¿Qué tan segura es la autocompletar automáticamente la contraseña del navegador?

Navega tus respuestas
2

Safari, Chrome, Firefox, Edge e IE tienen una función de sugerencia de contraseña o función de archivo de contraseña.

  1. ¿Qué tan seguras son estas contraseñas cuando se almacenan en una computadora?

  2. Si se replica, ¿qué tan seguros están en el host de nube?

Supongo que 1Password, LastPass o cualquiera de las muchas aplicaciones de contraseñas tendrían esta información comparativa, pero no puedo ubicarla. Esta falta de información me hace pensar que los navegadores han mejorado su seguridad desde la última vez que investigué esto (a finales de los 90)

    
pregunta random65537 21.07.2016 - 16:54
fuente

3 respuestas

6

Por lo general, no es seguro en absoluto. Realmente depende de su modelo de amenaza, pero los datos generalmente se guardan:

  • sin cifrar,
  • cifrado con una contraseña conocida públicamente o
  • cifrado con una contraseña maestra dada por el usuario

En Windows (creo que 7 y más) Chrome utiliza una instalación de sistema operativo para el almacenamiento , que vincula el cifrado con el usuario registrado.

En los sistemas Linux, Chrome utiliza gnome-keyring o el equivalente en otros escritorios. El principio es el mismo que en Windows.

Firefox, por otro lado, evita el uso de las instalaciones del sistema operativo y se encarga de la criptografía y el almacenamiento en sí. Si establece una contraseña maestra, un atacante tendrá que aplicar la fuerza bruta para obtener las contraseñas guardadas (*) . Si no establece una contraseña maestra, se le proporcionará una y será la cadena vacía "". No es una contraseña muy buena si me preguntas.

En todos los casos, las contraseñas probablemente sean accesibles para un atacante con ejecución de código en el contexto del usuario actual.

En el caso de Firefox sin una contraseña maestra, las contraseñas también son accesibles para un atacante con acceso al archivo de la base de datos.

Este blog tiene Un análisis más profundo de los problemas.

(*) Como se señaló en los comentarios de Mrdeep, Firefox hace un mal trabajo de hashear la contraseña maestra , por lo que es fácil de aplicar por la fuerza bruta.

    
respondido por el GnP 26.07.2016 - 23:27
fuente
0

Una amenaza adicional del llenado automático del navegador es que es posible crear una página con campos invisibles, y cuando activa el llenado automático, estos se rellenan con sus datos personales sin su conocimiento y consentimiento.

    
respondido por el KOLANICH 26.08.2016 - 00:44
fuente
0

Como de costumbre, es una cuestión de en qué confías y qué amenaza quieres mitigar. Nunca debe almacenar contraseñas privadas en una computadora compartida, por ejemplo.

Si confía en que su navegador lea correctamente las URL (de todos modos, si no lo hace, ¡realmente no debería usarlo!) asume que solo llenará automáticamente una contraseña en el sitio correcto, por lo que el único problema es el almacenamiento de la contraseña en el disco.

Es tan seguro como (el más débil de los dos):

  • la implementación de cifrado utilizada por el navegador
  • la contraseña maestra que usa

siempre que cierre constantemente su navegador y / o bloquee la pantalla cuando salga de su computadora. De todos modos, esta última es una buena práctica a menos que la sala que contiene la máquina esté físicamente protegida.

Mi opinión es que puedo confiar lo suficiente en Firefox para almacenar la mayoría de mis contraseñas con una contraseña maestra global. No almacenaría una contraseña altamente confidencial, y para la parte del navegador, cuantos más complementos menos confianza ...

TL / DR: Mi opinión es que está bien para las contraseñas de uso general, no para las que dan acceso a información confidencial de seguridad nacional.

    
respondido por el Serge Ballesta 28.03.2018 - 15:45
fuente

Lea otras preguntas en las etiquetas

¿Por qué usar Linux en lugar de Windows para Pentesting? [cerrado] Mejores prácticas para tarjetas de fidelidad (código de barras y NFC)