Cómo evitar que las personas vean las contraseñas guardadas de su navegador
¿Alguna vez ha guardado una contraseña en su navegador: Chrome, Firefox, Internet Explorer u otra? Entonces, cualquier persona con acceso a su computadora podrá ver sus contraseñas mientras esté conectado..
Los desarrolladores de Chrome y Firefox piensan que esto está bien, ya que deberías evitar que las personas accedan a tu computadora en primer lugar, pero esto probablemente sorprenderá a muchas personas..
Cómo cualquier persona con acceso a su computadora puede ver sus contraseñas
Suponiendo que deje su computadora conectada y alguien más la use, pueden abrir la página de Configuración de Chrome, ir a la sección de Contraseñas y ver fácilmente cada una de las contraseñas que ha guardado.
Puede insertar Chrome: // settings / passwords en la barra de direcciones de Chrome para acceder fácilmente a esta página. Haga clic en el campo de contraseña y haga clic en el botón Mostrar: puede ver cualquier contraseña guardada en Chrome sin indicaciones adicionales.
Con la configuración predeterminada de Firefox, puede abrir su ventana de Opciones, seleccionar el panel de Seguridad y hacer clic en el botón Contraseñas guardadas. Seleccione Mostrar contraseñas y podrá ver una lista de todas las contraseñas guardadas en Firefox en su computadora.
Firefox le permite configurar una "contraseña maestra" que debe ingresarse antes de poder ver o usar las contraseñas guardadas, pero esto está desactivado de manera predeterminada y Firefox no solicita a los usuarios que configuren una..
Internet Explorer no proporciona ninguna forma integrada para ver sus contraseñas guardadas. Sin embargo, esta aparente seguridad es engañosa. Con una utilidad como el IE PassView gratuito, puede ver todas las contraseñas de IE guardadas para la cuenta de usuario actual. También puede ver las contraseñas sin instalar ningún software: solo visite un sitio web donde la contraseña se rellena automáticamente y use algo como el marcador de Revelar contraseñas para revelar la contraseña que se ingresó automáticamente.
¿Que está pasando aqui? Es esta una vulnerabilidad de seguridad?
Ha habido un debate entre los geeks sobre si esto es realmente una vulnerabilidad de seguridad. ¿Deberían los desarrolladores de Chrome (y los desarrolladores de otros navegadores, como Internet Explorer e incluso Firefox con su configuración predeterminada) cambiar este comportamiento? ¿Los desarrolladores han traicionado a los usuarios, dado que los navegadores no advierten a los usuarios sobre este comportamiento??
Por un lado, hay algunos buenos argumentos para el comportamiento actual.
- Chrome e Internet Explorer protegen sus contraseñas guardadas con la contraseña de su cuenta de usuario de Windows. Si no has iniciado sesión, tus contraseñas son inaccesibles. Si un atacante cambia la contraseña de su cuenta de Windows, sus contraseñas se vuelven inaccesibles. Suponiendo que usa una contraseña segura de Windows y bloquea su computadora cuando no la está usando, en teoría está seguro.
- Si un atacante tiene acceso físico a su computadora o si se está ejecutando un programa malicioso en segundo plano, podría registrar sus pulsaciones y obtener cualquier "contraseña maestra" utilizada para asegurar sus contraseñas en Firefox o en un administrador de contraseñas dedicado como LastPass. Una contraseña maestra en Chrome proporcionaría una falsa sensación de seguridad.
- Una contraseña maestra es un método de seguridad adicional que incomodaría a los usuarios promedio, quienes optarían por desactivarla de todos modos. Los usuarios no querrían tener que ingresar una contraseña maestra antes de usar sus contraseñas guardadas.
- Si su navegador ya ha iniciado sesión en una cuenta en un sitio web, el atacante podría obtener acceso a su cuenta en ese sitio web si tiene acceso a su navegador.
Por otro lado, los usuarios no siguen prácticas de seguridad perfectas en el mundo real:
- Muchas personas comparten las cuentas de usuario de Windows, configuran sus computadoras para iniciar sesión automáticamente o permiten que los invitados usen sus computadoras sin mirar por encima del hombro todo el tiempo. Esto hace que el acceso a las contraseñas guardadas sea trivial. Cualquiera que sea remotamente curioso podría echar un vistazo a las contraseñas.
- Una contraseña maestra permitiría a los usuarios asegurar aún más su base de datos de contraseñas, permitiéndoles guardar contraseñas sin preocuparse de que los invitados usen su computadora y se sientan tentados a mirarlos..
- Muchas contraseñas de cuentas de usuarios de Windows son extremadamente débiles, por lo que las contraseñas tendrían poca protección. Muchas personas tampoco bloquean sus computadoras cada vez que se alejan.
- Chrome proporciona múltiples perfiles de usuario, alentando a los usuarios a compartir perfiles de Chrome en una sola cuenta de usuario, pero no proporciona ningún método para aislar estos perfiles y evitar que otros perfiles de usuarios de Chrome accedan a otras contraseñas de cuentas.
- Si un atacante obtuvo acceso a un sitio web que ya inició sesión pero no tenía su contraseña, no sería capaz de cambiar su contraseña o eliminar su cuenta.
- Los usuarios promedio probablemente esperan que sus contraseñas sean más difíciles de ver. No hay ninguna advertencia que les informe que cualquier persona con acceso a sus computadoras puede ver sus contraseñas guardadas, o que deben establecer una contraseña segura de Windows y bloquear sus computadoras cuando se alejen de ellas..
Entonces, ¿qué lado es el correcto? Bueno, Chrome asegura tu contraseña si sigues los procedimientos de seguridad ideales. Dicho esto, Chrome (y IE y Firefox en su configuración predeterminada) tampoco brindan suficiente información a los usuarios sobre lo que está haciendo. En el mundo real, una contraseña maestra podría ser útil para muchas personas.
Cómo proteger tus contraseñas guardadas
Si está preocupado por sus contraseñas guardadas, aquí hay algunos consejos que puede usar para protegerlos de miradas indiscretas:
- Utilice un administrador de contraseñas dedicado, como LastPass. Estos administradores de contraseñas trabajan con cada navegador y proporcionan una contraseña maestra que bloquea el acceso a sus contraseñas cuando se desconecta. Es posible que los desarrolladores de Chrome no quieran darle la función de contraseña maestra, pero puede agregarla usted mismo usando LastPass en lugar del administrador de contraseñas predeterminado de Chrome. Es una opción más poderosa, al igual que otros administradores de contraseñas como KeePass.
- Si usa Firefox, habilite la característica de contraseña maestra. Esto está desactivado de manera predeterminada porque a los desarrolladores de Firefox no les gusta la experiencia del usuario, pero una contraseña maestra le permite "bloquear" su base de datos de contraseñas con una sola contraseña principal. Luego, puede compartir su cuenta de usuario con otras personas y no podrán echar un vistazo a sus contraseñas. Claro, podrían instalar un registrador de claves mientras usted no está mirando, pero muchas personas que podrían tener la tentación de echar un vistazo a sus contraseñas no querrían ir hasta el final con un registrador de claves. Por eso cerramos las puertas con llave: las cerraduras no son perfectas, pero mantienen honestas a las personas honestas.
- Si usa Chrome o Internet Explorer y desea seguir usando el administrador de contraseñas incorporado, asegúrese de ejercer buenas prácticas de seguridad. Establezca una contraseña de cuenta de usuario segura de Windows y bloquee su computadora cada vez que se aleje de ella. Alguien con acceso a su computadora mientras está conectado podría echar un vistazo rápido a sus contraseñas, especialmente con Chrome.
¿Desea información más detallada sobre la seguridad de las contraseñas guardadas en el navegador que utiliza? Eche un vistazo a nuestro análisis detallado de la seguridad de las contraseñas de Chrome y la seguridad de las contraseñas de Internet Explorer..