¿Por qué deberíamos evitar que los usuarios guarden sus contraseñas en su administrador de contraseñas?

10

Entiendo que hay algunos otros controles, como 2FA, para realizar transacciones en muchos sitios web de cuentas bancarias, mientras que solo los usuarios requieren un nombre de usuario y una contraseña para acceder a la cuenta.

Me di cuenta de que puedo guardar mi contraseña en el administrador de contraseñas de LastPass, mientras que en mi otra cuenta bancaria la desactivaron de alguna manera. Trabajando para una compañía financiera, me hizo considerar la creación de este tipo de protección: una opción para deshabilitar la opción para que los usuarios guarden sus contraseñas en sus administradores de contraseñas como LastPass.

Será muy fácil implementar este tipo de solución de cifrado del lado del cliente, pero me pregunto por qué estos bancos harían esta línea "extra" de protección de seguridad.

    
pregunta Filopn 29.09.2018 - 15:53
fuente

4 respuestas

38

NO HACER.

Las contraseñas únicas son uno de los aspectos más importantes de la seguridad de las contraseñas, ya que una violación en un sitio diferente no afectará a otros sitios para el mismo usuario.

Las contraseñas únicas por sitio son casi imposibles sin los administradores de contraseñas. Además, los administradores de contraseñas permiten una contraseña más larga. Por ejemplo, la mayoría de mis contraseñas son únicas, de 60 caracteres, que contienen caracteres especiales. Esta es manera más segura que las contraseñas de diez caracteres anteriores que empleé anteriormente, con mucha reutilización de contraseñas.

En resumen; su idea probablemente llevará a peor seguridad. Y enojará seriamente a los usuarios conscientes de la seguridad. En su lugar, siga las Pautas de NIST y no intente controlar cómo los usuarios ingresan la contraseña.

Además, dichos intentos de controlar la entrada pueden perjudicar a los usuarios con discapacidades. Es posible que los lectores de pantalla y los métodos de entrada alternativos no funcionen bien con las opciones de entrada personalizadas con script.

    
respondido por el vidarlo 29.09.2018 - 17:57
fuente
7

Como dijo vidarlo, debes NO hacer eso.

Además, los sitios web, donde los administradores de contraseñas no funcionan, no los deshabilitan por sí mismos, deshabilitan el pegado en los campos de contraseña.

Por lo general, inhabilitan el pegado de copia de contraseña porque consideran que debilita la seguridad:

  • el usuario puede pegar una contraseña que no conoce (irrelevante con un administrador de contraseñas)
  • en el registro, el usuario podría escribir mal la contraseña en el primer campo y pegarla en el campo "repetir contraseña", ambos campos coincidirán pero no contendrán la contraseña deseada (irrelevante con un administrador de contraseñas)
  • el portapapeles podría comprometer la contraseña (virus, acceso de otra persona ...), un punto justo, pero la reutilización de la contraseña / contraseña débil es un riesgo mayor y ya es muy común, mucho más que el rastreo del portapapeles

Además de reducir la seguridad, la opción "de desactivar la opción para que los usuarios guarden sus contraseñas en sus administradores de contraseñas" desactivando la copia / pegado de contraseñas no existe de ninguna manera.

¿Por qué? Debido a que esta "opción" se ejecutaría en el lado del cliente, y en el lado del cliente, su usuario puede evitar el pegado deshabilitado mediante:

  • agregar value="mySecretPassword" al campo de entrada de contraseña
  • eliminando onDrop=”false” y / o onPaste=”false” que puede haber incluido en el campo de entrada (aunque no será suficiente en la mayoría de los casos)
  • instalando varias extensiones de navegador
  • utilizando un administrador de contraseñas capaz de rellenar los campos de contraseña incluso si la función de pegado está deshabilitada (como Bitwarden)
respondido por el Theophany 30.09.2018 - 21:29
fuente
4

La mayoría de las otras respuestas dicen que los bancos no deberían hacer esto, con lo que estoy más de acuerdo. Sin embargo, voy a responder a la pregunta que hizo: ¿por qué algunos bancos hacen esto?

La respuesta es simple: muchos administradores de contraseñas han tenido vulnerabilidades o violaciones que filtran las contraseñas. Por ejemplo, esta falla en LastPass.

La razón por la que los bancos en particular intentan detener esto es porque generalmente son responsables si usted sufre un fraude en línea. Con la mayoría de los otros proveedores de servicios, si es descuidado con sus datos de inicio de sesión, solo usted es el que sufre, no el proveedor. Pero debido a que los bancos tienen responsabilidad en muchos escenarios, tienen una buena razón para evitar que las personas hagan cualquier cosa que consideren un riesgo.

    
respondido por el paj28 02.10.2018 - 15:20
fuente
1

De hecho, existen varias razones más o menos creíbles para deshabilitar el soporte para administradores de contraseñas en una aplicación web.

La principal es cuando utiliza una contraseña temporal (cambio forzado, contraseña de un solo uso, TAN, etc.). No quieres que el administrador de contraseñas lo almacene.

También es posible que desee evitar el autocompletado para proteger al usuario. Mientras que en teoría el administrador de contraseñas asegura su contraseña con una clave maestra fuerte, la mayoría de los usuarios en el mundo real usan una clave maestra vacía para su comodidad.

La detección de portapapeles y otros ataques ya se mencionaron, pero dependen de su modelo de amenaza (los keyloggers pueden ser un riesgo mayor que el malware snipo clipoard).

La desactivación podría estar dirigida a la acción de copiar, no principalmente a la acción de pegar, con la desactivación de pegar como efecto secundario.

    
respondido por el Tom 02.10.2018 - 14:47
fuente

Lea otras preguntas en las etiquetas