no haber iniciado sesión: ¿es el procedimiento más seguro?

Navega tus respuestas
3

cada vez que me conecto a una red privada o pública, me conecto a los sitios web manteniendo la opción "permanecer conectado" o "mantenerme conectado" sin seleccionar, por lo que tengo que volver a escribir mi nombre de usuario y contraseña tan a menudo como Vuelvo a abrir el navegador y quiero navegar dentro de mis cuentas privadas.

Hago eso porque siempre he supuesto que ese método es el más seguro, ya que espero que me proteja contra el riesgo de que me roben mis contraseñas guardadas .

Pero me pregunto si podría implicar algún otro tipo de riesgo y cuánto debería preocuparme (por ejemplo, me refiero a la posibilidad de que un kaylogger no deseado pueda leer mis contraseñas mientras se las escribe. en el teclado, y que ese riesgo se hace más alto cuanto más frecuentemente registro, si adivino correctamente cómo funciona básicamente un keylogger).

También me preocupa otro tipo de situaciones que desconozco también.

¿Cuál es el método más seguro? - > ¿Debo mantener mis cuentas registradas o no?

    
pregunta franz1 29.01.2016 - 16:10
fuente

2 respuestas

3

Riesgos de mantener conectado:

  • Los ataques CSRF y XSS podrían usarse para comprometer sus sesiones, si el sitio en cuestión es vulnerable.
  • Si la aplicación usa tokens de sesión débiles o predecibles, la suya podría ser forzada brutalmente.
  • Un ataque físico (por ejemplo, una computadora portátil robada), podría permitir el acceso a todas las sesiones registradas. Esto se puede mitigar con el cifrado del disco, o si con un navegador que encripta cookies como Chrome, se puede mitigar con una contraseña segura en su cuenta de sistema operativo. Ambas mitigaciones asumen que su computadora portátil está bloqueada / desconectada en el momento del ataque, preferiblemente desconectada para evitar que ataques de arranque en frío se lean la clave de la memoria.

Riesgos de escribir la contraseña cada vez:

  • Puede ser vulnerable al phishing a menos que verifique el dominio y el candado HTTPS con diligencia cada vez.
  • Los keyloggers pueden obtener su contraseña, aunque si lo hacen, su máquina está comprometida, por lo tanto, ya la perdió.

Sugeriría el uso de un administrador de contraseñas basado en el navegador para mitigar el phishing, ya que su contraseña solo se completará si el dominio coincide, aunque aún no he visto ninguna que proteja contra ssl strip ataques de estilo (es decir, validan el dominio, pero no que el protocolo sea HTTPS).

Riesgos de un administrador de contraseñas:

  • Si rellenan automáticamente los cuadros de contraseña sin preguntar, un ataque XSS podría capturar la contraseña en caso de que el sitio sea vulnerable.
  • Confía en el software o el servicio con sus llaves del reino.
  • Podría estar a merced de cualquier vulnerabilidad en el software del cliente o en el almacenamiento del lado del servidor (si corresponde).
  • Todos sus huevos podrían estar en una canasta si se compromete su contraseña maestra.
respondido por el SilverlightFox 29.01.2016 - 16:19
fuente
1

No permanecer conectado aumenta el daño potencial que podría hacer un keylogger . Además, sus contraseñas serán mucho más sencillas porque debe recordarlas todo el tiempo.

Mantenerse conectado aumenta el daño que un ladrón de sesiones podría infligir.

Este último solo se puede usar si el atacante está en la misma red. Si siempre está en su propia red segura, me mantendría conectado tanto por conveniencia como porque el riesgo es insignificante.

Ambas amenazas son fáciles de evitar si mantienes tu sistema actualizado, no instala crapware aleatorio y no abre archivos adjuntos extraños.

    
respondido por el AdHominem 29.01.2016 - 16:19
fuente

Lea otras preguntas en las etiquetas

La mejor forma de hash de contraseñas en PHP 5.3.5 Protección de la base de datos: externa e interna