots de passe à utiliser lors de la création d'un compte)
Notez que les scripts de blocage peuvent parfois aider, mais ils peuvent être servis à partir du même serveur que les scripts que vous voulez réellement, ce qui rend une solution noscript simple un peu moins facile.Coller, vous connecter, puis cliquer sur "Autoriser temporairement ..." pourrait vous aider.
une chose que j'ai remarquée sur certains sites, la connexion de Microsoft par exemple, est qu'ils ont désactivé le "coller" dans le menu contextuel, mais vous pouvez `CTRL / CMD + v` pour coller le mot de passe.
J'ai entendu la théorie selon laquelle "nous voulons former les utilisateurs à garder leur mot de passe hors du presse-papiers vulnérable" ... mais si cela a été compromis, le clavier est-il plus sûr?
@DaniEll Je pense qu'ils désactivent le collage de mot de passe lors de la création d'un compte afin que les gens n'écrivent pas le mauvais mot de passe dans le premier champ et copient le mauvais mot de passe dans le deuxième champ ...
sans oublier, comme cela n'empêche pas l'utilisateur de * copier * son mot de passe de n'importe où, cela ne rend pas le presse-papiers plus sûr.Au moment où l'utilisateur réalise que la pâte ne fonctionne pas, il est trop tard.
Non pas à l'appel.Sonne comme l'idée d'un _Security Expert_ d'une institution financière.Comme * hé, limitons la longueur à 15, pour [insert-bad-reason] *.
@Dupontrocks11 vous ne pouvez normalement pas copier de texte * hors * d'un champ de mot de passe dans n'importe quel système, vous ne pouvez donc pas copier le mauvais mot de passe du premier champ au second.Le plus proche que vous pourriez venir est de coller le mauvais mot de passe dans les deux champs depuis un autre endroit.
Je trouve cela extrêmement ennuyeux quand je ne peux pas coller un mot de passe, donc si votre entreprise veut ennuyer les gens, ou risquer que les utilisateurs changent leurs mots de passe en quelque chose de simple à taper (et plus facile à pirater / deviner)
Qu'en est-il de la méthode cliquer-glisser?Je trouve que cela fonctionne lorsque les polices ne collent pas. Ce n'est pas utile pour la diffusion automatique, mais c'est bon pour certaines situations, comme lorsque vous ne pouvez pas prévisualiser ce qui est tapé.Il élimine ce petit irritant: "Est-ce que j'ai tapé ça bien?"Si tout un fouillis de mots de passe sont collés ensemble, comme dans cet ordre, alors ne peut-on pas simplement mettre en surbrillance et cliquer et faire glisser pour «coller»?Pardonnez-moi, si je me trompe.--BLBU
Bonne idée.Désactivez toutes les pâtes même.Vous devez inonder le presse-papiers entier et également désactiver le clavier matériel.Désactivez également le moniteur et appliquez le schéma de mot de passe qui change / réinitialise à chaque fin de session, nécessitant 5 symboles hindi régionaux d'affilée 10 fois à une longueur de 256 caractères, où vous ne pouvez pas répéter un mot de passe que vous avez utilisé précédemment.Si quelqu'un ne s'est pas connecté pendant 2 jours, réinitialisez-le quand même.Et changez leur nom d'utilisateur.Ensuite, pour vraiment le rendre sûr, activez l'authentification à 2 facteurs où le deuxième facteur est une lettre certifiée [snailmail] à l'adresse trouvée sur vos informations de sécurité sociale;)
@dhaupin: Avez-vous conçu le formulaire de connexion pour ma banque?
@MarkKCowan lol Je souhaite un jour pouvoir travailler pour une banque.Sortez-les du début des années 90 et présentez-leur les concepts de base du "Web2.0" du début des années 2000 à 180 000 $ / an.Besoin de concepts post-2011?Yikes, c'est des trucs effrayants / avant-gardistes là-bas.Alors vas-y doucement, tu vas plus vieux CTO + board - souvenez-vous de vos problèmes cardiaques, ne soyez pas trop excitéLent et faible ... ne vous inquiétez pas pour ces algos MD5, mais gardez la folie des mots de passe parce que nous sommes tous d'accord pour dire que les barbes grises savent le mieux.
@plainclothes: "J'ai entendu la théorie selon laquelle" nous voulons former les utilisateurs à garder leur mot de passe hors du presse-papiers vulnérable "... mais si cela a été compromis, le clavier est-il plus sûr?"Bien que cela puisse être vrai, le point principal pourrait être d'empêcher une trace facilement évitable de preuves médico-légales en les gardant hors du presse-papiers?
Pouvez-vous poser et répondre à une question sur la façon de contourner ce problème.Et puis liez-le ici.Je voterais à la fois la question et la réponse.
Dix réponses:
tlng05
2016-07-27 07:47:25 UTC
view on stackexchange narkive permalink

Il n'y a aucun avantage de sécurité substantiel à interdire les mots de passe collés; au contraire, il est susceptible d ' affaiblir la sécurité en décourageant l'utilisation de gestionnaires de mots de passe pour générer et remplir automatiquement des mots de passe aléatoires. Bien que certains gestionnaires de mots de passe soient capables de contourner les restrictions de collage, il n'en demeure pas moins que les utilisateurs ne doivent pas être obligés de taper leur mot de passe à la main.

Extrait d'un article WIRED pertinent:

Sites Web, veuillez arrêter de bloquer les gestionnaires de mots de passe. Nous sommes en 2015. vous rend plus sûr.

Voici le problème: certains sites ne vous permettent pas de coller les mots de passe dans les écrans de connexion, vous obligeant, à la place, à taper les mots de passe. Cela rend impossible l'utilisation de certains types de gestionnaires de mots de passe qui sont l'une des meilleures lignes de défense pour garder les comptes verrouillés.

Un autre article qui couvre les «défenses» de cette pratique: https://www.troyhunt.com/the-cobra-effect-that-is-disabling/
On dirait que du bon vieux * Nom et honte * est en ordre.Qui diable fait ça intentionnellement?
@AndrewHoffman PayPal le faisait depuis un moment.Je ne sais pas s'ils sont revenus à la raison.
Fidelity et eClinicalWeb sont deux sites que j'utilise régulièrement (pas par choix) qui rendent la vie vraiment difficile aux gestionnaires de mots de passe, apparemment exprès.Ils ne bloquent pas le collage, mais ils font tout leur possible pour que les gestionnaires de mots de passe échouent de manière bizarre.
Pourrait être pire.Le site .gov pour acheter des billets en T nécessitait le clavier à l'écran avec un placement aléatoire des lettres au type de souris.Torture totale pour un mot de passe fort aléatoire, et après l'avoir fait une fois, je l'ai corrigé avec greasemonkey.
@KevinKrumwiede PayPal semble avoir inversé le problème, du moins pour moi.Si j'essaie de remplir automatiquement avec LastPass, cela me dit que mon mot de passe est incorrect, mais si LastPass copie mon mot de passe dans mon presse-papiers et que je le colle manuellement, cela fonctionne très bien.
Je ne peux pas supporter quand je ne peux pas "coller" mon mot de passe.En tant qu'utilisateur avide de gestionnaire de mots de passe, j'ai un mot de passe pour ces sites.Ce n'est pas sûr et ce n'est pas fort.Essentiellement, je pourrais tout aussi bien utiliser le mot mot de passe.Je considère également que l'ensemble de ce site n'est pas sécurisé à cause de cela.
Si vous utilisez du chrome, profitez de [don't f *** with paste] (https://chrome.google.com/webstore/detail/dont-fuck-with-paste/nkgllhigpcljnhoakjkgaieabnkmgdkb?hl=fr), car sérieusement les sites Web, ne baise pas avec de la pâte.
Dire simplement, mais "c'est [l'année en cours]" n'est pas un argument
RommelTJ
2016-07-27 00:57:07 UTC
view on stackexchange narkive permalink

La désactivation du collage d'un champ de mot de passe introduit un " effet Cobra". Un effet Cobra "se produit lorsqu'une tentative de solution à un problème aggrave le problème."

Troy Hunt a récemment écrit un article dans lequel il l'explique plus en détail. C'est essentiellement un théâtre de sécurité, comme ce qui se passe dans les aéroports pour «nous rendre plus sûrs». Troy Hunt l'appelle un effet Cobra car il désactive l'utilisation de mots de passe sécurisés de 50 caractères qui seraient collés à partir d'un gestionnaire de mots de passe. Au mieux, cela oblige les gens à créer des mots de passe faciles à retenir et donc plus piratables.

Certains pourraient dire que cela vous rend plus sûr car cela empêche votre presse-papiers d'être copié par des logiciels malveillants, mais ils ignorent le fait que si les logiciels malveillants peuvent déjà le faire, ils peuvent également copier toutes sortes de pressions sur les touches, pas seulement Ctrl + V. C'est inutile.

D'un point de vue UX, c'est juste ennuyeux, comme vous le dites. C'est donc ennuyeux d'un point de vue UX, et cela ne nous rend pas plus sûrs. Cette "fonctionnalité" ne sert à rien.

Bien que je sois d'accord avec votre réponse en général, je ne suis pas d'accord avec votre opinion sur la sécurité du presse-papiers.Flash player, par exemple, est capable d'accéder au presse-papiers mais je pense qu'il ne peut pas enregistrer vos pressions sur les touches (au moins tant que l'objet flash n'est pas focalisé)
Si [Adobe] (http://help.adobe.com/en_US/as3/dev/WS2F6A31B9-1AE6-4b23-9C12-57A33F4F0516.html) est correct, Flash Player ne peut lire le presse-papiers que lorsque l'utilisateur colle activement quelque chose depuisil.
Honnêtement, si votre excuse pour ne pas pouvoir coller les mots de passe sur votre site Web est "nous sommes préoccupés par les plugins flash malveillants qui volent vos informations d'identification", alors je me demande vraiment pourquoi vous autorisez les plugins flash malveillants sur votre site Web en premier lieu.Il y a deux façons pour un site Web de faire en sorte que cela se produise: par la publicité malveillante et par le compromis du site, et ceux-ci font généralement des choses bien pires que de voler un identifiant (généralement unique) pour un site.
Je suis d'accord avec l'esprit de cette réponse, mais il est faux de dire que c'est à 100% inutile.Il existe * des * scénarios dans lesquels une compromission du presse-papiers peut se produire, mais l'enregistrement de frappe (ou d'autres attaques) ne peut pas ou est moins probable.Exemple: un système d'exploitation de kiosque verrouillé ou un attaquant opportuniste qui est témoin d'un collage de mot de passe.
thomasyung
2016-07-26 05:18:42 UTC
view on stackexchange narkive permalink

Non, il n'y a aucune raison valable de faire cela. C'est un mauvais UX, clair et simple. La désactivation du collage dans un champ de mot de passe encourage en fait les mauvais mots de passe. Les gestionnaires de mots de passe effacent automatiquement le presse-papiers après le collage, de sorte que l'argument n'est plus valide.

Certains gestionnaires de mots de passe * J'utilise LastPass qui est un gestionnaire de mots de passe assez grand et il ne vide pas mon presse-papiers
@DasBeasto il le fait, mais pas après le collage, mais après un temps défini pour le copier.Il effacera également le presse-papiers en quittant l'application
Même s'il est vrai que les gestionnaires de mots de passe effacent les presse-papiers après le collage, tout le monde n'utilise pas de gestionnaires de mots de passe, et les gens vont également copier-coller à partir d'autres sources.
Qu'en est-il de la détection de la colle dans le javascript dans le formulaire de connexion et de la suppression du presse-papiers par la suite?Le javascript est-il assez puissant?
@beppe9000 Pourquoi visser avec le presse-papiers de l'utilisateur.Ils sont l'utilisateur, ils savent probablement ce qu'ils font et sont les mieux placés pour gérer leurs propres mots de passe.Peut-être ont-ils un système qui fait quelque chose de plus intelligent que ce que fait la page Web.Que faire s'ils veulent simplement voir ce que leur gestionnaire de mots de passe a collé pour résoudre un problème technique?
@Sqeaky Je veux dire que s'ils veulent absolument jouer avec le presse-papiers de l'utilisateur, ils devraient le faire * après * une pâte.
Philipp
2016-07-27 17:29:42 UTC
view on stackexchange narkive permalink

Le principal argument de sécurité pour interdire la copie&pasting des mots de passe est que le mot de passe reste ensuite dans le presse-papiers de l'utilisateur. Cela peut conduire à une exposition accidentelle du mot de passe dans un contexte indépendant. Par exemple, lorsque l'utilisateur le colle accidentellement dans un champ de saisie différent dans une application différente (Web ou autre). Un autre scénario possible pourrait être lorsque l'utilisateur s'éloigne de son appareil sans le verrouiller et que quelqu'un d'autre appuie sur ctrl + v pour vérifier ce qu'il a dans son presse-papiers.

Cependant, il s'agit d'un très petit risque par rapport au énormes avantages de sécurité dont disposent les gestionnaires de mots de passe. De plus, les gestionnaires de mots de passe ont souvent une fonction pour effacer automatiquement le presse-papiers quelques secondes après avoir copié un mot de passe, ce qui réduit considérablement ce risque.

Il y a aussi un gros problème avec cette logique, c'est que vous auriez déjà copié votre mot de passe avant de découvrir que vous ne pouviez pas le coller ...
@AntP Mais vous ne ferez cette "erreur" que la première fois que vous essayez de vous connecter au site Web avec votre gestionnaire de mots de passe, pas à chaque fois que vous utiliserez l'application.
C'est vrai ... Surtout parce que je ne me connecterais pas une deuxième fois :)
Ouais, je pense que le motif vraiment erroné ici est de supposer que cette pratique «apprendra» aux utilisateurs à ne jamais copier leur mot de passe dans le presse-papiers, alors que tout ce qu'elle fera sera de les forcer à contourner ce problème sur ce site en particulier.
Il s'agit simplement de déplacer la vulnérabilité de l'enregistreur de presse-papiers à l'enregistreur de frappe.Ce qui en soi est un drapeau rouge que les développeurs ne savent pas beaucoup sur la sécurité et le site doit être évité :)
@Philipp Uniquement si vous vous connectez suffisamment fréquemment pour vous souvenir que cela ne fonctionne pas.Si vous ne vous connectez qu'une fois par mois ou trois fois par an, vous risquez d'oublier et de réessayer, ou peut-être même de réessayer en espérant qu'ils se débarrassent de la «fonctionnalité».
un bon gestionnaire de mots de passe effacera le presse-papiers après un certain temps, le mien est configuré pour le faire après 15 secondes
Superbest
2016-07-28 01:48:43 UTC
view on stackexchange narkive permalink

Il y a des raisons de le faire, mais pas très bonnes.

Fondamentalement, cela décourage le copier-coller. Cela signifie que les utilisateurs sont moins susceptibles de l'oublier dans leur presse-papiers et de le faire divulguer accidentellement. De plus, s'ils le collent, cela signifie qu'ils l'ont sauvegardé quelque part (comme un fichier texte), ce qui n'est pas aussi sûr que leur cerveau - donc si le fichier texte devient inutile, peut-être qu'ils compteront davantage sur leur mémoire.

Bien sûr, cela n'a pas de sens. Beaucoup de personnes qui copient et collent le font à partir de leur gestionnaire de mots de passe, qui est très bien protégé. Les gestionnaires de mots de passe effacent également automatiquement le presse-papiers, et comme indiqué ailleurs, quelles sont les chances que votre utilisateur ait un keylogger capable de lire le presse-papiers mais pas les touches?

Pour moi, des choses comme celle-ci révèlent une sorte de mépris de l'intelligence de l'utilisateur. Il dit essentiellement: "vous êtes trop stupide pour ne pas vous faire voler votre mot de passe, vous êtes trop stupide pour suivre de simples consignes de sécurité, nous allons simplement attacher ce harnais pour bébé pour vous protéger de vous-même". N'oubliez pas que lorsque vos informations de connexion sont volées, il est beaucoup plus probable que cela soit dû à une violation de données côté serveur, plutôt qu'à une fuite de presse-papiers côté client. J'essaie d'éviter de tels sites si possible, car ils me font penser que je ne suis pas le bon public pour le site.

Heureusement, de nombreux gestionnaires de mots de passe de nos jours commencent à simplement émuler les pressions sur les touches au lieu de simplement coller, donc à la fin la blague est sur eux.

Dan Henderson
2016-07-28 04:07:12 UTC
view on stackexchange narkive permalink

Je peux en fait penser à exactement une bonne raison pour interdire le collage de mots de passe. Lors de la configuration initiale de votre mot de passe ou de sa modification.

La raison est qu'il existe une petite chance que, pour une raison quelconque, vous n'ayez pas copié votre mot de passe dans le presse-papiers alors que vous pensiez l'avoir vous collez dans le champ de mot de passe est en fait tout ce qui n'a pas de sens dans votre presse-papiers avant cela. Le champ du mot de passe étant masqué, vous n’auriez aucun moyen de savoir que vous venez de coller

826 W. Main St. dans le nouveau champ de mot de passe, au lieu de

Bubblez84-l0ve!
ou
h*7dn$l83k&(4;p

comme vous le pensiez que vous aviez. Ce sera un réel problème la prochaine fois que vous essaierez de vous connecter.

Et alors?Il y a récupération de mot de passe.Vous allez probablement également coller ce mot de passe au stockage permanent avant / après l'avoir défini sur le site Web et vous devriez le remarquer ou simplement l'avoir de toute façon.
@akostadinov si (vous pensiez) avoir copié le mot de passe * de * quelque part, il est peu probable que vous fassiez un effort particulier pour le coller également * dans * un espace de texte clair à peu près au même moment.À moins que vous ne soyez comme moi et que vous ayez réellement vécu la situation de première main où vous prenez l'action qui devrait copier quelque chose, mais que vous ne le faites pas, * et * vous êtes rendu compte que c'était ce qui s'était passé.
Un bon moyen de se débarrasser de ce problème est d'arrêter de masquer les mots de passe.Cela ajoute très peu de sécurité dans la plupart des situations.
@pipe Je suis avec vous.Cela n'aide vraiment que si vous êtes dans un espace public et / ou si quelqu'un est susceptible de regarder par-dessus votre épaule à tout moment.Avoir une option pour révéler le mot de passe (qui semble en fait devenir une chose récemment) est tout à fait acceptable.Souvent, les utilisateurs ne verront personne par-dessus leur épaule.Et en plus, si quelqu'un _was_ les regardait, alors ce n'est pas comme si le masquage aidait autant.La personne qui regarde peut également noter ce que vous tapez ou verra également ce que vous avez copié.Ils sont moins susceptibles de s'en souvenir mais ... les situations ne sont pas si probables non plus.
@pipe cela a du sens pendant les captures d'écran ou les présentations.À moins, bien sûr, que le propriétaire du mot de passe ne crie le mot de passe au présentateur juste avant.
«826 W. Main St.»comme un mot de passe a 66 bits d'entropie, "Bubblez84-l0ve!"a 76 et "h * 7dn $ l83k & (4; p" a 64. À part n'avoir aucune idée de votre mot de passe, vous pourriez faire pire en termes de difficulté à deviner.
@pipe Une exception à cette règle concerne les appareils mobiles.La plupart des claviers programmables adaptent automatiquement leurs suggestions en fonction de ce que vous tapez, mais ils suppriment généralement la collection de cette télémétrie lors de l'interaction avec des champs masqués.
@VLAZ Ils ne verraient pas ce qu'ils ont copié.Avec mon gestionnaire de mots de passe, je peux générer, copier et coller le mot de passe, sans qu'il ne me soit jamais révélé.Je ne sais pas si c'est une bonne idée, mais je peux.
securityPM
2016-07-28 23:30:15 UTC
view on stackexchange narkive permalink

Je suis chef de produit pour la sécurité en ligne dans une très grande entreprise.

J'ai en fait eu une réunion aujourd'hui concernant la désactivation du collage de mots de passe. Nous permettons de coller des mots de passe pour le moment mais pensons à le changer.

Vous pouvez adopter différentes perspectives sur cette approche et les avantages / inconvénients peuvent varier complètement en fonction du cas d'utilisation que vous avez et de la manière dont votre site est sécurisé et si vous utilisez 2FA ou non.

Personnellement, je ne désactiverais pas le collage des mots de passe pour les sites qui ne reposent que sur le nom d'utilisateur & password pour la connexion.

Je pense à le désactiver dans notre cas pour plusieurs raisons

  • La force de votre mot de passe ne vous rend pas plus sûr dans notre cas. Oui, je sais que nous disons aux gens depuis des lustres qu'ils doivent choisir un mot de passe raisonnablement sécurisé, mais en fin de compte, cela ne vous aidera / nous aidera pas un peu si votre ordinateur est infecté par des logiciels malveillants. Les logiciels malveillants ne se soucient pas de savoir si votre mot de passe est "12345" ou un chiffrement super compliqué de 100 caractères. Il le vole ou reprend votre session.

  • Nous ne sommes pas confrontés au risque d'attaques par force brute ou par mot de passe. Il existe des moyens d'atténuer ce qui est en place dans notre cas.

  • Il existe des solutions de biométrie comportementale où les profils sont construits en fonction de la dynamique des touches, etc. qui permettent avec un degré élevé de certitude d'identifier si un utilisateur qui entre les informations d'identification est bien l'utilisateur nous attendons. Les informations d'identification sont vraies ou fausses. Si quelqu'un a vos informations d'identification, il peut s'authentifier. C'est pourquoi j'aimerais savoir si la personne qui saisit les informations d'identification correctes est bien la personne que nous espérons la connaître. Le nom d'utilisateur et le mot de passe doivent être saisis à chaque fois pendant le processus de connexion, ces champs sont donc assez intéressants pour vérifier si une telle solution est déployée au sein de l'organisation. Ce n'est pas possible si quelqu'un copie / colle son mot de passe.

Je n'ai pas encore décidé de le désactiver dans notre cas. Comme toujours, nous devons maintenir un équilibre entre convivialité et sécurité.

À mes yeux, vos arguments ne tiennent pas."La force de votre mot de passe ne vous rend pas plus sûr dans notre cas."- Alors, pourquoi as-tu des mots de passe?Et quand je choisis toujours des mots de passe forts (en utilisant par exemple un gestionnaire pw), pourquoi devrais-je faire une exception pour votre site?
"Nous ne sommes pas confrontés au risque d'attaques par force brute ou par estimation de mot de passe."- Les attaques par force brute se font avec un script envoyant des données directement à votre serveur, pas avec un navigateur.La désactivation du collage agace vos utilisateurs légitimes, pas les pirates.
"Il existe des solutions de biométrie comportementale où les profils sont construits en fonction de la dynamique des frappes, etc."- Que feriez-vous si un utilisateur saisissait des informations d'identification correctes mais avec une «mauvaise dynamique»?Refuser l'accès?Et en utilisant des mots de passe complexes, je suis très enclin à me tromper et à les retaper souvent.Je pense que vous ne céderiez jamais deux fois la même «dynamique» de ma part.
@Dubu Je soupçonne que des informations d'identification correctes avec une mauvaise dynamique conduiraient à un défi d'identité, du type: * Les données biométriques sont incompatibles avec l'utilisateur "Dubu".Vérification secondaire requise.Veuillez [répondre à cette question de sécurité / saisir le code que nous venons de vous envoyer / vérifier votre adresse e-mail enregistrée pour un lien de vérification]. *
Point 1 - c'est en faveur du collage.Si cela n'a pas d'importance que l'utilisateur soit protégé, alors la désactivation _toujours_ n'a pas d'importance mais a tendance à ennuyer les utilisateurs.Gain net - nul pour la sécurité, point pour la convivialité.Point 2 - un point contre quiconque pense que le forçage brutal se fait via la page Web.Gain net: -1 pour la sécurité.Point 3. - la biométrie est de la merde.C'est incohérent.Taper d'une seule main, la mauvaise main (sur mobile), un clavier différent, un endroit différent peut l'affecter et lancer un défi.Beaucoup de faux positifs.Même si le typage d'un utilisateur est cohérent, ce ne serait probablement pas si unique.
@DanHenderson FYI, si je vois même "Les données biométriques sont incompatibles avec l'utilisateur" Dronz ". Vérification secondaire requise."Je vais envisager de mettre fin à ma relation avec n'importe quelle entreprise qui a mis cela en place, et je vais probablement m'en plaindre publiquement, en mentionnant le nom de l'entreprise de manière fâchée, régulièrement pendant des années (des décennies?).D'un autre côté, s'il m'envoyait un e-mail à _me_ à ce sujet, en tant que FYI, cela ne me dérangerait pas.
A voté simplement parce que c'est un contre-argument et donc beaucoup plus varié que la plupart des réponses ci-dessus.
Une autre forme d'attaque par force brute, contre laquelle je soupçonne fortement que vos techniques d'atténuation ne feront rien, est celle où la base de données des mots de passe cryptés est volée, puis les attaquants exécutent l'attaque contre la copie volée de la base de données sur leur propre matériel, sans lerisque de déclencher des verrouillages, des limitations de débit, etc. mis en œuvre dans votre environnement.
Bacon Brad
2016-07-28 05:23:52 UTC
view on stackexchange narkive permalink

De nombreuses réponses indiquent que c'est une mauvaise pratique car cela peut briser les gestionnaires de mots de passe. Bien que l'utilisation de gestionnaires de mots de passe soit encouragée, le stockage des mots de passe dans le presse-papiers doit être fortement déconseillé. Le presse-papiers n'est pas un casier sécurisé spécial pour les informations et de par sa conception, il rend son contenu facile d'accès et n'offre aucun cryptage.

Voici juste un scénario de la façon dont cela pourrait être exploité:

  • L'utilisateur copie le mot de passe en texte brut.
  • L'utilisateur visite un autre site Web avec une application Flash tout en surfant simplement sur le Web. Ou le site Web a été envoyé à la victime intentionnellement par l'attaquant.
  • Flash permet d'accéder au presse-papiers en tant qu'API. Le contenu du presse-papiers est donc facilement accessible et peut être envoyé à l'attaquant.

Il y a même eu des cas où quelqu'un a acheté un tas d'annonces rich media sur un tas de sites Web bien connus. Alors qu'ils ressemblaient à une publicité flash apparemment inoffensive, il volait en fait les données du presse-papiers des visiteurs dans l'espoir d'obtenir des informations utiles.

Donc, pour terminer, si vous avez quelque chose que vous voulez garder en sécurité, don Je ne le garde pas dans le presse-papiers .

... ou copiez simplement quelque chose d'autre dans le presse-papiers juste après.
Ou n'utilisez pas Flash sur votre page de connexion.
Un gestionnaire de mots de passe efface généralement le presse-papiers après quelques secondes.Le mien utilise également une combinaison de saisie et de copier / coller sélectif, en tant que tel, mon mot de passe n'est jamais complètement lisible dans mon presse-papiers ou mon historique de frappe (par exemple, le fichier journal de keylogger)
@DanHanderson vous pouvez voir l'historique du presse-papiers en utilisant certains programmes
@ardaozkal Le presse-papiers sous Windows n'a pas d'historique mais vous avez raison de dire qu'un programme pourrait créer sa propre histoire.
@JDługosz Il ne s'agit pas d'utiliser Flash sur votre page de connexion.Il s'agit pour votre utilisateur final d'avoir Flash installé et d'accéder à un site avec une application Flash malveillante intégrée.
@DanHenderson Le PO a déclaré que son opérateur de téléphonie mobile le faisait.Les téléphones portables sont largement utilisés par des personnes peu techniques ou prudentes.Le fournisseur de cellules suppose donc probablement que le client ne fait rien pour se protéger.
@baconface Désolé, que dites-vous que l'OP a déclaré que leur société de téléphonie mobile faisait?Je ne vois aucune mention que la société "copie quelque chose d'autre dans le presse-papiers juste après" ...
@ardaozkal, un tel programme doit déjà être en cours d'exécution avant de copier les choses dans le presse-papiers.Dans des circonstances normales, le presse-papiers de Windows supprime irrémédiablement son contenu précédent lorsque quelque chose de nouveau est copié.
@DanHenderson Deuxième paragraphe.Il mentionne qu'ils bloquent la possibilité pour leurs utilisateurs de coller à partir du presse-papiers.
@baconface c'est une chose totalement différente de ce que j'ai dit, cependant.Ici, permettez-moi de clarifier.D'après votre réponse: "Si vous avez quelque chose que vous voulez garder en sécurité, ne le stockez pas dans le presse-papiers."Moi: "Ou copiez simplement quelque chose d'autre dans le presse-papiers juste après [vous avez fini d'utiliser le presse-papiers pour cette chose]."Voir?Ce que j'ai dit, ce n'est pas quelque chose que OP a déclaré que leur compagnie de téléphonie mobile faisait.
Microsoft Office [conserve un historique du contenu précédent du Presse-papiers] (http://i.stack.imgur.com/05vu8.png), y compris les éléments copiés par des programmes non-Microsoft.Il fournit [une capacité pour supprimer des éléments de l'historique] (http://i.stack.imgur.com/1zVfL.png), et nous pouvons donc espérer que les gestionnaires de mots de passe utiliseront cette capacité, mais simplement en copiant de nouvelles informations sur leLe Presse-papiers n'efface pas l'historique.
@DanHenderson Je faisais remarquer que ce que fait son entreprise de téléphonie cellulaire n'est pas une situation de «ce que je peux faire pour me protéger».C'est une situation «ce que je peux faire pour protéger mes utilisateurs».Bien que je souligne qu'il n'est pas sûr pour vous de mettre des secrets dans le presse-papiers, j'ai également indiqué comment / pourquoi l'entreprise s'y attaquait.
Il est beaucoup plus probable qu'une violation de mot de passe ou une attaque par force brute se produise que n'importe lequel de ces problèmes.
@baconface avez-vous une référence pour flash ayant accès au presse-papiers de l'utilisateur sans interaction de l'utilisateur?selon ce http://www.adobe.com/devnet/flashplayer/articles/fplayer10_uia_requirements.html, il nécessite une interaction de l'utilisateur pour obtenir le presse-papiers du système.
Micheal Johnson
2016-07-30 22:55:29 UTC
view on stackexchange narkive permalink

D'autres réponses ont donné des explications plus approfondies, mais en bref, rappelez-vous que le plus gros risque de sécurité en ce qui concerne les mots de passe provient toujours d'attaques ciblées sur les serveurs, pas sur un client. En d'autres termes, avoir votre mot de passe dans le presse-papiers ne le met pas vraiment en danger, car si le mot de passe devait être craqué, il serait plus susceptible d'être craqué à partir d'une base de données de mots de passe volée au serveur ou même forcée que volée dans votre presse-papiers.

C'est pourquoi il est significatif que, comme d'autres réponses l'ont souligné, empêcher un utilisateur de coller son mot de passe le dissuade d'avoir un mot de passe complexe, ce qui rend son mot de passe plus facile à forcer brutalement et donc moins sécurisé.

distacle
2016-07-27 13:25:10 UTC
view on stackexchange narkive permalink

Je pense que cela dépend des services qui sont sécurisés par le formulaire de connexion. Il est important de considérer qu'un gestionnaire de mots de passe peut restreindre la connexion à l'appareil sur lequel le gestionnaire de mots de passe est installé, ce avec quoi le fournisseur de services n'est pas toujours d'accord. Par exemple, si le service était une banque qui souhaite donner à ses utilisateurs la possibilité de verrouiller les cartes en cas de perte ou de vol, il peut souhaiter conserver ce privilège dans les cas où l'appareil exécutant le gestionnaire de mots de passe a également été perdu ou volé.

Comment un gestionnaire de mots de passe pourrait-il vous empêcher de vous connecter sur un autre appareil?Et votre dernière phrase n'est pas claire.
Comme @AakashM l'a souligné, je ne vois aucune raison pour laquelle l'utilisation d'un gestionnaire de mots de passe m'empêcherait de me connecter à partir d'un autre appareil.J'installe également le gestionnaire pw sur cet appareil, je mémorise le mot de passe ou je le saisis.
Essayez-vous de dire qu'une banque pourrait ne pas vouloir que les utilisateurs utilisent des gestionnaires de mots de passe, car ils ne pourraient pas se connecter pour annuler leurs cartes si l'ordinateur était pris dans le même vol?Si tel est le cas, vous devez supprimer le dernier "non" et trouver une phrase claire que "restreindre la connexion à l'appareil".
Les gestionnaires de mots de passe peuvent être utilisés pour faciliter l'utilisation de mots de passe difficiles à mémoriser.Ainsi, faciliter leur utilisation pourrait au moins réduire les chances que les utilisateurs puissent se connecter sans le gestionnaire de mots de passe.
Alors @distacle, vous suggérez que certaines banques voudront peut-être décourager leurs utilisateurs d'utiliser des gestionnaires de mots de passe, ou même d'utiliser des mots de passe durs, parce que ... si leur carte bancaire ET leur ordinateur ont été volés, ils pourraient ne pas être en mesure de se connecter (sur celui de quelqu'un d'autreappareil) pour signaler le vol.Je voulais simplement être sûr d'avoir bien compris votre suggestion.


Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 3.0 sous laquelle il est distribué.
Loading...