Algunos administradores de contraseñas pueden completar automáticamente las contraseñas en el navegador del usuario. Pero para que este relleno automático sea seguro, deben asegurarse de que están colocando la contraseña en el campo de entrada correcto, además, la información no se filtra al software de terceros. Aquí hay algunas preguntas:
-
¿Cómo estos administradores de contraseñas identifican correctamente el campo de entrada de contraseña en una página web? Puede suceder que una página web contenga múltiples campos de entrada de contraseña. ¿Cómo sabe el administrador de contraseñas cuál debe completar? Si coloca la contraseña en el campo incorrecto, ¿es posible que la información se filtre (por ejemplo, por algunos controladores de eventos de JavaScript) incluso si el formulario aún no se ha enviado?
-
La mayoría de estos administradores de contraseñas vienen en forma de complementos del navegador. ¿Tiene el navegador algún mecanismo de seguridad para evitar que otros complementos accedan a la información de la contraseña, antes (cuando la información de la contraseña está en el complemento) y después (cuando la información de la contraseña en la página) se rellena?
-
Si hay una bóveda de contraseña local, lo más probable es que se almacene como un archivo en el sistema de archivos local del usuario. Dado que el administrador de contraseñas puede completar la contraseña en texto simple, el sistema local tiene suficiente información para recuperar la contraseña, independientemente de lo que realmente esté almacenado en la bóveda de contraseñas. Pero, ¿no podrían otros programas en el sistema local del usuario recuperar la contraseña?