Comments | xatkaru: Стоит ли сохранять пароли в браузерах

xatkaru

Стоит ли сохранять пароли в браузерах

Jan 24, 2022 09:47

В комментариях к моему постингу про (предполагаемый) взлом облачного сервиса хранения паролей LastPass, были вопросы о том, насколько можно доверять паролям, сохраняемым локально в браузере ( Read more... )

security

Comments 20

hvostat_hvostat January 24 2022, 15:39:05 UTC

Кстати!

Я таки поднял свою задницу и купил Yubikey 5 NFС.

xatkaru January 24 2022, 16:10:07 UTC

Ну и как опыт использования?

hvostat_hvostat January 24 2022, 16:12:50 UTC

Слушай, КАЙФ!

Реально, магия:

Введите пароль:
*****
Ага, а теперь ткните на кнопку на Юбикее
[тык]

Готово, вы авторизованы!

+ оно ж еще и NFC-шное.
Ставишь родную приложульку на айфон и уруру.

Да, отдельно подчеркну.
ИХ_НАДО_ДВА.

Если про....ть каким-либо образом ключик - то увлекательные приключения обеспечены.

hvostat_hvostat January 24 2022, 15:56:16 UTC

И, да.

KeePass чрезвычайно хорош тем, что умеет создавать композитный ключ.

Пароль + мастер-ключ файл.

jackindeed January 24 2022, 17:59:49 UTC

ну при оффлайн атаках к фс по идее все плохо, и хеш можно снять и пароли сбросить, и файлы подменить итп.

вроде даже билл гейтс говорил что при произвольном доступе к файловой системе все печально.

думаю, заведут какойнить Give COIN который будут выплачивать любителям помайнить в пулах вместо рассчета хешей - для расшифровки - и все что угодно можно будет подбирать при неограниченном количестве попыток и распараллеливании

xatkaru January 24 2022, 18:42:22 UTC

Так вопрос же не в 100% защите, а в том, чтобы усложнить злоумышленнику жизнь, чтобы он ушёл искать себе жертву попроще.
В этом плане KeePass предпочтительнее встроенного функционала хрома или фф.

jackindeed January 24 2022, 18:48:57 UTC

да, тут возразить нечего

donz_ru January 24 2022, 18:01:43 UTC

Хм... Спасибо.
Ничего ценного хрому сохранять не позволяю, конечно. Но вот уж не думал, что в гугле так рукожопно отнесутся к такой критичной функциональности. Тем более, что сделать не через жопу вроде как не то, чтобы слишком сложно.
При этом меня хром заставляет пароль вводить, чтобы пароли показать! Проще этой фиговиной пользоваться :) Хотя она на двадцатом сломалась.

morfizm January 24 2022, 20:34:28 UTC

Мне всегда казалось, что в операционке есть (должен быть) механизм этакого protected/encrypted per-user storage, шифруемого ключём, завязанным на пароль на логин. Тогда этот ключ не надо нигде сохранять, его достаточно генерить при логине и держать в RAM, где-то в kernel, и все "сохранённые пароли" приложений должны использовать этот storage.

Очень-очень удивлён, почему это не так.

xatkaru January 24 2022, 21:58:15 UTC

До того, как MS заменила IE на Edge (который, по сути, Chromium), сохраненные пароли защищались DPAPI, и это практически то, что вы сейчас описали.
Но это была старая технология, еще со времен Win2k, и у нее уже нашли кучу багов, которые периодически всплывают даже в Win10

https://book.hacktricks.xyz/windows/windows-local-privilege-escalation/dpapi-extracting-passwords
https://miloserdov.org/?p=4205

В MacOS аналогом является keyring/keychain, но многие браузеры игнорируют эту технологию

Под линуксом есть, например, GNOME Keyring, но из-за отсутствия стандартизации тоже мало кто ее использует

morfizm January 24 2022, 22:24:04 UTC

Вот дерьмо :(

Спасибо!

Займусь теперь тем, чтобы друзей и родственников отучать от паролей в браузерах и пересаживать на password managers. Я-то сам уже давно это сделал, но чисто на интуиции - не было убедительного аргумента, чтобы обосновать необходимость для окружающих.