Administración de contraseñas en Firefox, Chrome y Safari

5

Acabo de leer un par de discusiones muy interesantes sobre la estrategia de seguridad de contraseña de Chrome.

estrategia de seguridad de contraseña de Chrome

Mostrando las contraseñas almacenadas - Tim Berners-Lee

Lo siguiente es cómo Chrome, Firefox y Safari manejan el almacenamiento de las contraseñas y las contraseñas almacenadas:

Chrome utiliza el llavero OSX para almacenar contraseñas en forma cifrada. En Chrome, puede ir a la página de configuración de la contraseña y con un solo clic puede ver sus contraseñas.

Firefox no usa el llavero OSX para almacenar contraseñas en forma cifrada. En Firefox, tiene la opción de usar una contraseña maestra (no habilitada de forma predeterminada). Escriba la contraseña maestra al comienzo de cada nueva sesión y cada vez que quiera ver las contraseñas almacenadas.

Safari también utiliza el llavero OSX para almacenar contraseñas en forma cifrada. Sin embargo, en Safari, cuando desea ver las contraseñas, debe ingresar la contraseña de KeychainLogin. (Es una medida 'falsa', porque Keychain no requiere que las aplicaciones autenticadas ingresen la contraseña de KeychainLogin para recuperar las contraseñas almacenadas por ellos. Esto se puede ver cuando Safari recupera las contraseñas en los avisos de inicio de sesión del sitio web sin la necesidad de una contraseña de KeychainLogin .)

Dadas nuevas sesiones de Safari y Chrome y un usuario malintencionado que no conoce la contraseña de KeychainLogin. Safari, en efecto, no es seguro que Chrome porque el usuario solo puede cambiar el tipo de campo de contraseña a texto usando la herramienta de elemento de inspección y ver la contraseña.

Mi pregunta es:

1) Dado un atacante que no conoce la contraseña maestra de Firefox y una nueva sesión de Firefox (que aún no ha solicitado la contraseña maestra), ¿qué tan fácil / difícil es ver las contraseñas almacenadas?

2) Si la contraseña maestra de firefox es diferente a la contraseña de la cuenta de usuario del sistema operativo, ¿el hecho de saber la contraseña de la cuenta de usuario cambia algo?

Lo pregunto porque en una de las discusiones anteriores, el líder de tecnología de seguridad de Chrome dice:

  

Soy el jefe de tecnología de seguridad del navegador Chrome, por lo que podría ayudar si explico nuestro razonamiento aquí. El único límite de permiso seguro para el almacenamiento de su contraseña es la cuenta de usuario del sistema operativo. Por lo tanto, Chrome utiliza cualquier almacenamiento cifrado que el sistema proporcione para mantener sus contraseñas seguras para una cuenta bloqueada. Más allá de eso, sin embargo, hemos encontrado que los límites dentro de la cuenta de usuario del sistema operativo simplemente no son confiables, y en su mayoría son solo teatro.

     

Considere el caso de alguien malintencionado que obtiene acceso a su cuenta. Dicho tipo malo puede descargar todas las cookies de su sesión, obtener su historial, instalar una extensión maliciosa para interceptar toda su actividad de navegación o instalar un software de monitoreo de nivel de cuenta de usuario del sistema operativo. Mi punto es que una vez que el malo tuvo acceso a tu cuenta, el juego se perdió, porque hay demasiados vectores para que obtenga lo que quiere.

     

También nos han preguntado repetidamente por qué no solo admitimos una contraseña maestra o algo similar, incluso si no creemos que funcione. Lo hemos debatido una y otra vez, pero la conclusión a la que siempre llegamos es que no queremos brindar a los usuarios una falsa sensación de seguridad y alentar conductas riesgosas. Queremos dejar muy claro que cuando le concede a alguien acceso a su cuenta de usuario del sistema operativo, puede obtenerlo en todo. Porque en efecto, eso es realmente lo que obtienen.

    
pregunta Rohit Agarwal 26.08.2013 - 04:25
fuente

2 respuestas

4

Aquí hay dos problemas relacionados pero distintos: Chrome puede recuperar contraseñas sin autenticación adicional y las muestra a pedido. Tanto Elliott Kember como Tim Berners-Lee confunde estos problemas.

Que Chrome puede recuperar contraseñas sin pedirle al usuario que es inherente al uso de una instalación de sistema operativo para almacenar las contraseñas. Depende de la facilidad del sistema operativo hacer arreglos para autenticar al usuario o solicitar una autorización en el momento en que se solicita la contraseña, o no. Cifrar las contraseñas almacenadas no es más un trabajo del navegador que proporcionar almacenamiento de archivos o una pila de red: esto lo hace el sistema operativo y beneficia a todas las aplicaciones, no solo al navegador. Los usuarios pueden configurar políticas de retención y acceso en la aplicación de llavero, y esas configuraciones pueden aplicarse a elementos almacenados para otras aplicaciones que no sean Chrome (otros navegadores, almacenamiento compartido de red, FTP, SSH, PGP, ...).

Tim Berners-Lee parece estar defendiendo que los navegadores implementen una función de cifrado de contraseñas en la parte superior del sistema operativo. Eso es falso: ¿por qué un navegador haría eso? Firefox lo hace porque Mozilla lo hace porque Netscape lo hace porque fue escrito para sistemas operativos primitivos que no tenían esa característica. También hay una ventaja para el navegador que implementa su propio almacenamiento de contraseñas, que es que un perfil se puede copiar entre plataformas con las contraseñas almacenadas. Esto se debe equilibrar con el inconveniente de que el navegador implemente su propio almacenamiento de contraseñas, lo que rompe las expectativas de los usuarios que creen que sus secretos están protegidos por el sistema operativo. Si estoy ingresando contraseñas en OSX, esperaría que se almacenen en mi llavero, protegidas por la misma protección que el llavero (cifrado en disco con una contraseña maestra, inaccesibilidad cuando la pantalla está bloqueada, ...). Si mi navegador no usa esta protección, es una violación inesperada de la confianza de su parte.

Si un navegador debe almacenar contraseñas, debe poder recuperarlas. Si el navegador puede recuperarlos, también puede hacerlo cualquier otra aplicación. Entonces, cuando Elliott Kember se queja de que "no hay una contraseña maestra, no hay seguridad", esto no tiene ningún sentido. Las contraseñas ya están en el llavero, y cualquier aplicación puede recuperarlas. Chrome no está violando ninguna seguridad aquí: representa honestamente qué información está disponible. Elliott Kember afirma que la falta de elección es "profundamente engañosa", pero eso es completamente incorrecto: Chrome no tiene más opciones para poder acceder a las contraseñas que usted tiene la opción de no poder escuchar cuando alguien te está diciendo algo en voz alta. Usted puede tapar sus oídos y cantar "lalalala" en voz alta, pero eso no cambiará el hecho de que podría escuchar.

Elliott Kember reconoce que "la computadora ya no es segura en cuanto tienes acceso físico" y "así es como funciona la administración de contraseñas". Bueno, precisamente. Chrome está siendo transparente, lo que va en contra de su afirmación de que "Google no está seguro de la seguridad de su contraseña". Chrome es perfectamente honesto: puede acceder a las contraseñas y no oculta este hecho a los usuarios.

Elliott Kember aboga por que Chrome proporcione a los usuarios una falsa sensación de seguridad. Es bien sabido que un falso sentido de seguridad es el enemigo de la seguridad. Justin Schuh tiene razón.

Tim Berners-Lee hace otro punto. Él reconoce que es posible recuperar contraseñas, y se puede hacer descargando una aplicación simple si ninguno del software instalado en la computadora puede hacerlo fácilmente. Sin embargo, argumenta que esta capacidad no debería ser fácilmente accesible en una aplicación de apariencia legítima, ya que parece que mirar las contraseñas de otra persona es algo legítimo.

Si bien esto tiene sentido, en realidad no retiene el agua. Si estás cavando alrededor del perfil de alguien más, estás claramente husmeando. La contraseña de alguien no es más confidencial que su historial de navegación. Las personas no técnicas son más propensas a compartir su contraseña que su historial de navegación, y ese fue el caso antes de Chrome.

La única medida de seguridad que Chrome debería implementar es no arriesgarse a revelar accidentalmente contraseñas cuando el usuario legítimo tiene el control. Y ya lo está haciendo: tienes que hacer clic en un botón para mostrar cada contraseña.

Así que Chrome lo está haciendo bien. Sigue haciendo lo que estás haciendo.

    
respondido por el Gilles 26.08.2013 - 11:56
fuente
0

La mejor práctica de seguridad es que debe proteger su cuenta de computadora con una contraseña, bloquear la pantalla cuando no la tenga, y nunca permitir que nadie más use su cuenta. Si sigues esta mejor práctica, el modelo de Chrome tiene mucho sentido. Sus contraseñas guardadas son tan seguras como su cuenta de usuario, no más; nada menos.

Por supuesto, en la vida real las personas no siguen esta buena práctica de seguridad. De ahí el deseo de implementar alguna tecnología para que sus contraseñas guardadas sean más seguras que su cuenta de usuario. Hay algo de mérito en esto, pero hay un problema importante: si alguien tiene acceso a su cuenta de computadora, todas las apuestas están desactivadas. Pueden instalar malware que se ejecuta invisiblemente en segundo plano, monitorea todo lo que haces y permite el control remoto del atacante. Por supuesto, hacer esto requiere cierto grado de habilidad técnica.

Entonces, en última instancia, la decisión de implementar o no protecciones adicionales es una compensación entre la protección contra los atacantes no calificados y la falsa sensación de seguridad frente a los atacantes expertos. No creo que haya un correcto o incorrecto absoluto aquí, ambos campos pueden justificar su punto de vista.

Para responder a sus preguntas específicas:

1) Si el atacante tiene acceso a la cuenta del usuario (por ejemplo, no tiene bloqueo de pantalla) entonces es moderadamente difícil. Necesitan instalar malware que registrará la próxima entrada de contraseña y también extraer el archivo de contraseña guardado cifrado.

2) Por lo tanto, si el atacante no tiene acceso a la cuenta del usuario, esto depende de qué tan bien el sistema operativo protege esa cuenta. Si la protección es sólida, el atacante simplemente no puede acceder a las contraseñas guardadas.

    
respondido por el paj28 27.10.2013 - 14:25
fuente

Lea otras preguntas en las etiquetas