¿Qué tan seguro está Chrome almacenando una contraseña?

Question

¿Qué tan seguro está Chrome almacenando una contraseña?

#1 de Meir Maor (135 votos)
#2 de Henno Brandsma (76 votos)
#3 de Elias (28 votos)
#4 de Teun (5 votos)
#5 de Daniel Grover (4 votos)
#6 de Christophe Roussy (3 votos)
#7 de Tgr (0 votos)
#8 de John Denniston (0 votos)
#9 de allo (0 votos)

122

Cada vez que ingreso un inicio de sesión en un sitio nuevo, Chrome me pregunta si debería almacenar los detalles de inicio de sesión. Solía creer que esto era bastante seguro. Si alguien encontró mi computadora desbloqueada, podría pasar la pantalla de inicio de sesión de algún sitio web usando los datos almacenados, pero si se le pide la contraseña nuevamente durante el proceso de pago, o si desea iniciar sesión en el servicio desde otro dispositivo, no estará disponible. De suerte.

Al menos, eso es lo que solía pensar cuando creía que el navegador no almacenaba la contraseña en sí, sino un hash o cifrado de la contraseña. Me he dado cuenta de que el navegador llena los campos de nombre de usuario y contraseña, y el campo de contraseña indica el número de caracteres en la contraseña.

Soy una de esas personas que, cuando se me pide que cambien su contraseña, solo conserva la misma contraseña, pero al final cambia un número. Sé que esto es malo, pero con la frecuencia con la que me piden que cambie las contraseñas, realmente no puedo recordar la cantidad de contraseñas que se esperan de mí. Esto da como resultado una gran cantidad de contraseñas que son las mismas, pero a veces me olvido de cuál debe ser el número final para un inicio de sesión en particular.

No pude recordar el número final para un inicio de sesión determinado, así que fui a un sitio web donde se almacenaba la contraseña. Borre el último par de caracteres y probé diferentes números y viola, sabía cuál era el número final correcto.

Me parece que este es un defecto de seguridad fundamental. Si puedo verificar el último carácter de mi contraseña sin verificar ningún otro, entonces la cantidad de intentos que se necesitan para descifrar la contraseña crece linealmente con el número de caracteres no exponencialmente. Parece un paso corto desde allí para decir que si alguien venía a mi computadora cuando estaba desbloqueada, un simple script podría extraer todas las contraseñas almacenadas para todos los sitios web principales para los que tengo almacenadas las contraseñas.

¿No es este el caso? ¿Hay algún otro nivel de seguridad que impida esto?

passwords encryption chrome

pregunta Tony Ruth 01.10.2017 - 19:23

fuente

9 respuestas

76

Chrome (bajo Windows) en realidad encripta las contraseñas cuando se almacena. Pero lo hace de manera que solo alguien que conozca su contraseña de inicio de sesión (o que secuestre su sesión de inicio de sesión) pueda usar o ver las contraseñas almacenadas. Esto está bien documentado (utiliza la llamada API de protección de datos (DPAPI), que se encuentra en Windows desde NT 5.0 (es decir, Windows 2000) en adelante, que en la actualidad usa AES-256 para cifrar los datos de la contraseña). Google cree que esto es suficiente seguridad, porque tiene el mismo nivel de protección que todo su inicio de sesión. En Mac o Linux, utilizan la tecnología nativa de llavero para proteger una contraseña maestra especial de Chrome, logrando el mismo efecto, esencialmente. Lea las fuentes para todos los detalles ...

Edge e IE (disponible solo en Windows, por supuesto) también usan esta tecnología, BTW, en un contenedor llamado Credential Store, en versiones recientes de Windows (y antes de eso usaron datos DPAPI almacenados en el registro). Para obtener más información sobre DPAPI, consulte aquí , e.g.

Consulte enlace para ver un ejemplo sobre cómo las personas extraen los datos de contraseña almacenados, conociendo sus credenciales de inicio de sesión.

respondido por el Henno Brandsma 02.10.2017 - 00:12

fuente

28

Por favor, por favor, ¡deja de reutilizar tus contraseñas!

En Firefox, puedes establecer una contraseña maestra que protegerá tus contraseñas almacenadas para que no se puedan ver. Esta contraseña maestra también será necesaria una vez por sesión antes de que el navegador comience a completar las contraseñas por usted.

También puede usar un administrador de contraseñas de propósito general, por ejemplo, Keepass .

De todos modos, para la mayoría de las personas, el peligro de perder una contraseña porque un sitio fue hackeado es mayor que perderlo en su propia computadora. Esto se debe a que un atacante con acceso a tu computadora tiene muchas otras opciones para atacarte. Una de las principales ventajas de usar un administrador de contraseñas es que ya no tiene que ingresar manualmente la contraseña para poder elegir contraseñas completamente aleatorias y seguras.

Si ha estado reutilizando contraseñas durante un tiempo, hay un sitio limpio para revisar algunas de las violaciones más importantes para ver si ha sido afectado: enlace

Si tiene que usar muchas máquinas diferentes, puede considerar usar algo como Keepass2Android en tu teléfono.

respondido por el Elias 02.10.2017 - 00:00

fuente

5

También puedes ver las contraseñas en Chrome cambiando el HTML. Cambie el tipo del campo de entrada a "texto" y podrá ver la información precargada en texto sin formato. Entonces, si alguien en tu computadora conoce un sitio web en el que estás registrado y Chrome rellena automáticamente tu contraseña, puede verlo.

respondido por el Teun 02.10.2017 - 17:04

fuente

4

Chrome es vulnerable al volcado de contraseñas. Hay muchas herramientas por ahí que volcarán las contraseñas de Chrome. LaZagne es una de ellas. Ni siquiera necesita privilegios de administrador o credenciales o nada.

Aparentemente, esto es tan simple como conectarse a la base de datos SQLite y luego llamar a Win32CryptUnprotectData para descifrar la contraseña.

enlace

Un usuario malintencionado puede simplemente ejecutar este volcado de contraseña o instalar malware y luego ejecutar esta herramienta de forma remota. Sin embargo, un usuario no técnico no podría realizar esta tarea. Por lo tanto, almacenar contraseñas en el navegador es seguro contra personas no técnicas, pero no es efectivo contra malware o usuarios técnicos.

respondido por el Daniel Grover 02.10.2017 - 21:21

fuente

3

El mayor peligro es tener un navegador sin una contraseña maestra y dejar su computadora sin bloquearla: cualquiera puede tomar una fotografía de las contraseñas almacenadas rápidamente, solo toma unos segundos. Así que lo obvio: siempre bloquee su computadora y establezca una contraseña maestra, no reutilice contraseñas o patrones similares ...

respondido por el Christophe Roussy 02.10.2017 - 14:08

fuente

0

Si le preocupa que alguien acceda a su computadora portátil mientras está conectado (p. ej., lo está usando en el trabajo o en un lugar público y, en ocasiones, lo deja sin vigilancia o no confía en un miembro de la familia), guardando la contraseña En un navegador no es una buena solución. Si está preocupado por el malware en su computadora (que podría capturar su escritura) o la gente que ve lo que escribe, es bastante seguro contra eso, y esas son preocupaciones mucho más comunes.

respondido por el Tgr 02.10.2017 - 09:36

fuente

0

Es bastante seguro que ningún mecanismo es 100% seguro, pero algunos mecanismos son más seguros que otros. En el nivel más simple, una contraseña larga es más segura que una contraseña corta, pero es más difícil de recordar y escribir correctamente. Lo que debe decidir es dónde se encuentra el equilibrio entre la seguridad y la facilidad de uso. Los administradores de contraseñas son una respuesta si la relación costo / riesgo se siente adecuada para usted.

Si no confía en ningún mecanismo que almacene su contraseña en su computadora, una forma de solucionar esto es usar un algoritmo para generar una para usted cada vez que la necesite. Resulta que utilizo un pequeño programa que implementa una variante de Playfair ( enlace ) para generar parte de mi contraseña para cualquier sitio. - Lo que tiene la ventaja de que puedo crearlo a mano si tengo que hacerlo. Sin embargo, evite los algoritmos triviales (como simplemente invertir las letras en un sitio web).

Muchas compañías requieren que cambie su contraseña periódicamente. Esto solía ser estándar, pero GCHQ ahora desaconseja la práctica (consulte enlace ), por la misma razón que usted menciona. Esperamos que este requisito se vuelva menos común con el tiempo.

respondido por el John Denniston 04.10.2017 - 15:01

fuente

0

Depende de tu plataforma.

En Linux, Chrome utiliza kwallet / gnome-keyring en el escritorio de KDE o gnome, lo que debería proporcionar una buena seguridad. En OSX utiliza el anillo de llaves OSX, que también tiene buena seguridad. En Windows implementan su propio almacenamiento de contraseñas, que no es tan seguro como los anillos de claves del sistema en el otro sistema operativo.

Para las debilidades específicas en la implementación de Windows, vea las otras respuestas.

respondido por el allo 05.10.2017 - 16:39

fuente

Lea otras preguntas en las etiquetas passwords encryption chrome

¿Cómo llega el ransomware a las computadoras de las personas? ¿Por qué no se descubrió antes el exploit KRACK? [cerrado]

score 135 · Accepted Answer

Chrome no solo almacena el texto de tu contraseña, sino que te la mostrará. En la configuración - > avanzado - > administre las contraseñas puede encontrar todas sus contraseñas para todos sus sitios. Haga clic en Mostrar en cualquiera de ellos y aparecerá en claro.

Las contraseñas de hash funcionan para el sitio que lo autentica. No son una opción para los administradores de contraseñas. Muchos cifrarán los datos localmente, pero la clave también se almacenará localmente a menos que tenga una configuración de contraseña maestra.

Personalmente, uso el administrador de contraseñas de Chrome y lo encuentro conveniente. Sin embargo, también tengo el cifrado completo del disco y bloqueo la pantalla con diligencia. Lo que hace que el riesgo sea razonable.

Pareces ser inconsistente (muchos lo son) al seleccionar contraseñas memorables y al usar un administrador de contraseñas. Y puedo aventurarme a adivinar que incluso puede repetir la contraseña o al menos el tema en muchos sitios. Esto te da lo peor de ambos mundos. Obtienes los riesgos del administrador de contraseñas sin los beneficios.

Con un administrador de contraseñas en el que confía, puede otorgar a cada sitio una contraseña aleatoria única que no será memorable en absoluto y obtener mucha protección contra muchos vectores de ataque muy reales. A cambio de un único punto de fallo de su administrador de contraseñas. Incluso con un administrador de contraseñas que no sea perfecto, esto no es un intercambio irrazonable. Con un buen administrador de contraseñas, esto se está convirtiendo en la mejor práctica de consenso.

Editar para agregar: lea Henno Brandsma responde explicando cómo se puede usar la contraseña de inicio de sesión y el soporte del sistema operativo para cifrar las contraseñas, esto brinda un nivel razonable de protección a sus contraseñas cuando la computadora está apagada / bloqueada (el cifrado completo del disco es mejor) y no ayudará mucho Si dejas tu computadora desbloqueada. Incluso si el navegador requiere una contraseña para mostrar las herramientas de depuración de texto sin formato, aún podrá ver las contraseñas ya llenas como comentarios de @Darren_H. La recomendación anterior sigue vigente, use contraseñas únicas aleatorias y un administrador de contraseñas.