30Aug

Comment empêcher les gens d'afficher les mots de passe enregistrés de votre navigateur

Avez-vous déjà enregistré un mot de passe dans votre navigateur - Chrome, Firefox, Internet Explorer ou un autre?

Les développeurs de Chrome et de Firefox pensent que c'est correct, car vous devriez empêcher les gens d'accéder à votre ordinateur en premier lieu, mais cela viendra probablementcomme une surprise pour beaucoup de gens.

Comment toute personne ayant accès à votre ordinateur peut voir vos mots de passe

En supposant que vous laissiez votre ordinateur connecté et quelqu'un d'autre l'utilise, ils peuvent ouvrir la page Paramètres de Chrome, accéder à la section Mots de passe et voir facilement chaque mot de passe.

Vous pouvez brancher les mots de passe chrome: //settings/ dans la barre d'adresse de Chrome pour un accès facile à cette page. Cliquez sur un champ de mot de passe et cliquez sur le bouton Afficher - vous pouvez voir n'importe quel mot de passe enregistré dans Chrome sans invites supplémentaires.

Avec les paramètres par défaut de Firefox, vous pouvez ouvrir sa fenêtre Options, sélectionner le volet Sécurité et cliquer sur le bouton Mots de passe enregistrés. Sélectionnez Afficher les mots de passe et vous pouvez voir une liste de tous les mots de passe enregistrés dans Firefox sur votre ordinateur.

Firefox vous permet de définir un "mot de passe principal" qui doit être saisi avant de pouvoir afficher ou utiliser les mots de passe enregistrés, mais cette option est désactivée par défaut et Firefox ne demande pas aux utilisateurs d'en créer un.

Internet Explorer ne fournit aucun moyen intégré pour afficher ses mots de passe enregistrés. Cependant, cette sécurité apparente est trompeuse. Avec un utilitaire comme l'IE PassView gratuit, vous pouvez voir tous les mots de passe IE enregistrés pour le compte d'utilisateur actuel. Vous pouvez également afficher les mots de passe sans installer de logiciel - visitez simplement un site Web où le mot de passe est automatiquement rempli et utilisez quelque chose comme le marque-page Reveal Passwords pour révéler le mot de passe entré automatiquement.

Que se passe-t-il ici? Est-ce une vulnérabilité de sécurité?

Un débat fait rage parmi les geeks quant à savoir s'il s'agit vraiment d'une faille de sécurité.Les développeurs de Chrome( et les développeurs d'autres navigateurs, comme Internet Explorer et même Firefox avec ses paramètres par défaut) devraient-ils changer ce comportement? Les utilisateurs ont-ils été trahis par les développeurs, étant donné que les navigateurs ne préviennent pas les utilisateurs de ce comportement?

D'une part, il existe de bons arguments pour le comportement actuel.

  • Chrome et Internet Explorer sécurisent tous deux vos mots de passe enregistrés avec le mot de passe de votre compte utilisateur Windows. Si vous n'êtes pas connecté, vos mots de passe sont inaccessibles. Si un attaquant modifie le mot de passe de votre compte Windows, vos mots de passe deviennent inaccessibles. En supposant que vous utilisez un mot de passe Windows fort et verrouillez votre ordinateur lorsque vous ne l'utilisez pas, vous êtes théoriquement en sécurité.
  • Si un attaquant a un accès physique à votre ordinateur ou qu'un programme malveillant fonctionne en arrière-plan, il peut enregistrer vos frappes et obtenir le mot de passe principal utilisé pour sécuriser vos mots de passe dans Firefox ou un gestionnaire de mot de passe dédié comme LastPass. Un mot de passe principal dans Chrome fournirait un faux sentiment de sécurité.
  • Un mot de passe principal est une méthode de sécurité supplémentaire qui gênerait les utilisateurs moyens, qui choisiraient de le désactiver quand même. Les utilisateurs ne voudraient pas avoir à entrer un mot de passe principal avant d'utiliser leurs mots de passe enregistrés.
  • Si votre navigateur était déjà connecté à un compte sur un site Web, l'attaquant pourrait accéder à votre compte sur ce site Web s'il a accès à votre navigateur. D'autre part, les utilisateurs ne suivent pas les pratiques de sécurité parfaites dans le monde réel:
    • De nombreuses personnes partagent des comptes d'utilisateurs Windows, configurent leurs ordinateurs pour se connecter automatiquement ou permettent aux clients d'utiliser leurs ordinateurs sans jamais regarder par-dessus leur épaule. Cela rend l'accès aux mots de passe enregistrés trivial. N'importe qui, même curieux, pourrait jeter un coup d'œil sur les mots de passe.
    • Un mot de passe principal permettrait aux utilisateurs de sécuriser davantage leur base de données de mots de passe, leur permettant d'enregistrer les mots de passe sans se soucier des invités utilisant leur ordinateur et étant tentés de les regarder.
    • De nombreux mots de passe de compte utilisateur Windows sont extrêmement faibles, donc les mots de passe n'auraient qu'une faible protection. Beaucoup de gens ne verrouillent pas non plus leurs ordinateurs à chaque fois qu'ils s'éloignent.
    • Chrome fournit plusieurs profils utilisateur, encourageant les utilisateurs à partager des profils Chrome sur un seul compte utilisateur, mais ne fournit aucune méthode pour isoler ces profils et empêcher d'autres profils utilisateur Chrome d'accéder à d'autres mots de passe de compte
    • Si un attaquant a accès à undans le site Web mais ne possédait pas votre mot de passe, ils ne seraient pas en mesure de changer votre mot de passe ou de supprimer votre compte.
    • Les utilisateurs moyens s'attendent probablement à ce que leurs mots de passe soient plus difficiles à voir. Il n'y a aucun avertissement les informant que toute personne ayant accès à leurs ordinateurs peut voir leurs mots de passe enregistrés, ou qu'ils devraient définir un mot de passe Windows fort et verrouiller leurs ordinateurs quand ils s'éloignent d'eux.

    Alors, quel est le bon côté?Bien, Chrome sécurise votre mot de passe si vous suivez les procédures de sécurité idéales. Cela dit, Chrome( et IE et Firefox dans sa configuration par défaut) ne fournit pas non plus assez d'informations aux utilisateurs sur ce qu'il fait. Dans le monde réel, un mot de passe principal pourrait être utile à beaucoup de gens.

    Comment protéger vos mots de passe enregistrés

    Si vous vous inquiétez de vos mots de passe enregistrés, voici quelques conseils que vous pouvez utiliser pour les protéger des regards indiscrets:

    • Utilisez un gestionnaire de mot de passe dédié, comme LastPass. Ces gestionnaires de mots de passe fonctionnent avec tous les navigateurs et fournissent un mot de passe principal qui verrouille l'accès à vos mots de passe lorsque vous êtes déconnecté.Les développeurs de Chrome ne veulent peut-être pas vous donner la fonction de mot de passe principal, mais vous pouvez l'ajouter vous-même en utilisant LastPass à la place du gestionnaire de mots de passe par défaut de Chrome. C'est une option plus puissante, tout comme d'autres gestionnaires de mots de passe comme KeePass.
    • Si vous utilisez Firefox, activez la fonction de mot de passe principal. Ceci est désactivé par défaut car les développeurs de Firefox n'aiment pas l'expérience utilisateur, mais un mot de passe principal vous permet de "verrouiller" votre base de données de mots de passe avec un seul mot de passe principal. Vous pouvez ensuite partager votre compte d'utilisateur avec d'autres personnes et ils ne pourront pas regarder vos mots de passe. Bien sûr, ils pourraient installer un enregistreur de frappe pendant que vous ne cherchez pas, mais beaucoup de gens qui pourraient être tentés de jeter un coup d'œil à vos mots de passe ne voudraient pas aller jusqu'au bout avec un enregistreur de frappe. C'est pourquoi nous verrouillons nos portes - les serrures ne sont pas parfaites, mais elles gardent les honnêtes gens honnêtes.
    • Si vous utilisez Chrome ou Internet Explorer et que vous souhaitez continuer à utiliser le gestionnaire de mots de passe intégré, assurez-vous d'appliquer de bonnes pratiques de sécurité.Définissez un mot de passe de compte d'utilisateur Windows fort et verrouillez votre ordinateur lorsque vous vous en éloignez. Quelqu'un ayant accès à votre ordinateur alors qu'il est connecté pourrait rapidement jeter un coup d'œil à vos mots de passe - en particulier avec Chrome.

    Vous voulez des informations plus détaillées sur la sécurité de vos mots de passe enregistrés dans le navigateur que vous utilisez? Jetez un coup d'œil à notre examen approfondi de la sécurité des mots de passe de Chrome et de la sécurité des mots de passe d'Internet Explorer.