Chrome Smart-Lock ¿qué tan débil es?

19

Estoy muy desconcertado con el Smart-Lock de Chrome. Parece que cualquier aplicación instalada en mi Windows puede acceder a TODA mi contraseña en un instante.

He instalado True Key para probar la aplicación. Esperaba que la aplicación estuviera fuera de línea, pero no lo está. Solo para el registro intenté "importar todos los inicios de sesión de Chrome". No tuve que pasar por Windows UAC, y True Key acaba de obtener todas mis contraseñas.

Estoy muy preocupado por este sistema y no entiendo cómo es posible que las personas usen ese tipo de sistema.

¿Qué entiendo mal de seguridad?

    
pregunta nowox 06.11.2017 - 12:05
fuente

2 respuestas

20

Chrome ofrece la posibilidad de completar las contraseñas automáticamente sin que usted, como usuario, tenga que ingresar ningún tipo de autenticación que no sea el inicio de sesión en la máquina. Esto significa que debe tener toda la información necesaria para acceder a las contraseñas almacenadas mientras se ejecuta en ese contexto.

Esto significa que cualquier otra aplicación que se ejecute en ese contexto (bajo su cuenta de usuario) también puede acceder a esa información.

Lo único que Chrome puede hacer es usar la protección a nivel del sistema operativo para evitar que otros usuarios lean sus datos. Bajo Windows utiliza la función CryptProtectData . Esto cifra los datos con sus credenciales de usuario de Windows, incluida su contraseña. Si olvida su contraseña, los datos no se pueden leer, incluso si un administrador la restablece (aunque con las contraseñas de Chrome, se realiza una copia de seguridad en línea y se recuperarán la próxima vez que inicie sesión con sus credenciales de Google).

  

¿Qué entiendo mal de seguridad?

Se debe asumir que cualquier software que se ejecute en su sistema con su propio usuario o administrador tendrá acceso a todo lo que usted hace. Si no pudo leer la contraseña del almacén de contraseñas, hay muchas otras formas de obtenerla. Desde el torpe (inicie chrome, apúntelo a chrome: // configuración / contraseñas y léalos de la interfaz de usuario) para extraer las contraseñas o la clave de la API de Google de la memoria de cromos mientras se está ejecutando o inyectando un certificado raíz falso y man in the middleing una conexión al sitio web donde se envía la contraseña.

    
respondido por el Hector 06.11.2017 - 12:38
fuente
2

Hay algunas cosas que debes considerar:

  • Un administrador de contraseñas es una herramienta de conveniencia, no una herramienta de seguridad. Si desea tener un administrador de contraseñas seguro, tendrá que mantener todo encriptado, lo que en realidad no se puede probar en este caso.
  • Usar un administrador de contraseñas siempre será más inseguro en comparación con no usar uno a menos que controle sus aspectos de seguridad , lo que no sucede. No sabe dónde se almacenan los datos, en qué formato y en qué consiste el proceso para acceder a ellos.
  • Smart-Lock no prueba que sea seguridad en ningún momento.
  • La criptografía y los detalles de la implementación deberían estar al menos documentados en alguna parte, pero no es lo que me hace dudar de las declaraciones oficiales de Chrome como "Sus contraseñas siempre están cifradas". No dicen "dónde" que realmente sucede: cuando se almacenan, cuando se sincronizan, cuando se usa el caché, cuando ocurren las comunicaciones generales, etc.
  • Una conclusión de DEFCON 2016 dice: 'Los consumidores no pueden evaluar las reclamaciones de seguridad hechas por las empresas. Necesitamos más investigadores que investiguen los reclamos de seguridad hechos por compañías en nombre de los consumidores ".
  • Todo se almacena en caché en un punto. Su navegador utilizará una gran cantidad de trans-caché, y cualquier aplicación específica por encima del promedio podrá leer desde allí.
respondido por el Overmind 06.11.2017 - 12:40
fuente

Lea otras preguntas en las etiquetas