Latest posts for the topic "Sự nguy hiểm của thói quen Remember Password trong Firefox hay IE"

Sự nguy hiểm của thói quen Remember Password trong Firefox hay IE

xnohat — GMT

Vấn đề này không mới và cũng không phải lỗi bảo mật thật sự nghiêm trọng, nó chỉ là vấn đề rủi ro xảy ra từ hành vi sử dụng phần mềm Hiện nay khi sử dụng máy tính, nhiều người dùng máy tính nghiệp dư thường có thói quen ẩn chứa nhiều rủi ro là bấm nút Remember khi đăng nhập vào một trang nào đó sử dụng form login

Nút remember hiện ra khi đăng nhập một form login trên Firefox

Bảng autocomplete password hiện ra khi đăng nhập một form login trên IE các trình duyệt đều có tính năng tương tự như 2 trình duyệt thông dụng trên Nguy cơ gì từ việc này ? Do Firefox hay IE lưu password của bạn theo dạng plain text ( firefox ) hoặc "dạng mã hóa có thể giải mã ngược lại" ( IE lưu password của bạn ngay trong registry ). Nên bất kì ai trong một dịp may mắn nào đó ( mà tôi cho rằng dịp may mắn này thường xuyên có thể xảy ra ví dụ như giờ nghỉ giải lao buổi trưa là cơ hội vàng :D ) có thể ngồi vào máy bạn hoặc truy cập từ xa vào máy bạn ( do bạn bị dính Trojan, backdoor ), hoàn toàn có thể đọc được các password mà bạn đã lưu một cách dễ dàng Bạn có thể dùng chính Firefox để coi password mà người dùng nó lưu trên máy bằng cách vào Tools -> Options -> Security -> Show Passwords Oh là la ra hết tất cả các pass đã từng được lưu lại

Với IE thì ta có công cụ IE Passview ( http://www.nirsoft.net/utils/internet_explorer_password.html )

Kết quả tương tự như trên Chú ý: trang nirsoft trên còn cung cấp 1 loạt công cụ view pass được "remember" trong Outlook, Opera, Chrome, Firefox, IE... ráo rọi luôn ;-) Còn bạn muốn nhanh hơn ? hiện một lúc hết ráo luôn ? Ta có PC Wizard một công cụ thường dùng để kiểm tra hoạt động của máy tính sử dụng Windows , công cụ này có một mục là Password nằm trong tab Configuration, khi chọt vào nó bạn sẽ thấy password của FF, IE , Opera,Chrome hiện lên cái rẹt Tới đây có nhiều bạn sẽ bảo là lấy mấy cái password chỉ dùng trên các trang web đó làm gì ? chỉ để vào chơi thôi à ? Nếu chỉ đơn giản vậy thì có lẽ tôi chẳng phải phải viết bài cảnh báo này làm gì.Lý do bởi vì có tới 75% người dùng thường sử dụng chung một password cho nhiều nơi khác nhau -1- . Khi có một password bị lộ tôi e rằng nhiều khu vực dữ liệu riêng tư khác sẽ bị thâm nhập dễ dàng. Đó còn chưa kể trường hợp mất password của email ( các web mail chiếm 99% nhu cầu sử dụng email trên thế giới ) sẽ dẫn tới việc mất kiểm soát nhiều tài khoản quan trọng khác ví dụ tài khoản quản trị Domain chẳng hạn, thậm chí bằng cách thâm nhập được vài mailbox ta sẽ dễ dàng tìm kiếm một loạt các email kích hoạt chứa password mặc định hoặc email forgot password Bằng một thử nghiệm nhỏ, một tối khoảng 9h , tôi ngồi tại một tiệm internet gần nhà, chạy các công cụ tôi nói ở trên, trong vài phút tôi đã lấy được user/pass của hơn 20 người khách trước đó đã sử dụng máy tính mà tôi ngồi ngày hôm đó. Với hơn 20 user/pass này tôi cho rằng mình đủ khả năng lừa đảo được một mớ không ít bạn bè của họ nếu tôi giả danh họ và yêu cầu bạn bè họ làm vài việc "có lợi" cho tôi. Các hành động "mở rộng" thâm nhập dựa trên việc lấy được một mật khẩu như ta nói ở trên, có thể được gọi là một dạng của "leo thang đặc quyền" ( Gain Privilege ), dĩ nhiên là phải hiểu một cách "rộng và thoáng" là đặc quyền ở đây là quyền truy cập tới các tài nguyên khác mà người tấn công muốn nhắm tới. Bảo mật phải kiện toàn cả mặt hành vi sử dụng của con người là vậy Thân mến, xNohat ----------------------------------- -1- http://www.securityweek.com/study-reveals-75-percent-individuals-use-same-password-social-networking-and-email

Sự nguy hiểm của thói quen Remember Password trong Firefox hay IE

Ky0shir0 — GMT

Cảm ơn bài biết hữu ích của xnohat. Ky0shir0 có một thắc mắc thế này: Đối với IE, Opera, và Chrome thì tớ ít dùng. Nói về Firefox, nếu tớ bỏ chọn Remember passwords trong Tools/Options/Security Sau đó dùng chế độ "Duyệt web riêng tư" thì có lộ passwords không nếu ai đó cố tình soi mói vào trình duyệt của tớ? Đây có phải là giải pháp cho nguy cơ mất pass của nohat nêu trong bài viết trên không? Regards

Sự nguy hiểm của thói quen Remember Password trong Firefox hay IE

vikjava — GMT

xnohat wrote:

Hiện nay khi sử dụng máy tính, nhiều người dùng máy tính nghiệp dư thường có thói quen ẩn chứa nhiều rủi ro là bấm nút Remember khi đăng nhập vào một trang nào đó sử dụng form login

Vậy thì mình là người sử dụng máy tính nghiệp dư rồi :-S . Theo xnohat thì ta nên làm thế nào để vừa đảm bảo độ an toàn, vưa đảm bảo không phải nhớ quá nhiều

Sự nguy hiểm của thói quen Remember Password trong Firefox hay IE

piloveyou — GMT

Thường chế độ trình diệt Firefox nó lưu pass nên mọi người dùng không để ý sẽ là cơ hội cho người khác. Bác post cái này là ok để anh em biết mà dùng.

Sự nguy hiểm của thói quen Remember Password trong Firefox hay IE

Ky0 — GMT

vikjava wrote:

xnohat wrote:

Hiện nay khi sử dụng máy tính, nhiều người dùng máy tính nghiệp dư thường có thói quen ẩn chứa nhiều rủi ro là bấm nút Remember khi đăng nhập vào một trang nào đó sử dụng form login
Vậy thì mình là người sử dụng máy tính nghiệp dư rồi :-S . Theo xnohat thì ta nên làm thế nào để vừa đảm bảo độ an toàn, vưa đảm bảo không phải nhớ quá nhiều

Cần phải tự tạo thuật toán sinh Password cho mình dựa trên mỗi tài khoản! Password phải đầy đủ ký tự hoa, thường và ký tự đặc biệt. Password thường gồm các phần: + + - Ky0 -

Sự nguy hiểm của thói quen Remember Password trong Firefox hay IE

keq9 — GMT

Với firefox có thể dùng master password để tránh việc bị soi pass

Sự nguy hiểm của thói quen Remember Password trong Firefox hay IE

xnohat — GMT

vikjava wrote:

xnohat wrote:

Hiện nay khi sử dụng máy tính, nhiều người dùng máy tính nghiệp dư thường có thói quen ẩn chứa nhiều rủi ro là bấm nút Remember khi đăng nhập vào một trang nào đó sử dụng form login
Vậy thì mình là người sử dụng máy tính nghiệp dư rồi :-S . Theo xnohat thì ta nên làm thế nào để vừa đảm bảo độ an toàn, vưa đảm bảo không phải nhớ quá nhiều

Hì hì chỉ cần có suy nghĩ là cần phải có nhiều password để mà lo lắng làm sao nhớ hết thì bồ đã thoát được 1 chân khỏi giới hạn "nghiệp dư" trong quản lý password Thứ nhất nên sử dụng password riêng cho từng account riêng biệt, tuyệt đối không dùng chung Thứ hai quản lý password bằng một trình Password Manager có hỗ trợ copy-paste password một cách an toàn ( tức là nó sẽ WIPE vùng nhớ chứa pass ngay sau khi quá trình paste hoàn tất ). Dùng chương trình password manager sẽ giúp bồ đơn giản hoá bằng việc chỉ phải nhớ 1 password duy nhất để truy cập vào ửng dụng quản lý password Đơn cử có ứng dụng Keepass ( http://keepass.info ) đáp ứng được nhu cầu này (nó là opensource) và nó cũng là phần mềm không cần cài đặt có thể copy lên USB để tiện di chuyển Thứ 3 luôn sao lưu cơ sở dữ liệu password ( đều đã dc phần mềm hỗ trợ mã hoá tự động rồi ) Bản thân tôi thì sử dụng giải pháp Password Keeper của smartphone Blackberry , khi cần thì lấy ra và trực tiếp gõ lại. Tôi cũng thường xuyên backup toàn bộ dữ liệu của Blackberry bằng công cụ tự động.

Sự nguy hiểm của thói quen Remember Password trong Firefox hay IE

xnohat — GMT

Ky0shir0 wrote:

Cảm ơn bài biết hữu ích của xnohat. Ky0shir0 có một thắc mắc thế này: Đối với IE, Opera, và Chrome thì tớ ít dùng. Nói về Firefox, nếu tớ bỏ chọn Remember passwords trong Tools/Options/Security Sau đó dùng chế độ "Duyệt web riêng tư" thì có lộ passwords không nếu ai đó cố tình soi mói vào trình duyệt của tớ? Đây có phải là giải pháp cho nguy cơ mất pass của nohat nêu trong bài viết trên không? Regards

hì hì tất cả vấn đề mà tớ đưa ra đều quy tụ về ở "lỗi hành vi" của người sử dụng các trình duyệt , nó gây ra nguy cơ chứ không phải chắc chắn sẽ gây nguy hiểm. Việc "vá" lỗi này hoàn toàn không khó, chỉ là sự chỉnh sửa lại "hành vi" khi sử dụng trình duyệt, sao cho giảm thiểu rủi ro bị đánh cắp password như bài tớ viết Cách mà bồ đưa ra cũng là một cách rất tốt để "vá lỗi" hành vi mà tớ đề cập :) . Tuy nhiên khi xét đến giải pháp ta cần xét cả khía cạnh "tiện ích" , phức tạp quá và đem lại nhiều rắc rối quá khi thực hiện cũng có cái hại của nó Cân đong đo đếm và lựa chọn giải pháp thích hợp phụ thuộc vào tính cách của mỗi cá nhân :)

Sự nguy hiểm của thói quen Remember Password trong Firefox hay IE

Ikut3 — GMT

Mọi người chỉ lo bảo vệ password thôi. Thế còn username thì sao ? . Trong khái niệm authentication (2factor) thì username = 50 % - password = 50% Ở đây ví dụ mình đặt user - pass thế này Code:

suamaydao - 123456elcaro

Mọi người có thấy username kia có gì lạ không ?

Sự nguy hiểm của thói quen Remember Password trong Firefox hay IE

huan_ng — GMT

Ky0shir0 wrote:

Cảm ơn bài biết hữu ích của xnohat. Ky0shir0 có một thắc mắc thế này: Đối với IE, Opera, và Chrome thì tớ ít dùng. Nói về Firefox, nếu tớ bỏ chọn Remember passwords trong Tools/Options/Security Sau đó dùng chế độ "Duyệt web riêng tư" thì có lộ passwords không nếu ai đó cố tình soi mói vào trình duyệt của tớ? Đây có phải là giải pháp cho nguy cơ mất pass của nohat nêu trong bài viết trên không? Regards

Đã kô nhớ thì làm sao mà soi nhỉ? Vì có gì mà soi.

Sự nguy hiểm của thói quen Remember Password trong Firefox hay IE

maithangbs — GMT

Mình đang nghịch ngợm cái chức năng Silently Autosave Passwords In Firefox, http://www.pctips3000.com/silently-autosave-passwords-in-firefox hôm qua thì bắt ngon mà hôm nay lại chả thấy gì nữa. Không biết có phải do FF đang download bản update không nữa. PS: Mình thì chỉ có pass quan trọng mới đặt riêng yahoo, HVA, Mediafire, ..., còn lại chơi một pass chung hết, mất cũng chả sao cả.

Sự nguy hiểm của thói quen Remember Password trong Firefox hay IE

tuewru — GMT

Sử dụng Master password để tránh được tình trạng bị ôi password nếu bất cẩn để người khác ngồi tại máy của mình Tương tự như các sản phẩm của Mozila như Thunderbird cũng nên sử dụng Master Password

Sự nguy hiểm của thói quen Remember Password trong Firefox hay IE

princedurian — GMT

nếu sau khi dùng Ctr+Shift+Del rồi chọn xoá hết sau khi dùng xong thì cũng được mà. mình nghĩ không đến nỗi phức tạp như mọi người nói đâu

Sự nguy hiểm của thói quen Remember Password trong Firefox hay IE

heroandtn3 — GMT

Ikut3 wrote:

Mọi người chỉ lo bảo vệ password thôi. Thế còn username thì sao ? . Trong khái niệm authentication (2factor) thì username = 50 % - password = 50% Ở đây ví dụ mình đặt user - pass thế này Code:
suamaydao - 123456elcaro
Mọi người có thấy username kia có gì lạ không ?

Không :D. Có điểm đặc biệt là user này xuất phát từ chữ ký của anh xnohat. Có gì lạ ở đây hả bạn?

Sự nguy hiểm của thói quen Remember Password trong Firefox hay IE

m2c — GMT

sax, hum nay em mới biết điều này. lần sau phải cẩn thận :(

Sự nguy hiểm của thói quen Remember Password trong Firefox hay IE

Ky0shir0 — GMT

Chào mọi người. Đối với trình duyệt Firefox, - Bỏ chọn Remember passwords trong Tools/Options/Security - Dùng chế độ "Duyệt web riêng tư" Theo như chủ đề này: XSS attack http://www.htmlzone.net/hvaonline/posts/list/6720.html Với cách chỉnh trình duyệt của Ky0shir0, có tránh được XSS attack không?

Sự nguy hiểm của thói quen Remember Password trong Firefox hay IE

dreamcatcher — GMT

Ở đây có bác nào dùng LastPass không ạ? Em thấy cái này dùng khá hay, đặc biệt với ai dùng Chrome do thằng Chrome này không có Master Password.

Sự nguy hiểm của thói quen Remember Password trong Firefox hay IE

xnohat — GMT

Ky0shir0 wrote:

Chào mọi người. Đối với trình duyệt Firefox, - Bỏ chọn Remember passwords trong Tools/Options/Security - Dùng chế độ "Duyệt web riêng tư" Theo như chủ đề này: XSS attack http://www.htmlzone.net/hvaonline/posts/list/6720.html Với cách chỉnh trình duyệt của Ky0shir0, có tránh được XSS attack không?

Topic em nói tới là về CSRF chứ có phải XSS đâu em :) Theo em việc em làm như trên giúp em tránh được CSRF hay XSS như thế nào ? ( em cứ nói trước theo ý kiến chủ quan của em )

Sự nguy hiểm của thói quen Remember Password trong Firefox hay IE

Ikut3 — GMT

heroandtn3 wrote:

Ikut3 wrote:
Mọi người chỉ lo bảo vệ password thôi. Thế còn username thì sao ? . Trong khái niệm authentication (2factor) thì username = 50 % - password = 50% Ở đây ví dụ mình đặt user - pass thế này Code:
suamaydao - 123456elcaro
Mọi người có thấy username kia có gì lạ không ?
Không :D. Có điểm đặc biệt là user này xuất phát từ chữ ký của anh xnohat. Có gì lạ ở đây hả bạn?

Cậu tô đậm user - password sau đó view source là thấy. Để rõ hơn cậu so sánh với cái này Code:

suamaydao - 123456elcaro

Mình nghĩ nó lạ đó :P

Sự nguy hiểm của thói quen Remember Password trong Firefox hay IE

freakmind — GMT

Ikut3 wrote:

heroandtn3 wrote:
Ikut3 wrote:
Mọi người chỉ lo bảo vệ password thôi. Thế còn username thì sao ? . Trong khái niệm authentication (2factor) thì username = 50 % - password = 50% Ở đây ví dụ mình đặt user - pass thế này Code:
suamaydao - 123456elcaro
Mọi người có thấy username kia có gì lạ không ?
Không :D. Có điểm đặc biệt là user này xuất phát từ chữ ký của anh xnohat. Có gì lạ ở đây hả bạn?
Cậu tô đậm user - password sau đó view source là thấy. Để rõ hơn cậu so sánh với cái này Code:
suamaydao - 123456elcaro
Mình nghĩ nó lạ đó :P

Mình nghĩ dùng non-breaking space như kiểu ikut chỉ đơn giản là một cái "trick", nó không giải quyết một cách tổng quát về vấn đề password. Theo mình thì để giải quyết vấn đề này chỉ đơn giản là secure cái máy mình dùng thôi (khi không dùng thì tắt hoặc lock lại), và tuyệt đối không để lưu password ở các máy khác máy cá nhân của mình. Mình đã từng thử dùng phần mềm auto-generate password cài trên usb một tgian nhưng cảm thấy khá là bất tiện #:S , nên rốt cục lại bỏ. P/S: với bản thân mình thì ngoài cái email dùng cho rất nhiều thứ như tk ngân hàng, credit... thì những cái còn lại như yahoo, account diễn đàn... với mình có mất cũng k sao :P

Sự nguy hiểm của thói quen Remember Password trong Firefox hay IE

Ikut3 — GMT

Nhưng cái vấn đề ở đây là khi Remember Password ở Firefox / Browers khác cũng không đọc được khoảng space kia, nó vẫn nhận là 1 khoảng trắng và như vậy cho dù 1 cách vô tình hãy hữu ý attacker có nhìn thấy cũng mất công mất sức cho việc đăng nhập Mình thử với ie + ff thì nó đều có khoảng trắng trong ô lưu trữ, chứ kô bị biến chuyển thành 1 kí tự nào rõ ràng hơn. Mọi người test xem sao Thân

Sự nguy hiểm của thói quen Remember Password trong Firefox hay IE

white95 — GMT

Dùng master password nó thỉnh thoảng lại hỏi bực mình lắm. Không biết có cách thủ công nào để mã hoá password của mình không nhỉ?

Sự nguy hiểm của thói quen Remember Password trong Firefox hay IE

learn2hack — GMT

dreamcatcher wrote:

Ở đây có bác nào dùng LastPass không ạ? Em thấy cái này dùng khá hay, đặc biệt với ai dùng Chrome do thằng Chrome này không có Master Password.

Có mình dùng :) Mình dùng LastPass để lưu giữ (và sinh ra) những password cho các website hay truy cập. Còn những website cần bảo mật cao như email, các tài khoản ngân hàng, ... mình dùng KeePass để lưu giữ. Như thế vừa giúp mình tiện đăng nhập khi vào các website ko mấy quan trọng mà vẫn bảo mật tốt. KeePass có cái hay là portable, hơn thế nữa, còn có 1 anh em của nó là KeePassX có thể chạy trên Linux được.

Sự nguy hiểm của thói quen Remember Password trong Firefox hay IE

dreamcatcher — GMT

white95 wrote:

Dùng master password nó thỉnh thoảng lại hỏi bực mình lắm. Không biết có cách thủ công nào để mã hoá password của mình không nhỉ?

Bạn dùng LastPass đi :D

Sự nguy hiểm của thói quen Remember Password trong Firefox hay IE

princedurian — GMT

Ikut3 wrote:

heroandtn3 wrote:
Ikut3 wrote:
Mọi người chỉ lo bảo vệ password thôi. Thế còn username thì sao ? . Trong khái niệm authentication (2factor) thì username = 50 % - password = 50% Ở đây ví dụ mình đặt user - pass thế này Code:
suamaydao - 123456elcaro
Mọi người có thấy username kia có gì lạ không ?
Không :D. Có điểm đặc biệt là user này xuất phát từ chữ ký của anh xnohat. Có gì lạ ở đây hả bạn?
Cậu tô đậm user - password sau đó view source là thấy. Để rõ hơn cậu so sánh với cái này Code:
suamaydao - 123456elcaro
Mình nghĩ nó lạ đó :P

xem cái đó như thế nào bạn nói rõ hơn được không?.xem ở đâu? xem như thế nào?

Sự nguy hiểm của thói quen Remember Password trong Firefox hay IE

dnv2006 — GMT

:) Trong đa số trường hợp Muốn an toàn thì phải rắc rối, muốn đơn giản thì lại tiềm ẩn nhiều nguy cơ. Thật sự là lưu username, password trong trình duyệt rất là tiện, nhất là các forum thường yêu cầu đăng nhập trước khi tải về các tài nguyên trên trang của họ. IE passviewe dường như là bản thu gọn một tính năng decoder password IE của Cain&Abel?

Sự nguy hiểm của thói quen Remember Password trong Firefox hay IE

Mr.skull — GMT

Dùng cửa sổ ẩn danh trong Chrome là ổn mà. Không bị lưu pass hay history, cache gì hết. Đỡ tốn công xoá :D