Justin Schuh a défendu le raisonnement de Google dans le sillage de ce post détaillant le " découverte " (sic) que les mots de passe ont enregistré dans le Chrome peut être consulté en texte brut. Permettez-moi de le citer directement:
Je suis le Chrome responsable technique de la sécurité du navigateur, donc cela pourrait aider si j'explique notre raisonnement ici. La seule limite d'autorisation forte pour le stockage de votre mot de passe est le compte utilisateur du système d'exploitation. Donc, Chrome utilise le stockage chiffré fourni par le système pour protéger vos mots de passe pour un compte verrouillé. Au-delà de cela, cependant, nous avons constaté que les limites au sein du compte utilisateur du système d'exploitation ne sont tout simplement pas fiables, et le sont principalement théâtre.
Prenons le cas d'une personne malveillante ayant accès à votre compte. Ledit méchant peut vider tous vos cookies de session, récupérer votre historique, installer une extension malveillante pour intercepter toutes vos activités de navigation ou installer un logiciel de surveillance au niveau du compte utilisateur du système d'exploitation. Mon point est qu'une fois que le méchant a eu accès à votre compte, le jeu a été perdu, car il y a tout simplement trop de vecteurs pour qu'il obtienne ce qu'il veut.
On nous a également demandé à plusieurs reprises pourquoi nous ne prenons pas simplement en charge un mot de passe principal ou quelque chose de similaire, même si nous ne pensons pas que cela fonctionne. Nous en avons débattu maintes et maintes fois, mais la conclusion à laquelle nous arrivons toujours est que nous ne voulons pas fournir aux utilisateurs un faux sentiment de sécurité et encourager les comportements à risque. Nous voulons être très clairs: lorsque vous accordez à quelqu'un l'accès à votre compte utilisateur OS, il peut tout obtenir. Parce qu'en fait, c'est vraiment ce qu'ils obtiennent.
J'ai utilisé LastPass en supposant qu'il est meilleur et plus sûr que d'utiliser le gestionnaire de mots de passe intégré de Chrome. Il y a deux faits supplémentaires qui sont pertinents ici:
Avec ces données, toutes choses étant égales par ailleurs, LastPass est-il plus sûr que Chrome? Il semble qu'une fois qu'un logiciel malveillant pénètre sur mon système ou qu'un méchant y ait accès, cela n'a pas d'importance d'un point de vue théorique, je suis à 100% compromis. Est-ce vrai?
En outre, d'un point de vue pratique, l'un ou l'autre est-il plus susceptible d'être piraté dans la vie réelle? Existe-t-il certains vecteurs d'attaque plus courants ou plus performants qui fonctionneraient l'un ou pas l'autre?
PS: Je me fiche que mes amis, ma famille ou les novices aient accès à mon compte. Je pose des questions sur les pirates malveillants intelligents.
[~ # ~] note [~ # ~] Cette réponse peut être obsolète en raison des améliorations apportées à Chrome depuis cette la réponse a été écrite.
Tout d'abord, Chrome le fait cryptez vos mots de passe et autres données secrètes. Mais il existe différents aspects selon le paramètre, ainsi que quelques détails que vous devez garder à l'esprit.
Lorsque les mots de passe sont enregistrés localement sur votre ordinateur, Google tentera d'utiliser le coffre-fort de mots de passe local qui pourrait exister. Ainsi, par exemple, si vous êtes sous OSX, c'est le système Porte-clés . Si vous êtes sous Windows, c'est Windows Data Protection API (Microsoft a une compétence particulière pour nommer les produits), si vous êtes sur KDE, c'est Wallet , dans GNOME c'est Porte-clés Gnome .
Chacun de ces produits a ses propres implications qui méritent d'être notées. Par exemple, si vous synchronisez vos mots de passe sur un appareil OSX, ces mots de passe vont dans le trousseau (comme mentionné) qui a été renommé le trousseau iCloud - dont les implications sont exactement à quoi ils ressemblent: maintenant Apple connaît également vos mots de passe enregistrés et les synchronisera avec votre iPhone, votre iPad et tout autre appareil Apple. Cela peut être précisément ce que vous vouliez. Et peut-être pas. Soyez simplement conscient.
L'API Windows Exciting Names And Data Protection API Professional Edition ne possède pas de telles fonctionnalités. Vos mots de passe sont sur votre ordinateur et ils y restent jusqu'à nouvel ordre. Appelez-le à l'ancienne ou appelez-le sûr. Mais gardez à l'esprit que Microsoft a pour tradition de poursuivre Apple, et peut également décider de le faire ici.
En plus de toute synchronisation iCloud involontaire comme mentionné ci-dessus, Chrome synchronisera également vos mots de passe entre Chrome instances. Cela signifie envoyer vos données à Google. Oui, elles sont cryptées) .
Comment est-il chiffré? C'est à toi de voir. Vous pouvez soit utiliser votre compte Google (par défaut), soit définir une "phrase secrète de synchronisation" spéciale. Bien que je n'aie aucune connaissance particulière des caractéristiques internes de ces deux options, les implications semblent assez simples.
Si vous utilisez le mot de passe de votre compte Google, les mots de passe sont déchiffrés sans autre intervention de votre part. Notez que le réel mot de passe est en fait requis; l'accès au compte Google seul ne suffit pas. J'ai vu des situations où Chrome avait réussi à se connecter et à récupérer ses données de synchronisation via une autorisation externe, mais n'était pas en mesure de les décrypter avant d'avoir tapé le mot de passe Gmail d'origine. L'avantage, par conséquent , d'utiliser une "phrase secrète de synchronisation" distincte est de s'assurer que quiconque possède votre mot de passe Gmail (probablement Google, par exemple) n'aura pas votre mot de passe de synchronisation.
Le article geek.com mentionné soulève un point intéressant, mais ce point est traditionnellement argumenté à partir d'une position de ... illumination. C'est une position commune défendue par les "défenseurs de la vie privée" (en particulier le genre de ceux pour qui j'ai mis ce terme entre guillemets), mais les implications en matière de sécurité sont très, très, très claires et très certainement du côté de Google.
J'ai déjà écrit à ce sujet. Allez lire cette autre réponse, puis revenez. J'attendrai.
Continue.
OK, de retour? OK, voici les points critiques pendant qu'ils vous viennent à l'esprit: autocomplete=off
était une intervention ajoutée pour désactiver une fonctionnalité très dangereuse. Cette fonctionnalité n'est pas la sauvegarde de mot de passe dont nous avons parlé.
La fonctionnalité dont nous avons parlé aide utilisateurs. Cet autre était une tentative malavisée d'être utile en remplissant des formulaires en utilisant des choses que vous avez tapées sur les sites Web autres. Imaginez donc un assistant de saisie semi-automatique comme Clippy, mais avec de moins bonnes compétences sociales: "Je vois que vous essayez de vous connecter à Ebay; je vais simplement remplir votre identifiant de Yahoo et nous pouvons voir si cela fonctionne." Oui, nous avions des idées amusantes sur la sécurité dans les années 90. Vous pouvez voir pourquoi mettre autocomplete=off
dans tout ce qui concerne la sécurité, même à distance, est rapidement devenu un point central dans les audits de sites.
En comparaison, la saisie semi-automatique dont nous avons parlé est une solution d'amélioration de la sécurité très soigneusement contrôlée. Et si vous l'utilisez pour quelque chose du tout, voudrez-vous l'utiliser pour vos mots de passe les plus sécurisés? Pourquoi? Phishing.
Le phishing est littéralement l'attaque en ligne la plus dangereuse à laquelle vous êtes confronté. C'est super efficace et super dévastateur. Il n'obtient pas l'attention qu'il mérite car nous pointons toujours du doigt l'utilisateur stupide qui a donné son mot de passe à l'armée électronique syrienne. Mais se défendre contre le phishing est vraiment, vraiment difficile, et son exploitation est donc vraiment, vraiment facile. De plus, un exploit de phishing réussi a un potentiel de dommages illimité, jusqu'à l'arrêt complet. -des sinistres sortes d'entreprises.
Et pour vous protéger contre le phishing, votre meilleure arme est un gestionnaire de mots de passe intégré au navigateur. Il sait où vos mots de passe doivent être utilisés et vous empêche de les utiliser, sauf si vous en fait regardez le bon site. Il n'est pas dupe des domaines de ressemblance ou des graphiques de "sceau de site", il sait vérifier le certificat SSL et sait comment pour vérifier le certificat SSL. Il garde vos mots de passe verrouillés jusqu'à ce que vous soyez prêt à les utiliser et à regarder l'invite de connexion correcte.
Si le gestionnaire de mots de passe Chrome Chrome ignore le autocomplete=off
message? LA PLUS DEFINITIVE OUI.
Devriez-vous l'utiliser? Si vous utilisez LastPass, vous vous en tenez à cela. Mais cela devrait être considéré comme une alternative raisonnable si les mises en garde mentionnées ci-dessus ne vous dérangent pas.
Si vous n'utilisez pas tout gestionnaire de mots de passe, alors commencez à utiliser celui-ci maintenant. Il est sûr par toute mesure raisonnable, et en particulier, beaucoup plus sûr que pas l'utiliser.
En fin de compte, le point de Justin était le même que votre observation que même les mots de passe LastPass seraient 100% vulnérables aux logiciels malveillants présents sur votre machine. Votre machine est l'endroit où réside la sécurité ultime.
Le post d'Elliot Kember affirme que votre sécurité globale est accrue si vous avez besoin d'un mot de passe principal pour afficher d'autres mots de passe. Et il a un argument valable. Il y a certainement un avantage à réduire votre surface d'attaque, et son affirmation est que Google n'essaie même pas à cet égard. Elliot prétend que le "faux sentiment de sécurité" de Justin ignore l'élément humain, à savoir que 95% des personnes à qui vous pourriez prêter votre machine sont incapables de l'exploiter. Cependant, si vous prêtez votre machine à votre beau-frère sans valeur, il pourrait faire quelque chose de stupide qui vous expose à un virus - votre beau-frère ne vous exploite pas délibérément, mais il est un vecteur potentiel d'infection.
Dans l'ensemble, l'argument de Justin exploite également le comportement humain. Si Chrome permet à d'autres personnes de voir facilement vos mots de passe, vous seriez stupide de laisser quelqu'un d'autre l'utiliser sans surveillance étroite. Les deux parties ont des points valides.
Le problème inexprimé avec Chrome est qu'à moins que vous ne cliquiez sur une option de synchronisation avancée obscure, votre mot de passe de synchronisation est le même que votre mot de passe Google. Par défaut, Google a la possibilité de déchiffrer votre fichier de synchronisation et d'accéder à vos mots de passe. Vous avez maintenant étendu votre surface d'attaque pour inclure une confiance totale de Google pour protéger tous vos mots de passe. Google est-il digne de confiance? La réponse simple est de demander pourquoi Google voudrait jamais espionner vos mots de passe et risque de nuire à la confiance que les gens ont pour eux. Mais les remettent-ils aux autorités lorsqu'ils reçoivent un mandat et une lettre de sécurité nationale? Ces questions ont des réponses inconnues, mais elles concernent votre sécurité personnelle.
Vous pouvez cependant aller plus loin et améliorer réellement votre sécurité grâce à du matériel de confiance. Vous pouvez lier votre compte LastPass pour utiliser une YubiKey pour authentification à deux facteurs . C'est une clé USB qui agit comme un clavier, mais vous la gardez sur votre trousseau de clés à côté de votre clé de maison. Il fournit une chaîne apparemment aléatoire à Lastpass que Lastpass peut ensuite utiliser un algorithme pour vérifier, vous accordant l'accès à votre compte. Même sur une machine totalement pwned où les logiciels malveillants peuvent intercepter les mots de passe en utilisation active, tant qu'ils n'ont pas accès au presse-papiers ou que vous utilisez le plug-in de navigateur Lastpass, vos mots de passe sont sûrs.
Vous demandez comment être sécurisé en supposant qu'un acteur malveillant a démarré un processus sur votre système (ou détourné un autre processus avec son propre code) exécuté avec la "confiance des utilisateurs".
Sous Windows, vous pouvez déclencher vous-même cette action en - par exemple - en téléchargeant http://example.com/virus.exe
puis l'exécuter volontairement. Même si l'on ne vous demande jamais une invite UAC, votre système est toujours efficacement compromis.
Sous Linux, vous pouvez déclencher cette action en téléchargeant un binaire (ou même un script Shell, Ruby script, Python script, Java jar, etc.), en le rendant exécutable et en l'exécutant.
Le modèle de sécurité de la plupart des systèmes d'exploitation - en particulier ceux qui n'ont pas été configurés de manière très spécifique avec une politique de contrôle d'accès obligatoire stricte, qu'ils ne sont presque jamais prêts à l'emploi pour plus de commodité - est incapable d'atténuer un compromis à ce stade nivea.
Les vecteurs d'attaque potentiels suivants se présentent immédiatement sur Windows, Mac OS X, bureau GNU/Linux, bureau BSD, Android, iOS, etc., en supposant qu'un acteur malveillant est capable d'exécuter une forme de code avec la confiance des utilisateurs sur le système/l'appareil :
Compte tenu de cette liste de vecteurs d'attaque possibles, et probablement d'autres qui me manquent, il est impossible pour un "gestionnaire de mots de passe" d'empêcher activement l'une ou toutes ces méthodes d'être exploitées pour voler vos données ou vous faire croire que vous êtes sur un site Web légitime où vous soumettez alors à votre insu vos informations d'identification ou des informations personnellement identifiables à l'attaquant.
Disons-le de cette façon: si la contrefaçon de requêtes intersites et les scripts intersites ou Heartbleed sont comparables à avoir la porte grande ouverte, essayer d'avoir une sécurité significative dans un gestionnaire de mots de passe dans un scénario de programmes malveillants s'exécutant sous la confiance des utilisateurs, c'est comme essayer de dormir paisiblement quand vous pouvez voir un voleur dans votre chambre qui fouille dans vos objets de valeur personnels et met les objets intéressants dans un grand sac.
Pour moi, cela revient à dire que vous n'avez pas besoin de vous embêter à verrouiller votre voiture, car si quelqu'un voulait vraiment entrer, il casserait simplement une fenêtre.
Même si vous laissez votre session LastPass connectée (ce qui n'est pas conseillé si quelqu'un d'autre a accès à votre ordinateur), il est toujours plus fort de plusieurs façons que d'utiliser n'importe quel système où les clés sont stockées sur le disque (Chrome).
Les clés LastPass ne sont accessibles (en mémoire) que lorsque la session est connectée, tandis que les clés Chrome sont accessibles à tout moment si vous avez accès aux fichiers. Cela signifie que cette dernière est susceptible de une plus large gamme de vecteurs d'attaque:
Bien sûr, si vous laissez votre ordinateur déverrouillé et que quelqu'un s'approche et obtient tous les mots de passe, c'est de votre faute, mais au moins avec LastPass, vous avez la possibilité de verrouiller la session et de la rendre beaucoup plus impliquée.
Vous supposez que des "pirates malveillants intelligents" ont installé des logiciels malveillants sur votre système. Toute différence entre deux gestionnaires de mots de passe est marginale et purement une question de chance à ce stade, et non une garantie de sécurité conçue.
Si vous êtes préoccupé par la sécurité, passez à l'authentification à deux facteurs pour l'ensemble de la pile Google ET utilisez un Chromebook. Pas un Mac ni un PC Windows. Commencez avec gmail, lecteur, calendrier, etc.
Les Chromebooks se limitent à certains égards, mais sont beaucoup, beaucoup, beaucoup plus résistants aux menaces persistantes avancées. S'ils obtiennent une porte dérobée dans le réseau, ils peuvent intercepter le trafic de votre Chromebook, mais ils ne peuvent pas obtenir une présence persistante ou une porte dérobée dans votre appareil. C'est extrêmement difficile.
Je travaille pour une entreprise de cybersécurité. Tous nos employés sont constamment attaqués. J'ai fait un vidage de mémoire sur mon appareil Windows environ une fois par mois, puis une reconstruction. sans blague. très fatigant.
Le Chromebook était une excellente alternative. Plus sûr. Vous vous habituez à travailler dans des feuilles, doc, puis utilisez Excel, Word, pdf-Adobe comme archive pour le document à cet instant. Une façon de penser différente et meilleure. La collaboration est intégrée. Le calendrier fonctionne très bien. Une fois que vous vous serez habitué à l'approche différente pour commencer avec des documents collaboratifs, si vous le souhaitez, au lieu de versions constantes dans ms office, vous l'aimerez beaucoup. mais vous devez vous y habituer et c'est différent. différent n'est pas meilleur, différent est différent! alors soyez patient.
En tant que défenseur de LastPass au travail - la sécurité est largement équivalente entre Chrome et Lastpass en tant que gestionnaires de mots de passe.
LastPass conserve une clé de récupération dans les navigateurs par défaut (elle peut être désactivée), donc même si vous ne restez pas connecté, une personne ayant accès à votre compte peut réinitialiser l'accès si elle a accès à votre e-mail/SMS.
LastPass a de nombreux arguments de vente, une prise en charge multi-navigateurs, des fonctionnalités Enterprise, etc., mais je ne pense pas que l'un d'entre eux le rende plus sécurisé.
Le point de vente pour nous est qu'il offre des rapports d'entreprise de base. Je peux donc dire si mes utilisateurs utilisent LastPass, qu'ils ont 2FA et utilisent des mots de passe aléatoires (ou au moins tout aussi forts).
Vous pouvez désactiver le jeton de récupération, restreindre l'accès par pays, ajouter des périphériques à la liste blanche et activer 2FA, mais il s'agit toujours d'un plug-in de navigateur avec divers accès locaux complexes.