Rester non connecté: Est-ce la procédure la plus sûre?
chaque fois que je me connecte à un réseau privé ou public, je me connecte à des sites Web en gardant l'option "Restez connecté" ou "Tenez-moi connecté" non sélectionné. Je dois donc re-taper mon nom d'utilisateur et mon passwod aussi souvent que je rouvre le navigateur et veulent parcourir mes comptes privés.
Je fais cela parce que j'ai toujours supposé qu'une telle méthode est la très la plus sûre, car j'espère que cela me protège de la gestion du risque d'avoir mon mot de passe sauvegardé volé.
Mais je me demande si cela pourrait impliquer d'autres types de risques et combien je devrais m'inquiéter (par exemple, je me réfère à la possibilité qu'un indésirable kaylogger pouvait lire mes mots de passe lorsqu'ils sont saisis sur le clavier , et qu'un tel risque devient plus élevé, plus je me suis connecté, si je suppose correctement comment un keylogger fonctionne essentiellement).
Je suis inquiet d'acheter autre type de scénarios que je suis unware, aussi.
Quelle est la méthode plus sûre? -> Devrais-je garder mes comptes enregistrés dans ou devrais-je pas?
Risques de rester connecté:
- Les attaques CSRF et XSS pourraient être utilisées pour compromettre vos sessions si le site en question est vulnérable.
- Si l'application utilise des jetons de session faible ou prévisibles, vous pourriez être brute forcée.
- Une attaque physique (E.G. Ordinateur portable volée), pourrait éventuellement permettre l'accès à toutes vos sessions connectées. Cela pourrait être atténué à l'aide du cryptage de disque ou si vous utilisez un navigateur qui crypte des cookies comme Chrome== Il peut être atténué par un mot de passe solide sur votre compte OS. Les deux attentions supposent que votre ordinateur portable est verrouillé/déconnecté Au moment de l'attaque, de préférence déconnecté pour éviter attaques de démarrage à froid de lire la clé de la mémoire.
Risques de taper le mot de passe à chaque fois:
- Vous pouvez être vulnérable au phishing, à moins que vous ne vérifiez avec diligence le domaine et le cadenas HTTPS à chaque fois.
- Les Keyloggers peuvent obtenir votre mot de passe, bien que si vous le faites, votre machine est compromise donc vous avez déjà perdu.
Je suggérerais l'utilisation d'un gestionnaire de mots de passe basé sur le navigateur pour atténuer le phishing, car votre mot de passe ne sera renseigné que si le domaine correspond à ce que je ne l'ai pas encore vu pour protéger contre - Strip SSL Attaques de style ( C'est-à-dire qu'ils valident le domaine, mais pas que le protocole est https).
Risques d'un gestionnaire de mots de passe:
- S'ils sont automatiquement modifiés, une attaque XSS pourrait saisir le mot de passe si le site serait vulnérable.
- Vous faites confiance à votre logiciel ou service avec vos clés pour le royaume.
- Vous pourriez être à la merci de toutes les vulnérabilités du logiciel client ou du stockage côté serveur (le cas échéant).
- Tous vos œufs pourraient être dans un panier si votre mot de passe principal est compromis.
Ne pas rester connecté augmente les dommages potentiels A Keylogger pourrait faire. De plus, vos mots de passe vont être beaucoup plus simples car vous devez les rappeler tout le temps.
Rester connecté augmente les dégâts A Station Stealer pourrait infliger.
Ce dernier n'est utilisable que si l'attaquant est dans le même réseau. Si vous êtes toujours dans votre propre réseau, je resterais connecté à la fois pour plus de commodité et parce que le risque est négligeable.
Les deux menaces sont faciles à éviter si vous conservez votre système mis à jour, n'installez pas de cragware aléatoire et n'utilisez pas d'étrange pièces jointes.