Domanda:
C'è qualche motivo per disabilitare l'incolla password all'accesso?
IAmJulianAcosta
2016-07-27 07:31:23 UTC
view on stackexchange narkive permalink

Oggi ho effettuato l'accesso per pagare la bolletta del cellulare e ho scoperto che il sito ha disabilitato la funzionalità di incolla nel campo della password.

Sono un webdev e so come risolvere questo, ma per l'utente normale è DAVVERO fastidioso dover digitare una password casuale come o\&$t~0WE'kL.

I sai che è normale costringere gli utenti a scrivere la password quando creano un account , ma c'è qualche motivo per disabilitare l'incollaggio delle password durante l'accesso ?

perché pensi che sia "normale che gli utenti scrivano la password quando creano un account"?è esattamente lo stesso: ostacola l'uso dei gestori di password (che ad esempio generano buone nuove password da utilizzare durante la creazione di un account)
Si noti che il blocco degli script a volte può essere d'aiuto, ma potrebbero essere forniti dallo stesso server degli script che si desidera effettivamente, rendendo un po 'meno facile una semplice soluzione noscript.Incollare, accedere, quindi premere "consenti temporaneamente ..." potrebbe aiutarti.
una cosa che ho notato in alcuni siti, ad esempio il login di Microsoft, è che hanno disabilitato "incolla" nel menu contestuale, ma puoi `CTRL / CMD + v` per incollare la password.
Ho sentito la teoria che "vogliamo insegnare agli utenti a mantenere la loro password fuori dagli appunti vulnerabili" ... ma se è stata compromessa, la tastiera è più sicura?
@DaniEll Penserei che disabilitino l'incollaggio della password durante la creazione di un account in modo che le persone non scrivano la password sbagliata nel primo campo e copino la password sbagliata nel secondo campo ...
per non parlare, poiché non impedisce all'utente di * copiare * la propria password da qualsiasi luogo, non rende gli appunti più sicuri.Quando l'utente si rende conto che la pasta non funziona, è troppo tardi.
No, non a chiamata.Sembra un'idea di _Security Expert_ di un'istituzione finanziaria.Come * hey, limitiamo la lunghezza a 15, per [insert-bad-reason] *.
@Dupontrocks11 normalmente non è possibile copiare il testo * da * un campo password in nessun sistema, quindi non è possibile copiare la password sbagliata dal primo campo al secondo.Il più vicino che potresti venire è incollare la password sbagliata in entrambi i campi da qualche altra parte.
Trovo estremamente fastidioso quando non riesco a incollare una password, quindi se la tua azienda vuole infastidire le persone o rischiare che gli utenti cambino le loro password in qualcosa di semplice da digitare (e più facile da hackerare / indovinare)
Che dire del metodo click-and-drag?Trovo che funzioni quando i caratteri non si incollano. Non è utile per l'autopasting, ma è utile in determinate situazioni, ad esempio quando non è possibile visualizzare in anteprima ciò che è stato digitato.Elimina quel piccolo irritante: "L'ho digitato bene?"Se un intero miscuglio di password viene incollato insieme come questo e in un ordine, non si può semplicemente evidenziare e fare clic e trascinare per "incollare"?Perdonatemi, se mi sbaglio.--BLBU
Grande idea.Disabilita anche tutte le paste.Dovresti inondare l'intero appunti e disabilitare anche la tastiera hardware.Disabilita anche il monitor e applica lo schema della password che cambia / ripristina ogni fine della sessione, richiedendo 5 simboli hindi regionali di fila 10 volte a 256 caratteri di lunghezza, dove non puoi ripetere una password che hai usato in precedenza.Se qualcuno non ha effettuato l'accesso nell'arco di 2 giorni, ripristinalo comunque.E cambia il loro nome utente.Quindi, per renderlo davvero sicuro, abilita l'autenticazione a 2 fattori dove il secondo fattore è una lettera certificata [posta ordinaria] all'indirizzo che si trova nelle tue informazioni di previdenza sociale;)
@dhaupin: Hai progettato il modulo di accesso per la mia banca?
@MarkKCowan lol Vorrei che un giorno potessi lavorare per una banca.Tirali fuori dai primi anni '90 e introducili ai concetti di base del "Web2.0" dei primi anni 2000 a $ 180.000 / anno.Hai bisogno di concetti post-2011?Oddio, è roba spaventosa / all'avanguardia.Quindi rilassati, anziano CTO + consiglio: ricorda i tuoi problemi di cuore, non eccitarti troppo.Lento e basso ... non preoccuparti di quegli algoritmi MD5, ma mantieni la password follia perché siamo tutti d'accordo sul fatto che i barbe grigi sappiano meglio.
@plainclothes: "Ho sentito la teoria che" vogliamo insegnare agli utenti a mantenere la propria password fuori dagli appunti vulnerabili "... ma se è stata compromessa, la tastiera è più sicura?"Anche se ciò potrebbe essere vero, il punto principale potrebbe essere quello di prevenire una traccia facilmente evitabile di prove forensi tenendole fuori dagli appunti?
Puoi chiedere e rispondere a una domanda su come aggirare questo problema.E poi collegalo qui.Voterei sia la domanda che la risposta.
Dieci risposte:
#1
+260
tlng05
2016-07-27 07:47:25 UTC
view on stackexchange narkive permalink

Non vi è alcun vantaggio di sicurezza sostanziale nel non consentire le password incollate; al contrario, è probabile che indebolisca la sicurezza scoraggiando l'uso di gestori di password per generare e compilare automaticamente password casuali. Sebbene alcuni gestori di password siano in grado di ignorare le restrizioni di incolla, resta il punto che gli utenti non dovrebbero essere costretti a digitare la propria password manualmente.

Estratto da un articolo WIRED pertinente:

Siti web, interrompi il blocco dei gestori di password. È il 2015

Ma la cosa pazzesca è che, nel 2015, alcuni siti web disabilitano intenzionalmente una funzione che ti consentirebbe di utilizzare più facilmente password più sicure e molti lo fanno perché lo sostengono erroneamente ti rende più sicuro.

Ecco il problema: alcuni siti non ti consentono di incollare le password nelle schermate di accesso, costringendoti, invece, a digitare le password. Ciò rende impossibile utilizzare alcuni tipi di gestori di password che rappresentano una delle migliori linee di difesa per mantenere gli account bloccati.

Un altro articolo che copre le "difese" di questa pratica: https://www.troyhunt.com/the-cobra-effect-that-is-disabling/
Sembra che un buon vecchio * Name & Shame * sia in ordine.Chi diavolo lo fa intenzionalmente?
@AndrewHoffman PayPal lo ha fatto per un po '.Non sono sicuro che siano tornati in sé.
Fidelity ed eClinicalWeb sono due siti che uso regolarmente (non per scelta) che rendono la vita davvero difficile ai gestori di password, apparentemente apposta.Non bloccano l'incollaggio, ma fanno di tutto per far fallire i gestori di password in modi bizzarri.
Potrebbe essere peggio.Il sito .gov per l'acquisto di buoni del tesoro richiedeva la tastiera su schermo con il posizionamento casuale delle lettere per il tipo di mouse.Completa tortura per una password forte casuale, e dopo averlo fatto una volta l'ho riparata con greasemonkey.
@KevinKrumwiede PayPal sembra aver risolto il problema, almeno per me.Se provo a compilare automaticamente con LastPass, mi dice che la mia password è sbagliata, ma se ho LastPass copia la mia password negli appunti e la incollo manualmente, funziona bene.
Non sopporto quando non posso "incollare" la mia password.In qualità di avido utente di password manager, ho una password solo per quei siti.Non è sicuro e non è forte.In sostanza, potrei anche usare la parola password.Considero anche l'intero sito non sicuro per questo motivo.
Se usi Chrome, divertiti [non f *** with paste] (https://chrome.google.com/webstore/detail/dont-fuck-with-paste/nkgllhigpcljnhoakjkgaieabnkmgdkb?hl=en), perché seriamente i siti web, non scopare con la pasta.
Dico solo, ma "è [anno in corso]" non è un argomento
#2
+106
RommelTJ
2016-07-27 00:57:07 UTC
view on stackexchange narkive permalink

Disabilitare l'incollaggio di un campo password introduce un " effetto Cobra". Un effetto Cobra "si verifica quando un tentativo di soluzione a un problema peggiora effettivamente il problema".

Troy Hunt ha recentemente scritto un articolo in cui lo spiega in modo più dettagliato. È essenzialmente un teatro di sicurezza, come quello che accade negli aeroporti per "renderci più sicuri". Troy Hunt lo chiama effetto Cobra perché disabilita l'uso di password sicure di 50 caratteri che verrebbero incollate da un gestore di password. Nella migliore delle ipotesi, costringe le persone a creare password facili da ricordare e quindi più hackerabili.

Alcuni potrebbero dire che ti rende più sicuro perché impedisce che i tuoi appunti vengano copiati dal malware, ma ignorano il fatto che se il malware è già in grado di farlo, può anche copiare tutti i tipi di pressione dei tasti, non solo Ctrl + V. È inutile.

Dal punto di vista dell'esperienza utente, è semplicemente fastidioso, come dici tu. Quindi è fastidioso dal punto di vista dell'esperienza utente e non ci rende più sicuri. Non ha senso questa "funzionalità".

Mentre sono d'accordo con la tua risposta in generale, non sono d'accordo con la tua opinione sulla sicurezza degli appunti.Flash player, ad esempio, è in grado di accedere agli appunti ma penso che non possa registrare le tue pressioni di tasti (almeno finché l'oggetto flash non è a fuoco)
Se [Adobe] (http://help.adobe.com/en_US/as3/dev/WS2F6A31B9-1AE6-4b23-9C12-57A33F4F0516.html) è corretto, Flash Player può leggere gli appunti solo quando l'utente incolla attivamente qualcosa daesso.
Onestamente, se la tua scusa per non essere in grado di incollare le password sul tuo sito web è "siamo preoccupati per i plug-in flash dannosi che ti rubano le credenziali", allora mi chiedo davvero perché consenti i plug-in flash dannosi sul tuo sito web in primo luogo.ci sono 2 modi in cui qualsiasi sito web potrebbe accadere: attraverso il malvertising e attraverso la compromissione del sito, e quelli di solito fanno cose molto peggio che rubare una credenziale (solitamente unica) per un sito.
Sono d'accordo con lo spirito di questa risposta, ma è sbagliato dire che è inutile al 100%.* Esistono * scenari in cui può verificarsi la compromissione degli appunti, ma il keylogging (o altri attacchi) non può o è meno probabile.Esempio: un sistema operativo kiosk bloccato o un utente malintenzionato opportunista a cui capita di assistere a una password incollata.
#3
+33
thomasyung
2016-07-26 05:18:42 UTC
view on stackexchange narkive permalink

No, non c'è motivo ragionevole per farlo. È una cattiva esperienza utente, chiara e semplice. Disabilitare l'incollaggio in un campo password incoraggia effettivamente le password errate. I gestori di password cancellano automaticamente gli appunti dopo averli incollati, in modo che l'argomento non sia più valido.

Alcuni gestori di password * Uso LastPass che è un gestore di password piuttosto grande e non cancella i miei appunti
@DasBeasto lo fa, ma non dopo averlo incollato, ma dopo un determinato periodo di tempo per copiarlo.Inoltre cancellerà gli appunti all'uscita dall'applicazione
Anche se è vero che i gestori di password cancellano gli appunti dopo aver incollato, non tutti usano i gestori di password e le persone copieranno e incolleranno anche da altre fonti.
Che ne dici di rilevare la pasta nel javascript nel modulo di accesso e cancellare gli appunti in seguito?JavaScript è abbastanza potente?
@beppe9000 Perché avvitare con gli appunti dell'utente.Sono gli utenti, presumibilmente sanno cosa stanno facendo e sono i migliori per gestire le proprie password.Forse hanno un sistema che fa qualcosa di più intelligente di quello che fa la pagina web.E se volessero solo vedere cosa ha incollato il loro gestore di password per risolvere un problema tecnico?
@Sqeaky Voglio dire che se vogliono assolutamente pasticciare con gli appunti dell'utente dovrebbero farlo * dopo * una pasta.
#4
+27
Philipp
2016-07-27 17:29:42 UTC
view on stackexchange narkive permalink

Il principale argomento di sicurezza per non consentire copy&pasting delle password è che la password rimane negli appunti degli utenti in seguito. Ciò può portare all'esposizione accidentale della password in un contesto non correlato. Ad esempio, quando l'utente lo incolla accidentalmente in un campo di input diverso in un'applicazione diversa (web o altro). Un altro possibile scenario potrebbe essere quando l'utente si allontana dal proprio dispositivo senza bloccarlo e qualcun altro preme ctrl + v per controllare cosa ha negli appunti.

Tuttavia, questo è un rischio davvero minimo rispetto al enormi vantaggi in termini di sicurezza che hanno i gestori di password. Inoltre, i gestori di password hanno spesso una funzione per cancellare automaticamente gli appunti pochi secondi dopo aver copiato una password da loro, il che riduce notevolmente questo rischio.

C'è anche un grosso problema con questa logica, che è che avresti già copiato la tua password prima di scoprire che non potresti incollarla ...
@AntP Ma farai questo "errore" solo la prima volta che proverai ad accedere al sito web con il tuo gestore di password, non ogni volta che utilizzi l'applicazione.
Abbastanza vero ... Principalmente perché non mi collegherei una seconda volta :)
Sì, penso che il motivo veramente fuorviante qui sia presumere che questa pratica "addestrerà" gli utenti a non copiare mai la loro password negli appunti, quando tutto ciò che farà davvero sarà costringerli a aggirarla su questo particolare sito.
Sta semplicemente spostando la vulnerabilità da appunti-logger a keylogger.Che di per sé è una bandiera rossa che gli sviluppatori non sanno molto sulla sicurezza e il sito dovrebbe essere evitato :)
@Philipp Solo se accedi abbastanza spesso da ricordare che non funziona.Se accedi solo una volta al mese o tre volte all'anno, è probabile che ti dimentichi e riprovi, o forse ci riprovi sperando che si siano sbarazzati della "funzionalità".
un buon gestore di password cancellerà gli appunti dopo un certo tempo, il mio è configurato per farlo dopo 15 secondi
#5
+12
Superbest
2016-07-28 01:48:43 UTC
view on stackexchange narkive permalink

Ci sono ragioni per farlo, anche se non molto buone.

Fondamentalmente, scoraggia il copia e incolla. Ciò significa che è meno probabile che gli utenti lo dimentichino negli appunti e che sia trapelato accidentalmente. Inoltre, se lo stanno incollando, significa che l'hanno salvato da qualche parte (come un file di testo), che non è sicuro come il loro cervello, quindi se il file di testo diventa inutile, forse faranno più affidamento sulla loro memoria.

Ovviamente questi non hanno davvero senso. Molte persone che copiano e incollano lo fanno dal proprio gestore di password, che è molto ben protetto. I gestori di password cancellano automaticamente anche gli appunti e, come sottolineato altrove, quali sono le probabilità che il tuo utente abbia un keylogger in grado di leggere gli appunti ma non la pressione dei tasti?

Per me, cose come questa rivelano una sorta di disprezzo per l'intelligenza dell'utente. Fondamentalmente sta dicendo: "sei troppo stupido per non farti rubare la password, sei troppo stupido per seguire semplici linee guida di sicurezza, ti legheremo questa imbracatura per proteggerti da te stesso". Non importa che quando i tuoi dati di accesso vengono rubati, è molto più probabile che sia a causa di una violazione dei dati sul lato server, piuttosto che di una perdita di appunti sul lato client. Cerco di evitare tali siti se possibile, dal momento che mi fanno pensare che non sono il pubblico giusto per il sito.

Fortunatamente molti gestori di password in questi giorni stanno iniziando a emulare solo la pressione dei tasti invece che incollando, quindi alla fine lo scherzo è su di loro.

#6
+9
Dan Henderson
2016-07-28 04:07:12 UTC
view on stackexchange narkive permalink

Posso effettivamente pensare a esattamente una buona ragione per non consentire l'incolla delle password. Quando si imposta inizialmente la password o la si modifica.

Il motivo è che esiste una piccola possibilità che, per qualsiasi motivo, non sia stato possibile copiare la password negli appunti quando si pensava di averlo incolli nel campo della password è in realtà solo qualsiasi sciocchezza era negli appunti prima di allora. Poiché il campo della password è mascherato, non avresti modo di sapere che hai appena incollato

826 W. Main St. nel campo della nuova password, invece di

Bubblez84-l0ve!
o
h*7dn$l83k&(4;p

come pensavi che sarà un vero problema la prossima volta che proverai ad accedere.

E allora?C'è il recupero della password.Inoltre probabilmente incollerai la password nella memoria permanente prima / dopo averla impostata sul sito web e dovresti notarla o tenerla comunque la stessa.
@akostadinov se (pensavi) hai copiato la password * da * da qualche parte, è improbabile che tu abbia fatto uno sforzo speciale per incollarla * in * uno spazio di testo chiaro vicino allo stesso tempo.A meno che tu non sia come me e abbia effettivamente sperimentato la situazione in prima persona in cui intraprendi l'azione che dovrebbe copiare qualcosa, ma non lo fa, * e * ti sei reso conto che era quello che era successo.
Un buon modo per sbarazzarsi di questo problema è smettere di mascherare le password.Aggiunge pochissima sicurezza nella maggior parte delle situazioni.
@pipe Sono con te.Aiuta davvero solo se ti trovi in uno spazio pubblico e / o è probabile che qualcuno ti guardi sempre alle spalle.Avere un'opzione per rivelare la password (che sembra effettivamente diventare una cosa negli ultimi tempi) va benissimo.Molte volte gli utenti non avranno qualcuno che veglia letteralmente alle loro spalle.E inoltre, se qualcuno _ li stava_ osservando, non è che mascherare aiuta molto.La persona che guarda può anche annotare ciò che digiti o anche vedere ciò che hai copiato.Non è probabile che lo ricordino ma ... le situazioni non sono nemmeno così probabili.
@pipe ha senso durante screencast o presentazioni.A meno che, ovviamente, il proprietario della password non gridi la password al presentatore poco prima.
"826 W. Main St."come password ha 66 bit di entropia, "Bubblez84-l0ve!"ha 76 e "h * 7dn $ l83k & (4; p" ne ha 64. Oltre a non avere idea di quale sia la tua password, potresti fare di peggio in termini di difficoltà da indovinare.
@pipe Un'eccezione a questo è sui dispositivi mobili.La maggior parte delle tastiere software adatta automaticamente i propri suggerimenti in base a ciò che si digita attraverso di esse, ma in genere sopprimono la raccolta di questa telemetria quando si interagisce con i campi mascherati.
@VLAZ Non vedrebbero cosa hanno copiato.Con il mio gestore di password, posso generare, copiare e incollare la password, senza che mi venga mai rivelata.Non so se sia una buona idea, ma posso.
#7
+2
securityPM
2016-07-28 23:30:15 UTC
view on stackexchange narkive permalink

Sono un product manager per la sicurezza online presso una grande azienda.

Oggi ho avuto una riunione sulla disabilitazione dell'incollaggio delle password. Al momento permettiamo di incollare le password, ma pensiamo di cambiarle.

Ci sono diverse prospettive che puoi assumere su questo approccio e i pro / contro possono variare completamente a seconda del caso d'uso che hai e di come il tuo sito è protetto e se usi 2FA o meno.

Personalmente non disabiliterei l'incollaggio delle password per i siti che si basano solo sul nome utente & password per il login.

Sto pensando di disabilitarlo nel nostro caso per diversi motivi

  • La forza della tua password non ti rende più sicuro nel nostro caso. Sì, so che diciamo alle persone da secoli che dovrebbero scegliere una password ragionevolmente sicura, ma alla fine questo non ti aiuterà un po 'se il tuo computer è infetto da malware. Al malware non importa se la tua password è "12345" o una cifratura di 100 caratteri super complicata. O lo ruba o prende il controllo della tua sessione.

  • Non affrontiamo il rischio di attacchi di forza bruta o di indovinare la password. Ci sono modi per mitigare ciò che è in atto nel nostro caso.

  • Esistono soluzioni di biometria comportamentale in cui i profili sono costruiti sulla base della dinamica dei tasti ecc. che consentono con un alto grado di certezza di identificare se un utente che immette le credenziali è effettivamente l'utente ci aspettiamo che. Le credenziali sono vere o false. Se qualcuno ha le tue credenziali, è in grado di autenticarti. Questo è il motivo per cui vorrei sapere se la persona che sta inserendo le credenziali corrette è effettivamente la persona che ci aspettiamo di conoscerle. Il nome utente e la password devono essere inseriti ogni volta durante il processo di accesso in modo che questi campi siano piuttosto interessanti per verificare se tale soluzione è implementata nell'organizzazione. Questo non è possibile se qualcuno copia / incolla la propria password.

Non ho ancora deciso di disabilitarlo nel nostro caso. Come sempre, dobbiamo mantenere un equilibrio tra usabilità e sicurezza.

Ai miei occhi, i tuoi argomenti non reggono."La forza della tua password non ti rende più sicuro nel nostro caso."- Allora, perché hai password?E quando scelgo sempre password complesse (utilizzando ad esempio un gestore pw), perché dovrei fare un'eccezione per il tuo sito?
"Non corriamo il rischio di attacchi di forza bruta o di indovinare la password".- Gli attacchi di forza bruta vengono eseguiti con uno script che invia i dati direttamente al tuo server, non con un browser.Disabilitare l'incolla infastidisce i tuoi utenti legittimi, non gli hacker.
"Esistono soluzioni biometriche comportamentali in cui i profili sono costruiti sulla base della dinamica dei tasti, ecc."- Cosa faresti se un utente inserisse le credenziali corrette ma con "dinamiche sbagliate"?Negare l'accesso?E usando password complesse, sono molto incline a digitarle in modo errato e riscriverle molto.Penso che non daresti mai due volte la stessa "dinamica" da parte mia.
@Dubu Sospetto che le credenziali corrette con dinamiche sbagliate porterebbero a una sfida sull'identità, sulla falsariga di: * I dati biometrici non sono coerenti con l'utente "Dubu".Verifica secondaria richiesta.Per favore [rispondi a questa domanda di sicurezza / digita il codice che ti abbiamo appena inviato / controlla il tuo indirizzo email registrato per un link di verifica]. *
Punto 1: è a favore dell'incollaggio.Se non importa se l'utente è protetto, disabilitarlo _ancora_ non importa ma tende a infastidire gli utenti.Guadagno netto: zero per la sicurezza, punto per l'usabilità.Punto 2 - un punto contro chi pensa che la forzatura bruta avvenga attraverso la pagina web.Guadagno netto: -1 per sicurezza.Punto 3. - i dati biometrici sono una merda.È incoerente.Digitare con una mano, la mano sbagliata (sul cellulare), una tastiera diversa, un luogo diverso può influenzarlo e lanciare una sfida.Molti falsi positivi.Anche se la digitazione di un utente è coerente, probabilmente non sarebbe così unica.
@DanHenderson Cordiali saluti, anche se vedo "I dati biometrici non sono coerenti con l'utente" Dronz ". Verifica secondaria richiesta."Prenderò in considerazione la fine del mio rapporto con qualunque azienda lo metta in atto, e probabilmente se ne lamenterò pubblicamente, menzionando il nome dell'azienda in modo arrabbiato, regolarmente per anni (decenni?) A venire.D'altra parte, se ha inviato a _me_ un'e-mail a riguardo, per tua informazione, potrebbe non dispiacermi.
Votato solo perché è un controargomento e quindi molto più vario di molte delle risposte precedenti.
Un'altra forma di attacco di forza bruta, contro la quale sospetto fortemente che le vostre tecniche di mitigazione non serviranno a nulla, è dove il database delle password crittografate viene rubato e quindi gli aggressori eseguono l'attacco contro la copia rubata del database sul proprio hardware, senza ilrischio di attivazione di blocchi, limitazione della velocità, ecc. implementati nel proprio ambiente.
#8
+1
Bacon Brad
2016-07-28 05:23:52 UTC
view on stackexchange narkive permalink

Molte delle risposte sottolineano che questa è una cattiva pratica perché può violare i gestori di password. Sebbene l'uso di gestori di password dovrebbe essere incoraggiato, la memorizzazione delle password negli appunti dovrebbe essere fortemente sconsigliata. Gli appunti non sono uno speciale armadietto sicuro per le informazioni e in base alla progettazione rendono i contenuti di facile accesso e non offrono crittografia.

Ecco solo uno scenario di come questo potrebbe essere sfruttato:

  • L'utente copia la password in testo normale.
  • L'utente visita un altro sito Web con un'applicazione Flash mentre naviga sul Web. Oppure il sito Web è stato inviato intenzionalmente alla vittima dall'aggressore.
  • Flash consente l'accesso agli appunti come API. Quindi i contenuti degli appunti sono facilmente accessibili e possono essere inviati all'attaccante.

Ci sono stati anche casi in cui qualcuno ha acquistato una serie di annunci rich media su una serie di siti web ben noti. Sebbene sembrassero un annuncio flash apparentemente innocuo, in realtà stava rubando i dati degli appunti dei visitatori nella speranza di ottenere informazioni utili.

Quindi, in chiusura, se hai qualcosa che vuoi tenere al sicuro e protetto don non memorizzarlo negli appunti .

... o semplicemente copia qualcos'altro negli appunti subito dopo.
Oppure non utilizzare Flash nella tua pagina di accesso.
Un gestore di password di solito cancella gli appunti dopo pochi secondi.Il mio utilizza anche una combinazione di digitazione e copia / incolla selettiva, in quanto tale la mia password non è mai completamente leggibile negli appunti o nella cronologia di digitazione (ad esempio il file di registro del keylogger)
@DanHanderson puoi vedere la cronologia degli appunti utilizzando alcuni programmi
@ardaozkal Gli appunti su Windows non hanno una cronologia ma hai ragione che un programma potrebbe fare la propria storia.
@JDługosz Non è questione di utilizzare Flash nella pagina di accesso.È questione che l'utente finale abbia installato Flash e acceda a un sito con un'applicazione Flash dannosa incorporata.
@DanHenderson L'OP ha dichiarato che la sua compagnia di telefoni cellulari lo fa.I telefoni cellulari sono ampiamente utilizzati da persone poco tecniche o prudenti.Quindi il fornitore di cellulari presume che il cliente non stia facendo nulla per proteggersi.
@baconface Scusa, cosa stai dicendo che l'OP ha dichiarato di fare la loro compagnia cellulare?Non vedo alcuna menzione del fatto che la società "copi [i] qualcos'altro negli appunti subito dopo" ...
@ardaozkal un tale programma deve essere già in esecuzione prima di copiare le cose negli appunti.In circostanze normali, gli Appunti di Windows eliminano irrimediabilmente il contenuto precedente quando viene copiato qualcosa di nuovo.
@DanHenderson Secondo paragrafo.Menziona che bloccano la possibilità per i loro utenti di incollare dagli appunti.
@baconface è una cosa completamente diversa da quello che ho detto, però.Qui, lasciatemi chiarire.Dalla tua risposta: "Se hai qualcosa che vuoi tenere al sicuro e protetto, non conservarlo negli appunti".Io: "Oppure, copia semplicemente qualcos'altro negli appunti subito dopo [hai finito di usare gli appunti per quell'unica cosa]."Vedere?Quello che ho detto non era nulla di ciò che OP ha dichiarato di fare la loro compagnia cellulare.
Microsoft Office [mantiene una cronologia dei contenuti precedenti degli Appunti] (http://i.stack.imgur.com/05vu8.png), comprese le cose copiate da programmi non Microsoft.Fornisce [la capacità di eliminare elementi dalla cronologia] (http://i.stack.imgur.com/1zVfL.png), quindi potremmo sperare che i gestori di password utilizzino questa funzionalità, ma semplicemente copiano nuove informazioniGli appunti non cancellano la cronologia.
@DanHenderson Stavo facendo notare che quello che sta facendo la sua compagnia cellulare non è una situazione del tipo "cosa posso fare per proteggermi".È una situazione del tipo "cosa posso fare per proteggere i miei utenti".Mentre ti faccio notare che non è sicuro per te mettere segreti negli appunti, stavo anche indicando come / perché l'azienda lo sta affrontando.
È molto più probabile che si verifichi una violazione della password o un attacco di forza bruta rispetto a uno qualsiasi di questi problemi.
@baconface hai un riferimento per Flash che ha accesso agli appunti dell'utente senza alcuna interazione da parte dell'utente?secondo questo http://www.adobe.com/devnet/flashplayer/articles/fplayer10_uia_requirements.html richiede l'interazione dell'utente per ottenere gli appunti di sistema.
#9
+1
Micheal Johnson
2016-07-30 22:55:29 UTC
view on stackexchange narkive permalink

Altre risposte hanno fornito spiegazioni più approfondite, ma in breve ricorda che il rischio più grande per la sicurezza riguardo alle password proviene ancora dagli attacchi mirati ai server, non a un client. In altre parole, avere la tua password negli appunti non la mette davvero a molto rischio perché se la password venisse violata sarebbe più probabile che sarebbe stata violata da un database di password rubato dal server o addirittura forzata rispetto a quella rubata dagli appunti.

Ecco perché è significativo che, come altre risposte hanno sottolineato, impedire a un utente di incollare la propria password gli scoraggia dall'avere una password complessa, rendendo la password più facile da usare e quindi meno sicura.

#10
-3
distacle
2016-07-27 13:25:10 UTC
view on stackexchange narkive permalink

Penso che dipenda dai servizi che sono protetti dal modulo di accesso. È importante considerare che un gestore di password può limitare l'accesso al dispositivo in cui è installato il gestore di password, il che non è sempre ciò con cui il fornitore di servizi è d'accordo. Ad esempio, se il servizio era una banca che desidera offrire ai propri utenti la possibilità di bloccare le carte in caso di smarrimento o furto, potrebbe voler preservare questo privilegio nei casi in cui anche il dispositivo su cui è in esecuzione il gestore di password è stato perso o rubato.

Come può un gestore di password impedirti di accedere su un altro dispositivo?E la tua ultima frase è alquanto poco chiara.
Come ha sottolineato @AakashM, non vedo alcun motivo per cui l'utilizzo di un gestore di password mi impedirebbe di accedere da un dispositivo diverso.O installo anche il gestore pw su quel dispositivo, memorizzo la password o la digito.
Stai cercando di dire che una banca potrebbe non volere che gli utenti utilizzino i gestori di password perché non sarebbero in grado di accedere per annullare le loro carte se il computer fosse stato preso nello stesso furto?In tal caso, è necessario rimuovere l'ultimo "non" e trovare una frase chiara di "limitare l'accesso al dispositivo".
I gestori di password possono essere utilizzati per facilitare l'uso di password difficili da memorizzare.Quindi, renderli facili da usare potrebbe almeno ridurre la possibilità che gli utenti possano accedere senza il gestore delle password.
quindi @distacle stai suggerendo che alcune banche potrebbero voler _discoraggiare_ i propri utenti dall'utilizzo di gestori di password, o anche di password complesse, perché ... se la loro carta di credito E il computer sono stati rubati, potrebbero non essere in grado di accedere (su qualcun altrodispositivo) per denunciare il furto.Volevo solo essere sicuro di aver capito il tuo suggerimento.


Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 3.0 con cui è distribuito.
Loading...