Безопасность сессии в браузере

Модель безопасности современных браузеров предполагает, что машина пользователя является доверенной. Если от имени пользователя какой-то зловред может парсить файлы, копаться в оперативке браузерного процесса, имитировать в браузере действия пользователя и т.д., то проблемой это не является, т.к. адекватных способов защиты от всего этого (на стороне браузера) нет.

В таком случае использование менеджера паролей является бесполезным за исключением, когда на разных устройствах пользователь использует браузеры от разных поставщиков, которые нельзя синхронизировать между собой.

использование менеджера паролей является бесполезным

Но удобным.

Случайно сгенерированные пароли безопаснее, чем придуманные человеком

Факт, но современные браузеры умеют не только сохранять пароли в облаке, но и генерировать пароли во время регистрации. Не помню, когда такая фича появилась, но тут у браузера и менеджера паролей паритет. Я-то сам пользуюсь менеджером паролей, пароли хоть в браузере и храню, но любые синхронизации отключены. И вот пытаюсь понять, а зачем мне менеджер паролей теперь. Разве что хранить пароли не от сайтов.

для зловреда имеющего доступ к памяти пользовательских программ эквипенисуально какой у вас пароль сложный или простой :) с пароль-менеджером или без онного.
самый большой минус паролей - они где-то отдельно от вас лежат. у большинства пользователей в открытую на гулгосайте :)

для зловреда имеющего доступ к памяти пользовательских программ эквипенисуально какой у вас пароль сложный или простой :) с пароль-менеджером или без онного.

Естественно. Разница есть только на стороне сервера.

я использую «соль+хеш» и не храню пароли нигде кроме моей головы. неидально, но такой вариант показался лучше менеджера.

серверу до лампочки на размер твоего пароля. при размерах современных носителей что 20 символов, что 20 тысяч совсем незаметно.
и то большинство серверов хранят унифицированную хеш-подпись пароля, а не сами строчки символов.

серверу до лампочки на размер твоего пароля

Абсолютно. А вот тому, кто будет его подбирать - нет. И в словарь для подбора утекший пароль засовывать бесполезно, если он разовый.

большинство серверов хранят унифицированную хеш-подпись пароля, а не сами строчки символов.

Если что, я сам писал код, хэширующий пароли. Но на сервере могут оказаться мартышки, не знающие, что пароль надо хэшировать с солью, и что эту соль нельзя переиспользовать, а может и вообще в plain text все хранят.

для зловреда имеющего доступ к памяти пользовательских программ эквипенисуально какой у вас пароль сложный или простой :) с пароль-менеджером или без онного.

Нет. Как зловред свистнет пароль, который я на этой машине не расшфровывал? pass+yubikey

Перехват пароля опаснее перехвата сессии, так как многие сайты просят повторно вводить пароль при опасных операциях (например, GitHub просит повторно ввести пароль при удалении/передаче владения репозиторием), в том числе при смене пароля. Так что если увести пароль, то можно наворотить больше дел, в том числе, возможно, сделать аккаунт недоступным для тебя.

Ещё у некоторых сайтов короткие сессии, например, у банков. Так что там токен перехватывать имеет смысл только вот прям во время работы юзера и в этот же момент совершать зловредные операции, потом будет поздно.

Утёк пароль от аккаунта браузера или поломали сервер паролей и утекли все твои пароли. То есть ты завязываешься на безопасность одного внешнего сервиса. А в случае с менеджером паролей, во-первых, ты сам себе безопасность (всё зависит только от защищённости твоей локальной системы, причём надо понимать, что её компрометация всё равно приведёт к утечке паролей и из браузера, так что точек отказа становится тупо на одну больше), во-вторых, нужно стырить И мастер-пароль, И базу данных паролей, а не что-то одно (в случае паролей в браузере достаточно стырить логин-пароль учётки синхронизации, либо файлы профиля браузера - достаточно чего-то одного).

Мне кажется пароль от банка мало полезен, у банков везде MFA, разве нет? Как и у прочих критических сервисов. А вот скажем перехватить сессию AWS аккаунта и поднять майнеры крипты - дело выгодное, тем более Амазон до сих пор не удосужился ввести жёсткие лимиты на биллинг.

А увести аккаунт проблематично, так как в любой момент можно скинуть пароль и новый придёт на почту. Правда и она должна быть под контролем хакера, иначе он имеет дело с ИТ спецом и что-то выудить будет сложно.

Вы меня убедили очистить сохранённые пароли из браузера и поставить плагин для LastPass. Лишь бы он не был дырявым, достаточно много было историй, когда плагины пер епродавались и новый разраб плагина вставлял зловреды.