Me sorprendió lo que se puede lograr con WebBrowserPassView . Básicamente muestra todas las contraseñas que he guardado en mi navegador (Chrome).
Supongo que otros usuarios en mi PC también podrían obtener mis contraseñas tan fácilmente. ¿Cómo aseguro mis contraseñas?
Realmente lo que deberías preguntar es:
¿Debo preocuparme de que pueda usar herramientas para ver las contraseñas almacenadas en mi navegador Chrome?
Y la respuesta a eso es ... Algo así. Realmente, la mejor manera de evitar que eso suceda es mantener los sistemas fortalecidos. Si alguien tiene acceso a esos datos, ya has perdido todo . Esto se debe a que, en ese momento, obtuvieron acceso a su sistema operativo / computadora en conjunto y pueden hacer lo que quieran. Tienen acceso a su navegador, lo que significa que pueden secuestrar sus sesiones fácilmente y hacer el daño que quieran sin tener que cerrar sesión en esa sesión. Esto se aplica a cualquier sesión abierta que tenga en su navegador en ese momento, independientemente del administrador de contraseñas que utilice.
Porque Chrome ya almacena tus contraseñas en el área de usuario cifrada de tu disco.
El uso real de una contraseña maestra como cifrado frente a las áreas ya cifradas de su sistema operativo no es más que un teatro de seguridad. Si obtienen ese tipo de acceso a su máquina donde pueden obtener ese archivo de todos modos, es un juego sobre el hombre. Tienen control total sobre todo tu sistema.
Manteniendo su computadora segura y protegida. No le dé acceso a personas en las que no confíe, no la deje desbloqueada, no use una contraseña débil y no la deje desbloqueada cuando se marcha. ¿Mencioné que no lo dejes desbloqueado si no lo estás utilizando?
Soy el jefe de tecnología de seguridad del navegador Chrome, por lo que podría ayudar si explico nuestro razonamiento aquí. El único límite de permiso seguro para el almacenamiento de su contraseña es la cuenta de usuario del sistema operativo. Por lo tanto, Chrome utiliza cualquier almacenamiento cifrado que el sistema proporcione para mantener sus contraseñas seguras para una cuenta bloqueada. Más allá de eso, sin embargo, hemos encontrado que los límites dentro de la cuenta de usuario del sistema operativo simplemente no son confiables, y en su mayoría son solo teatro.
Considere el caso de alguien malintencionado que obtiene acceso a su cuenta. Dicho tipo malo puede descargar todas las cookies de su sesión, obtener su historial, instalar una extensión maliciosa para interceptar toda su actividad de navegación o instalar un software de monitoreo de nivel de cuenta de usuario del sistema operativo. Mi punto es que una vez que el malo tuvo acceso a tu cuenta, el juego se perdió, porque hay demasiados vectores para que obtenga lo que quiere.
También nos han preguntado repetidamente por qué no solo admitimos una contraseña maestra o algo similar, incluso si no creemos que funcione. Lo hemos debatido una y otra vez, pero la conclusión a la que siempre llegamos es que no queremos brindar a los usuarios una falsa sensación de seguridad y alentar conductas riesgosas. Queremos dejar muy claro que cuando le concede a alguien acceso a su cuenta de usuario del sistema operativo, puede obtenerlo en todo. Porque en efecto, eso es realmente lo que obtienen.
Si ha guardado sus contraseñas en el almacén de contraseñas del navegador, entonces pueden leerse en el almacén de contraseñas del navegador, y no hay forma de evitarlo . La razón por la que las herramientas de Nir funcionan es que los fabricantes de navegadores no han prestado la debida atención al almacenamiento seguro, y usted no puede solucionarlo por sí mismo.
Su alternativa es cambiar a un administrador de contraseñas reales que use una extensión del navegador, como LastPass. (Hay otros que funcionan de la misma manera, pero LastPass es el único que uso, por lo que es el único sobre el que puedo escribir específicamente). LastPass almacena sus contraseñas cifradas con su contraseña maestra, por lo que no puede recuperarlas. utilizando una herramienta de terceros para leer el archivo de base de datos en el que están almacenados. También debe configurar la extensión del navegador para que le solicite la Contraseña maestra en el intervalo que mejor se adapte al uso de su computadora, de modo que alguien más no pueda navegar por su bóveda de contraseñas desde el navegador.
Si bien los administradores de contraseñas de terceros son teóricamente vulnerables a algunos de los mismos problemas que el mecanismo de almacenamiento incorporado, el hecho de que el almacenamiento de contraseñas sea su enfoque principal generalmente significa que hacen un mejor trabajo.
Lea otras preguntas en las etiquetas passwords web-browser windows chrome