Chrome no protege las contraseñas guardadas en el navegador

(cc) MDrX / Flickr

Una persona con acceso físico a tu computadora podría leer sin problemas las claves guardadas en el browser.

Al navegar por Internet y acceder a alguno de tus servicios, probablemente te habrás topado con un mensaje que dice "¿deseas que Chrome guarde tu contraseña?". ¿Cuántas veces has dicho que sí? ¿Qué pasaría si te dijeran que una persona que acceda a tu computador podría recopilar todas esas claves en texto plano sin ningún problema?

El diseñador Ellliot Kember sonó la voz de alarma denunciando que Chrome tiene una "estrategia de seguridad de passwords demente", y demostrando consecuentemente que ingresando una simple URL, una persona con acceso físico a tu máquina puede leer las contraseñas guardadas.

El tema ni siquiera podría considerarse una falla de seguridad, puesto que en realidad es una característica del navegador. Al ingresar a chrome://settings/passwords, aparece una lista con las contraseñas.

Inseguridad por tu seguridad

El jefe de seguridad de Chrome, Justin Schuh, salió a responder a la denuncia en Y Combinator, afirmando que Google no asegura las contraseñas para "no entregar a los usuarios una falsa sensación de seguridad e incentivar un comportamiento arriesgado. Queremos ser muy claros en que si le entregas a alguien acceso a tu cuenta de usuario del sistema operativo, pueden tener acceso a todo".

Según Schuh, si un atacante obtuvo acceso al equipo del usuario, entonces ya es demasiado tarde porque habría "demasiados vectores para que el atacante obtenga lo que quiere".

Sin embargo, en el mundo real la gente comparte computadores y muchas veces no se da cuenta de si dejó la sesión de Google abierta en su navegador o no. Acceder a las contraseñas almacenadas en Chrome le daría acceso a un atacante a las claves para Facebook, Twitter, y multitud de otros servicios en apenas algunos segundos.

Por otro lado, Chrome no advierte de manera clara que esta es su política de contraseñas. Otros navegadores como Firefox, Internet Explorer y Safari entregan a los usuarios la opción de ver sus contraseñas guardadas, pero incorporan sistemas adicionales de seguridad. El navegador de Mozilla recomienda a los usuarios que comparten un PC establecer un password maestro, mientras que Safari e IE piden una contraseña de sistema. Chrome no tiene ninguna de estas restricciones.

La respuesta de Schuh hizo enojar al inventor de la World Wide Web, Tim Berners-Lee, quien declaró en Twitter que la respuesta de Chrome "es decepcionante".

 

El asunto es complejo porque Chrome es a estas alturas uno de los navegadores más populares del mundo, y muchos usuarios no tienen idea de que sus contraseñas son accesibles de esta forma, ni tienen sus computadoras debidamente protegidas.

Link: Chrome's insane password security strategy (Elliott Kember)

powered byDisqus