Topic: Sicurezza delle password

[yomo]

Salve a tutta la community.
Premetto che mi fido di firefox, forse un po' troppo:
ho installato chrome (tanto per provarlo) e mi sono reso conto che è riuscito ad importare tutte le password che avevo salvato su ff.
Se lo fa chrome lo può fare qualsiasi malware  ... o sbaglio?
Ora ho attivato "Utilizza una password principale" così sono più al sicuro?
Grazie
Davide

[Gioxx]

Utilizzare una password principale è sempre buona norma. Tu sei riuscito a importare le password da Firefox a Chrome perché hai fatto l'operazione sulla stessa macchina. Difficilmente qualcuno da fuori può entrare nel tuo PC, prelevarti il database password e riutilizzarlo

Se vuoi evitare questo tipo di rischi, ti consiglio di non utilizzare il gestore di password interno di Firefox (così come il gestore password di qualsiasi browser) e passare ad un applicativo stand-alone che faccia solo quel lavoro, ammesso che tu abbia un discreto quantitativo di credenziali da tenere al sicuro

[yomo]

Ciao Gioxx.
Eh sì l'ho fatto dalla stessa macchina. Ma in effetti quando prendi un troian si installa nella tua macchina e poi spedisce le informazioni all'esterno, e il guaio è fatto.
Comunque per la cronaca ho fatto una prova e chrome riesce ad importare le password anche se è impostata la password principale    e senza che venga chiesto nulla.
Trovo che questa sia una vulnerabilità estremamente grave.

[dgls]

Se usi LastPass dovresti incrementare il tuo livello di sicurezza...

[Sokak]

Tu sei riuscito a importare le password da Firefox a Chrome perché hai fatto l'operazione sulla stessa macchina

Con questa sibillina frase Gioxx intendeva dire che Chrome riesce a prendere le password da Firefox perché ha un meccanismo interno in grado di farlo, e Chrome quando lo fa viene eseguito con i privilegi del tuo utente

Mi spiego.

Ogni programma, eseguito in un sistema operativo decente, ha bisogno di avere i diritti necessari prima di poter eseguire una data operazione. Se è l'utente ad eseguire un programma, quel programma sarà in grado di avere accesso ai dati di quell'utente.

Se è per questo, anche Firefox sa "prendersi" i dati da internet explorer.

Sei su windows 7, quindi dovresti sapere a cosa serve l'UAC: se un programma proveniente da una zona non fidata (internet?) cerca di fare modifiche a parti vitali del sistema ti viene richiesto se vuoi proseguire con l'azione, e anche la password.

Cosa succederebbe se il controllo dell'UAC venisse spinto all'estremo, richiedendoti la password quando un programma richiede l'accesso ai file creati da un'altro programma?

Che ti verrebbe richiesta la password quando alleghi un file a un'email, quando apri in word una bozza scritta nel blocco note, e via dicendo.

E' normale che sotto uno stesso utente, i programmi possano interagire tra di loro.

Se non vuoi che le tue password di Firefox siano importabili da un altro browser che è stato creato con la capacità di farlo, l'unica altra via è fare quanto detto da Gioxx.

[yomo]

Se firefox crittografasse l'archivio con le password in maniera decente, potrebbe intervenire anche il grande Mazinga con la password di administrator e non le decifrererebbe mai (salvo che faccia un attacco di tipo dizionario o forza bruta).
Firefox fa bene tante cose ma non la gestione password, perchè sono accessibili in chiaro da altri programmi che girano con il mio privilegio di accesso e possono bypassare anche la password generale.
Quindi qualsiasi programma che sfrutti la credulità dell'utente o una vulnerabilità del sistema operativo (un troian per esempio) per essere eseguito con i privilegi dell'utente, può leggere le password, ritrasmetterle in rete e tanti saluti. Non è normale.
Concordo con Sokak e Gioxx che è necessario un software esterno serio per avere un livello di sicurezza accettabile io uso password corral.
Grazie a tutti per le risposte.

[yomo]

Siccome non credevo ai miei occhi ho riprovato e con la password principale Chrome è riuscito ad importare solo l'elenco dei siti, ma non le password!
Così va decisamente meglio.
Scusatemi.

[Sokak]

Io uso keepassx, é troppo comoda la funzione di autodigitazione sui siti ;P

quanto a quello che dici, suppongo dunque che si possa aprire un bug :0

Ma attendo pareri più esperti del mio a riguardo

[RNicoletto]

Io uso keepassx, é troppo comoda la funzione di autodigitazione sui siti ;P

Scusa l'OT ma di che funzione si tratta? Sul sito di KeePassX non ne parla.

[Gioxx]

Siccome non credevo ai miei occhi ho riprovato e con la password principale Chrome è riuscito ad importare solo l'elenco dei siti, ma non le password!
Così va decisamente meglio.
Scusatemi.

Questo è il comportamento standard.
Se invece fosse riuscito a importare anche le password nonostante la Master Password applicata al DB mi sarei preoccupato.

[Sokak]

[OT]

Scusa l'OT ma di che funzione si tratta? Sul sito di KeePassX non ne parla.

Sul sito la chiama Autofill, comunque



Praticamente, carica l'url immesso nella scheda della password, e simula la pressione dei tasti su tastiera (con diversi metodi a seconda dell'OS)

Ci azzecca quasi sempre, tu devi solo caricare la pagina dove immettere i dati in firefox, e poi muoverti a colpi di tab e freccette per "centrare" i campi user e pass, e poi compilare la sequenza di autofill. E' piuttosto intuitivo.

Ovviamente provvede poi lui a autocopiare e autoincollare i valori corretti nei campi, non vengono salvati in chiaro, nè trasmessi in chiaro al browser come pressione di tasti [/OT]

[RNicoletto]

Thanks!