Keep Me Logged In sau Remember Password? Care e mai sigur?


keep me logged inMulte din site-urile internet pe care trebuie să ne autentificăm cu user și parolă, ne intreabă:

  1. Keep Me Logged In? sau Ține-mă minte – adică dacă site-ul să ne țină minte sesiunea o perioadă de timp, astfel incât data viitoare când accesăm site-ul de pe același calculator / tabletă / smartphone, fără să ne mai ceară user și parolă
  2. Save Password? sau Memorează parola – adică dacă browser-ul ne oferă (dacă site-ul nu i-a spus să nu o facă) să memoreze combinația user și parolă pe o perioadă nelimitată, astfel încât la vizite ulterioare ale site-ului să ne autocompleteze câmpurile de utilizator și parolă. Da, site-ul poate cere browser-ului să nu ofere memorarea parolei pentru a spori securitatea conturilor utilizatorilor.

Care din cele două ajută mai mult și care e mai sigur?

În primul rând e important să înțelegem că ambele metode stochează ceva pe calculatorul nostru pentru a ne facilita vizitele ulterioare. Asta înseamnă că daca altcineva are acces la calculator cu userul și browser-ul cu care am folosit oricare din cele două variante, va obține acces în contul nostru. De aceea e bine să protejăm contul cu parolă.

Diferența majoră dintre cele două metode este că in cazul primei, se pot monta atacuri de tip Cross-Site Scripting (CSS) sau Cross-Site Request Forgery (CSRF), prin care să se fure identitatea sau să se efectueze cereri în numele utilizatorului, fără a avea acces fizic la calculator, totul prin intermediul browser-ului. Condiția este ca site-ul să aibă vulnerabilități de tip XSS sau CSRF, ceea ce e foarte probabil.

Prima metodă, de obicei implementată sub forma unei bife de tip “Keep Me Logged In” sau “Remember Me”, folosește așa numitul cookie, care nu e altceva decât un string de caractere asociat unui domeniu (ex: ideacity.ro) și stocat in browser pe o perioadă de timp ce poate fi limitată sau nelimitată.

A doua metodă, de obicei implementată printr-o întrebare pusă de browser utilizatorului când apasă butonul Login, salvează perechea utilizator + parolă in registry sau direct pe disk, criptat.

Băncile, folosesc de obicei pe site-urile de internet banking metode mai complexe decât banala pereche utilizator și parolă, protejându-ne de furtul identității atât prin browser cât și având acces local.

În concluzie, câteva recomandări:

  1. Nu folosim niciuna din metode pe calculatorul altcuiva;
  2. Pe site-urile accesate rar, e suficient să folosim a doua metodă (Save Password);
  3. Pe site-urile folosite frecvent dar care nu gestionează informații sensibile (ex: internet banking, webmail), putem folosi ambele variante, pentru scurtarea timpului de acces la site, fiind conștienți că ni se poate fura identitatea chiar și de la distanță prin browser.

Dacă aveți un site, il puteți inscrie gratuit și confidențial în campania de evaluare a securității site-urilor web.