30Aug
¿Alguna vez ha guardado una contraseña en su navegador: Chrome, Firefox, Internet Explorer u otra? Entonces, es probable que cualquier persona que tenga acceso a su computadora pueda ver sus contraseñas mientras está conectado.
Los desarrolladores de Chrome y Firefox piensan que esto está bien, ya que debería impedir que las personas accedan a su computadora, pero es probable que esto ocurra.como una sorpresa para mucha gente
Cómo cualquier usuario con acceso a su computadora puede ver sus contraseñas
Asumiendo que deja su computadora conectada y alguien más la usa, puede abrir la página de Configuración de Chrome, ir a la sección Contraseñas y ver fácilmente cada contraseña que ha guardado.
Puede conectar contraseñas de Chrome: //settings/ en la barra de direcciones de Chrome para acceder fácilmente a esta página. Haga clic en un campo de contraseña y haga clic en el botón Mostrar: puede ver cualquier contraseña guardada en Chrome sin indicaciones adicionales.
Con la configuración predeterminada de Firefox, puede abrir su ventana Opciones, seleccionar el panel Seguridad y hacer clic en el botón Contraseña guardada. Seleccione Mostrar contraseñas y puede ver una lista de todas las contraseñas guardadas en Firefox en su computadora.
Firefox le permite establecer una "contraseña maestra" que se debe ingresar antes de poder ver o usar las contraseñas guardadas, pero está deshabilitada de forma predeterminada y Firefox no solicita a los usuarios que configuren una.
Internet Explorer no proporciona una forma integrada de ver sus contraseñas guardadas. Sin embargo, esta aparente seguridad es engañosa. Con una utilidad como IE PassView gratis, puede ver todas las contraseñas de IE guardadas para la cuenta de usuario actual. También puede ver las contraseñas sin instalar ningún software, solo visite un sitio web donde la contraseña se completa automáticamente y utilice algo como el marcador Reveal Passwords para revelar la contraseña que se ingresó automáticamente.
¿Qué está pasando aquí?¿Esto es una vulnerabilidad de seguridad?
Ha habido un debate furioso entre los geeks sobre si esto es realmente una vulnerabilidad de seguridad.¿Deberían los desarrolladores de Chrome( y los desarrolladores de otros navegadores, como Internet Explorer e incluso Firefox con su configuración predeterminada) cambiar este comportamiento?¿Los desarrolladores han traicionado a los usuarios, dado que los navegadores no advierten a los usuarios sobre este comportamiento?
Por un lado, hay algunos buenos argumentos para el comportamiento actual.
- Chrome e Internet Explorer protegen sus contraseñas guardadas con su contraseña de cuenta de usuario de Windows. Si no has iniciado sesión, tus contraseñas son inaccesibles. Si un atacante cambia la contraseña de su cuenta de Windows, sus contraseñas se vuelven inaccesibles. Suponiendo que usa una contraseña segura de Windows y bloquea su computadora cuando no la está utilizando, está teóricamente seguro.
- Si un atacante tiene acceso físico a su computadora o se está ejecutando un programa malicioso en segundo plano, podría registrar sus pulsaciones de teclas y obtener cualquier "contraseña maestra" utilizada para proteger sus contraseñas en Firefox o un administrador de contraseñas dedicado como LastPass. Una contraseña maestra en Chrome proporcionaría una falsa sensación de seguridad.
- Una contraseña maestra es un método de seguridad adicional que molestaría a los usuarios promedio, que optarían por deshabilitarla de todos modos. Los usuarios no querrían tener que ingresar una contraseña maestra antes de usar sus contraseñas guardadas.
- Si su navegador ya inició sesión en una cuenta en un sitio web, el atacante podría obtener acceso a su cuenta en ese sitio web si tienen acceso a su navegador.
Por otro lado, los usuarios no siguen prácticas de seguridad perfectas en el mundo real:
- Muchas personas comparten cuentas de usuario de Windows, configuran sus computadoras para iniciar sesión automáticamente o permiten que los invitados usen sus computadoras sin mirar por encima del hombro todo el tiempo. Esto hace que el acceso a las contraseñas guardadas sea trivial. Cualquier persona remotamente curiosa podría echar un vistazo a las contraseñas.
- Una contraseña maestra permitiría a los usuarios proteger aún más su base de datos de contraseñas, permitiéndoles guardar contraseñas sin preocuparse por los invitados que usan su computadora y estar tentados a echarles un vistazo.
- Muchas contraseñas de cuenta de usuario de Windows son extremadamente débiles, por lo que las contraseñas tendrían poca protección. Muchas personas tampoco bloquean sus computadoras cada vez que se alejan.
- Chrome proporciona múltiples perfiles de usuario, animando a los usuarios a compartir perfiles de Chrome en una sola cuenta de usuario, pero no proporciona ningún método para aislar estos perfiles y evitar que otros perfiles de usuario de Chrome accedan a otras contraseñas
- . Si un atacante tiene acceso a una cuentaen el sitio web pero no tenían su contraseña, no serían capaces de cambiar su contraseña o eliminar su cuenta.
- Los usuarios promedio probablemente esperan que sus contraseñas sean más difíciles de ver. No hay ninguna advertencia que les informe que cualquier persona con acceso a sus computadoras puede ver sus contraseñas guardadas, o que deben establecer una contraseña fuerte de Windows y bloquear sus computadoras cuando se alejen de ellas.
Entonces, ¿de qué lado está bien? Bueno, Chrome protege su contraseña si sigue los procedimientos de seguridad ideales. Dicho esto, Chrome( e IE y Firefox en su configuración predeterminada) tampoco proporcionan suficiente información a los usuarios sobre lo que está haciendo. En el mundo real, una contraseña maestra podría ser útil para muchas personas.
Cómo proteger sus contraseñas guardadas
Si le preocupan sus contraseñas guardadas, aquí hay algunos consejos que puede usar para protegerlos de las miradas indiscretas:
- Use un administrador de contraseñas dedicado, como LastPass. Estos administradores de contraseñas funcionan con todos los navegadores y proporcionan una contraseña maestra que bloquea el acceso a sus contraseñas cuando se desconecta. Es posible que los desarrolladores de Chrome no quieran darle la función de contraseña maestra, pero puede agregarla usted mismo mediante el uso de LastPass en lugar del administrador de contraseñas predeterminado de Chrome. Es una opción completa más poderosa, al igual que otros administradores de contraseñas como KeePass.
- Si usa Firefox, active la función de contraseña maestra. Esto está desactivado por defecto porque a los desarrolladores de Firefox no les gusta la experiencia del usuario, pero una contraseña maestra le permite "bloquear" su base de datos de contraseñas con una única contraseña principal. Luego puede compartir su cuenta de usuario con otras personas y no podrán ver sus contraseñas. Claro, podrían instalar un registrador de teclas mientras no miras, pero muchas personas que podrían estar tentadas a echar un vistazo a tus contraseñas no querrían llegar hasta el final con un registrador de claves. Esta es la razón por la que cerramos nuestras puertas: las cerraduras no son perfectas, pero mantienen honestas a las personas honestas.
- Si usa Chrome o Internet Explorer y desea seguir utilizando el administrador de contraseñas integrado, asegúrese de ejercer buenas prácticas de seguridad. Establezca una contraseña segura para la cuenta de usuario de Windows y bloquee su computadora cada vez que se aleje de ella. Alguien con acceso a su computadora mientras está conectado podría echar un vistazo rápido a sus contraseñas, especialmente con Chrome.
¿Desea información más detallada sobre cuán seguras son sus contraseñas guardadas en el navegador que utiliza? Echa un vistazo a nuestra visión en profundidad de la seguridad de las contraseñas de Chrome y la seguridad de las contraseñas de Internet Explorer.