Domanda:
Inserimento password: "incolla dal gestore password" e "bulbo oculare per visualizzare le password" si escludono a vicenda?
Mike Ounsworth
2020-08-26 02:23:55 UTC
view on stackexchange narkive permalink

Contesto

NIST SP 800-63b fornisce la seguente guida per i moduli delle password (note anche come pagine di accesso):

I verificatori DOVREBBERO consentire ai richiedenti di utilizzare la funzionalità "incolla" quando inserire un segreto memorizzato. Ciò facilita l'uso dei gestori di password, che sono ampiamente utilizzati e in molti casi aumenta la probabilità che gli utenti scelgano segreti memorizzati più efficaci.

Al fine di aiutare il richiedente a entrare con successo un segreto memorizzato, il verificatore DOVREBBE offrire un'opzione per visualizzare il segreto - piuttosto che una serie di punti o asterischi - finché non viene inserito. Ciò consente al ricorrente di verificare il proprio ingresso se si trova in un luogo in cui è improbabile che il proprio schermo venga osservato. Il verificatore PU anche consentire al dispositivo dell'utente di visualizzare i singoli caratteri inseriti per un breve periodo dopo che ogni carattere è stato digitato per verificare la corretta immissione. Ciò è particolarmente applicabile sui dispositivi mobili.

Domanda

Mi è stato detto che queste due funzionalità non dovrebbero essere implementate insieme perché consentirebbero a un utente di aggirare la protezione di un gestore di password e visualizzare la password compilata automaticamente. Sospetto che questo argomento non reggerà, ma sono curioso delle opinioni della comunità.

Sospetto che con la maggior parte (tutti?) Dei gestori di password, se hai effettuato l'accesso abbastanza da incollare le password, allora hai anche effettuato l'accesso abbastanza per visualizzare la password.
Alcuni gestori di password hanno opzioni per consentire a determinati visualizzatori di utilizzare una password ma non di vederla.Ma come mostri nella tua risposta, è una protezione abbastanza sottile.Non ha nemmeno senso se non stai utilizzando il plug-in del browser, perché potresti semplicemente incollarlo nel Blocco note.
Inoltre, se qualcuno avesse accesso per inserire la password ma non la leggesse direttamente, potrebbe leggere il contenuto con gli strumenti di sviluppo indipendentemente dal fatto che sia visibile normalmente.
Sei risposte:
#1
+102
Conor Mancone
2020-08-26 03:31:31 UTC
view on stackexchange narkive permalink

I gestori di password non hanno lo scopo di nascondere le tue password a te stesso

È così semplice. In sostanza: la maggior parte dei gestori di password ti consente di visualizzare la tua password ogni volta che vuoi comunque. Dico "la maggior parte" solo perché non li ho usati tutti. Ho lavorato con alcuni siti in cui il riempimento automatico non funziona per motivi al di fuori del controllo dei gestori di password. Pertanto visualizzare / copiare le proprie password è una necessità. IMO un gestore di password che non ti consente di visualizzare i tuoi segreti è un gestore di password non funzionante.

Se puoi utilizzare il gestore di password per visualizzare la tua password, allora un singolo sito che rifiuta di visualizzare una password su richiesta dell'utente nel tentativo di nascondere la propria password a se stesso ha grossolanamente perso il quadro più ampio.

Alcune persone usano gestori di password, altre no forti >

La possibilità di incollare è molto utile quando si utilizzano gestori di password. La possibilità di visualizzare durante la digitazione è utile per le persone che digitano le proprie password (soprattutto sui telefoni). Queste sono due caratteristiche diverse per due diversi gruppi di persone, da cui ci si può aspettare che utilizzino un determinato sito. Quindi dire che hai bisogno solo di una di queste funzionalità alla volta è semplicemente sciocco ...

Uso un ambiente VDI in cui non è possibile incollare nulla.E tutte le mie password sono gestite dal gestore delle password.Se non potessi vederli, scaricherei quel manager e ne troverei uno che funzioni correttamente.
Il mio gestore di password (LastPass, KeePass) mi nasconde le password nell'uso quotidiano.Li riempie e basta. Non c'è bisogno di vederli, a meno che io non voglia farlo esplicitamente.Con LastPass devo anche inserire la password principale per vederla.Mi piace.
@Marcel Ma puoi semplicemente inserire la password da qualche parte che ti consente di vederla, come un browser o un file di testo, giusto?La richiesta di una password principale per vederla direttamente aggiunge sicurezza?
@Mark per chiarire, esiste una funzionalità di "riempimento automatico" nei browser per i gestori di password che hanno estensioni del browser.Ciò significa, ad esempio, che se vado su example.com e ho un nome utente / password memorizzati per esso, l'estensione inserirà automaticamente il mio nome utente / password sul sito Web senza che io debba fare nulla.Quindi per effettuare il login devo solo premere il pulsante "Invia" nel form di login.Pertanto questa particolare funzionalità funzionerà solo per i browser.
La tua seconda domanda è molto pertinente: richiedere la tua password principale per vederla aggiunge sicurezza?Per la maggior parte delle persone probabilmente no.Una tale funzionalità ti proteggerebbe da qualcuno che si siede al tuo computer quando sei lontano e copia manualmente tutte le tue password.Dubito che sia una preoccupazione rilevante per la maggior parte, e non è nemmeno il modello di minaccia da cui i gestori di password dovrebbero proteggersi.Pertanto, per me personalmente, mi stancherei rapidamente di dover inserire sempre la mia password principale e troverei un nuovo gestore di password.
@ConorMancone Puoi ottenere la password dal browser senza la tua password principale (come mostra l'altra risposta), ma ti garantisco che aumenterebbe lo sforzo e la conoscenza necessari.
@Mark davvero.Tuttavia, esiste una qualche mitigazione della "minaccia" che richiede una password principale per visualizzare le password.Senza di essa qualcuno potrebbe passare attraverso e copiare le password dal manager in massa.Ci vorrebbe molto più tempo per avviare i siti ed estrarli singolarmente.Ancora una volta, non sto dicendo che richiedere la password principale per visualizzare le password sia una * buona * scelta.È un inconveniente per l'utente legittimo e uno scarso controllo di sicurezza.Tuttavia, ha un certo valore, anche se non ne vale la pena per la maggior parte degli utenti.
@Marcel Uso LastPass e la password principale sblocca sia l'utilizzo che la visualizzazione delle password contemporaneamente.(Significa che se vengo disconnesso, ovviamente devo inserire la mia password per usarlo).Se posso fare in modo che inserisca una password, posso visualizzare la password.Forse dipende da come l'hai impostato?
@Kat In effetti, in qualche modo me lo sono perso.Uso Lastpass e una volta sbloccato il mio vault posso visualizzare / copiare le password in qualsiasi momento senza dover reinserire la mia password principale.
@Kat Sì, dipende.Dato che comunque non sento quasi mai il bisogno di vedere le mie password, l'ho impostato per richiedere la password principale per farlo.Tuttavia, non riesco a trovare l'impostazione in questo momento.
potresti menzionare il buco di sicurezza di un "editor di testo".Se la password è negli appunti, potrebbero averla incollata in un normale campo di modifica del testo invece che in un campo della password per vedere la password.Non solo il pensiero dell'OP è sbagliato, ma è anche inutile per lo scopo previsto.
Sembra una sciocchezza di base.Ovviamente "incolla dal gestore delle password" e "bulbo oculare per visualizzare le password" non si escludono a vicenda e come potrebbe importare? " Come può la capacità di "incollare dal gestore delle password" non significare che una volta che Scummy Hacker ha violato il gestore delle password, tutto è perduto?
#2
+29
Mike Ounsworth
2020-08-26 02:49:15 UTC
view on stackexchange narkive permalink

[self-answer”

Puoi smascherare banalmente un campo della password con il tasto destro del mouse > Inspect Element > change type = "password" a type = "" . Quindi non c'è davvero alcun motivo non per mettere un bulbo oculare "Visualizza la tua password" su un'interfaccia utente web.

Test sulla prima pagina di GitHub, che non ha il pulsante del bulbo oculare:

Unmasking a password with Inspect Element


Unmasking a password with Inspect Element

Destra.Stavo per dirlo.L'unico bene che fa è impedire agli utenti non esperti di tecnologia di svelare la password, immagino?
@FireQuacker i puntini servono a prevenire i surfisti spalla, non a impedire a qualsiasi utente di conoscere la propria password.
Non solo surfisti spalla.Considera una conferenza web con schermo condiviso ...
Un gestore di password potrebbe impedire di riempire i campi che non sono "type =" password "`, ad esempio, quando ha una profonda integrazione del browser, ma probabilmente potresti ancora leggere la password dalla console degli sviluppatori.La protezione è per aiutarti a impedire ad altri di vedere le tue password e non per impedirti di vedere le tue password, quindi non ci penserei troppo e mi limiterò ad accedere rapidamente dopo che la password è stata inserita dal gestore delle password, in modo che altre persone non possano ottenerlaquando lasci il computer sbloccato e incustodito.
Un gestore di password con una profonda integrazione del browser deve fidarsi che il browser non sta facendo nulla che non dovrebbe.Fortunatamente i browser web hanno un eccellente track record di sicurezza
@JCRM anche senza una profonda integrazione (o gli stessi gestori di password), l '* utente * deve comunque fidarsi del browser per non rubare le password.
#3
+17
Anders
2020-08-26 18:28:00 UTC
view on stackexchange narkive permalink

Ci sono già molte buone risposte, ma vorrei aggiungere un punto.

Abbastanza spesso devo inserire le password sui computer su cui non ho installato il mio gestore di password. Quando ciò accade, leggo la password sul mio cellulare e la inserisco sul computer. Questo sarebbe spesso il caso di coloro che utilizzano un gestore di password locale su un solo dispositivo.

Quando si immettono parole incomprensibili casuali, è molto facile perdersi. Cancellare tutto e ricominciare da capo è un dolore al sedere. Se non avessi la possibilità di visualizzare la password durante la digitazione in modo da poter correggere facilmente gli errori, sarei pigro e sceglierei password molto più brevi.

TL; RD: Consentire di visualizzare le password durante la digitazione rende scelgo password migliori, anche se utilizzo un gestore di password.

#4
+12
Bob
2020-08-26 11:05:10 UTC
view on stackexchange narkive permalink

Considera che la tua prima citazione fa riferimento esplicitamente alla funzionalità "incolla" , il che implica un appunti. Al contrario del riempimento automatico che immette direttamente i dati in un modulo di una pagina web.

Le implementazioni comuni degli appunti non impediscono all'utente di incollare il contenuto degli appunti in destinazioni arbitrarie (o, in effetti, altri programmi dal recupero / registrazione dei contenuti degli appunti) .

Se l'argomento è che la funzionalità "bulbo oculare" può rivelare le password all'utente, l'utente potrebbe farlo più facilmente semplicemente incollando il contenuto degli appunti in un diverso campo non mascherato.

Ma un JavaScript asinino che blocca la pasta spesso _non_ fa distinzione tra le paste degli appunti e gli inserti del gestore delle password.
Incollare il contenuto in campi non mascherati * o * semplicemente incollarlo in un programma diverso tutti insieme
A proposito di JavaScript asinino che blocca l'incolla, se un sito non consente di incollare nella casella della password, echo tutti i commenti "trova un altro gestore di password" e dirò "trova un altro sito".
#5
+8
Marcel
2020-08-26 12:37:19 UTC
view on stackexchange narkive permalink

Direi che questi requisiti non competono e non si escludono a vicenda.

L'unica cosa da accertarsi è che incollare la password non attivi "mostra l'ultimo carattere" per l'intera password . Invece, quando si incolla, il sistema dovrebbe assicurarsi che siano visibili solo i punti (o qualsiasi altro segnale visivo, se presente).

Quindi:

  • quando incollando, la password viene completamente nascosta durante l'incollaggio
  • quando si inserisce con i tasti, viene mostrato l'ultimo carattere per ogni battitura

Come altri hanno sottolineato, DOPO aver incollato o digitato , la totalità della password POTREBBE essere controllata da F12 o dall'icona "occhio".

#6
+4
Nzall
2020-08-26 16:37:02 UTC
view on stackexchange narkive permalink

Oltre alle altre risposte: qualsiasi gestore di password che valga la pena utilizzare utilizza una password principale che deve essere inserita prima di poter copiare qualsiasi password. Se conosci quella password principale, il gestore delle password ti consente di vedere tutto, anche se devi prima incollarla in Blocco note. Se non conosci quella password, il gestore delle password non farà nulla con le tue password: non le decritterà, non le popolerà automaticamente, non ti permetterà di incollarle, non le consentirà di aggirare la protezione della password principale in qualsiasi modo.

Quindi, se non conosci quella password principale, non c'è modo di estrarre le password dal vault (a meno che il gestore delle password non abbia un vulnerabilità). Se conosci la password principale, hai già pieno accesso alle password nel gestore delle password e non c'è alcun motivo per cercare di aggirare le misure di sicurezza che non esistono.



Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 4.0 con cui è distribuito.
Loading...