¿Cómo implementan los administradores de contraseñas la integración segura del navegador? [cerrado]

Question

¿Cómo implementan los administradores de contraseñas la integración segura del navegador? [cerrado]

#1 de forest (4 votos)

2

Algunos administradores de contraseñas pueden completar automáticamente las contraseñas en el navegador del usuario. Pero para que este relleno automático sea seguro, deben asegurarse de que están colocando la contraseña en el campo de entrada correcto, además, la información no se filtra al software de terceros. Aquí hay algunas preguntas:

¿Cómo estos administradores de contraseñas identifican correctamente el campo de entrada de contraseña en una página web? Puede suceder que una página web contenga múltiples campos de entrada de contraseña. ¿Cómo sabe el administrador de contraseñas cuál debe completar? Si coloca la contraseña en el campo incorrecto, ¿es posible que la información se filtre (por ejemplo, por algunos controladores de eventos de JavaScript) incluso si el formulario aún no se ha enviado?
La mayoría de estos administradores de contraseñas vienen en forma de complementos del navegador. ¿Tiene el navegador algún mecanismo de seguridad para evitar que otros complementos accedan a la información de la contraseña, antes (cuando la información de la contraseña está en el complemento) y después (cuando la información de la contraseña en la página) se rellena?
Si hay una bóveda de contraseña local, lo más probable es que se almacene como un archivo en el sistema de archivos local del usuario. Dado que el administrador de contraseñas puede completar la contraseña en texto simple, el sistema local tiene suficiente información para recuperar la contraseña, independientemente de lo que realmente esté almacenado en la bóveda de contraseñas. Pero, ¿no podrían otros programas en el sistema local del usuario recuperar la contraseña?

password-management web-browser browser-extensions

pregunta Cyker 01.07.2018 - 18:15

fuente

1 respuesta

Lea otras preguntas en las etiquetas password-management web-browser browser-extensions

¿Cómo explotar binarios sin un gadget syscall o fuga de información en ASLR completo y NX? ¿Es un requisito la separación de tareas?

score 4 · Accepted Answer

¿Cómo estos administradores de contraseñas identifican correctamente el campo de entrada de contraseña en una página web?

Los campos de contraseña contienen input type="password" en el HTML para el campo de entrada. Esto le dice al navegador y cualquier extensión asociada que la entrada al campo debe ser tratada como sensible. Esto es lo que le dice al navegador que le avise si lo está enviando a través de una conexión no cifrada, y también lo que hace que la entrada se reemplace con puntos. De hecho, si edita la fuente de la página para eliminar esto, notará que los caracteres que ingresa ya no están ocultos. Una extensión del navegador también podrá acceder a esta información (normalmente se expone en la API de extensión), y la utiliza para determinar qué campos son campos de contraseña.

¿Tiene el navegador algún mecanismo de seguridad para evitar que otros complementos accedan a la información de la contraseña, antes y después de que se complete?

No. Cualquier otra extensión con permisos equivalentes tendrá exactamente el mismo acceso. Pueden ver exactamente lo que el administrador de contraseñas está escribiendo en el campo de entrada y podrán ver la contraseña que se está enviando. Sin embargo, no podrá leer la base de datos de contraseñas por sí misma, ya que una extensión no puede leer la base de datos local de otra extensión.

Pero, ¿no podrían otros programas en el sistema local del usuario recuperar la contraseña?

Sí, generalmente. Si bien se puede usar una contraseña maestra para cifrar estas contraseñas, un proceso local que se ejecuta bajo el mismo usuario podría secuestrar fácilmente el navegador para leer la clave maestra la próxima vez que se ingrese. Esto se debe a que el propósito de un administrador de contraseñas es simplemente permitirle usar contraseñas únicas para cada sitio web, de modo que no se arriesgue a reutilizar las mismas contraseñas en todas partes. Pueden agregar funciones útiles como la generación automática de contraseñas o el cifrado con una clave maestra para que alguien que robe su computadora no pueda iniciar sesión en sus sitios, pero ese no es su propósito principal.

Un administrador de contraseñas del navegador está diseñado para protegerse de algunas amenazas, específicamente:

Un sitio web malicioso o comprometido que puede ver la contraseña que proporcionó. Si usa la misma contraseña para ese sitio que para muchos otros sitios, ese sitio web podrá suplantarlo. Un administrador de contraseñas le permite generar y usar contraseñas seguras y únicas para cada sitio web en el que se registre. Un administrador de contraseñas basado en navegador simplemente facilita la integración con su experiencia de navegación web.
Un atacante que obtiene acceso sin conexión a su base de datos del administrador de contraseñas, como un ladrón de computadoras portátiles. Si el administrador de contraseñas usa una clave de cifrado maestra, que es la mayoría, el ladrón no podrá averiguar qué contraseñas está usando. Si el atacante es un proceso local que se ejecuta en la misma máquina, todas las apuestas están desactivadas. Los administradores de contraseñas no pueden y no pueden protegerse de tal amenaza. El correcto endurecimiento del sistema y las rápidas actualizaciones de seguridad lo harán.