サインインしないままにする:最も安全な手順ですか?
プライベートネットワークまたはパブリックネットワークに接続するたびに、[サインインしたままにする]または[サインインしたままにする]オプションをオフにしてWebサイトにログインするので、ユーザー名とパスワードを再度入力するたびに、ブラウザと私のプライベートアカウント内を閲覧したい。
私がそうするのは、そのような方法が最も安全であると常に思っていたからです。なぜなら、それが私の保存されたパスワードの盗難のリスクを冒さないようにするためです。
しかし、それが他の種類のリスクを伴う可能性があるかどうか、そして私がどれほど心配する必要があるかについて疑問に思います(たとえば、キーボードで入力しているときに不要なkayloggerがパスワードを読み取る可能性を参照します) 、そしてそのようなリスクは、キーロガーが基本的にどのように機能するかを正しく推測すると、私が頻繁にログを記録するほど高くなります)。
私も気にしていない他の種類のシナリオについても心配しています。
安全な方法はどれですか? -> アカウントをログに記録する必要がありますかにログインするか、ログインしないか
ログインを維持するリスク:
- 問題のサイトが脆弱である場合、CSRFおよびXSS攻撃を使用してセッションが侵害される可能性があります。
- アプリケーションが弱いまたは予測可能なセッショントークンを使用している場合は、総当たり攻撃が行われる可能性があります。
- 物理的な攻撃(ノートパソコンの盗難など)により、ログインしているすべてのセッションへのアクセスが許可される可能性があります。これは、ディスク暗号化を使用するか、Chrome=攻撃時には、ログアウトして、 コールドブート攻撃 がメモリからキーを読み取らないようにします。
毎回パスワードを入力するリスク:
- 毎回ドメインとHTTPS南京錠を入念にチェックしない限り、フィッシングに対して脆弱になる可能性があります。
- キーロガーはパスワードを取得する可能性がありますが、これを実行するとマシンが危険にさらされるため、すでにパスワードを失っています。
ドメインが一致する場合にのみパスワードが入力されるため、ブラウザベースのパスワードマネージャを使用してフィッシングを軽減することをお勧めします。ただし、 ssl strip スタイルの攻撃(つまり、ドメインを検証しますが、プロトコルがHTTPSであることは検証しません。
パスワードマネージャーのリスク:
- プロンプトなしでパスワードボックスを自動入力すると、サイトが脆弱である場合にXSS攻撃によってパスワードが取得される可能性があります。
- あなたは王国への鍵を持つソフトウェアやサービスを信頼しています。
- クライアントソフトウェアまたはサーバー側のストレージ(該当する場合)の脆弱性に翻弄される可能性があります。
- マスターパスワードが侵害された場合、すべての卵が1つのバスケットに入る可能性があります。
ログインしたままにしないと、keyloggerが与える可能性のある損害が大きくなります。また、パスワードを常に思い出す必要があるため、パスワードははるかに単純になります。
ログインしたままにすると、ダメージが増加しますセッションスティーラーが与える可能性があります。
後者は、攻撃者が同じネットワークにいる場合にのみ使用できます。あなたがいつもあなた自身の安全なネットワークにいるなら、私は便宜上とリスクが無視できるのでログインしたままにします。
システムを最新の状態に保ち、ランダムなクラップウェアをインストールしたり、奇妙な添付ファイルを開いたりしないと、どちらの脅威も簡単に回避できます。