¿Es seguro almacenar contraseñas en un navegador? [cerrado]

  

Estamos acostumbrados a almacenar contraseñas en los navegadores para cuentas de inicio de sesión en línea. ¿Dónde y cómo se guardan esas contraseñas y espero que estén cifradas?

Esto depende del administrador de contraseñas específico. Algunos pueden encriptar y otros pueden confiar en la seguridad de los sistemas. Algunos pueden almacenar las contraseñas solo localmente y otros lo almacenan en la nube para sincronizarse entre diferentes sistemas.

  

Normalmente, el navegador solicita credenciales (locales) cuando intentamos recuperar una contraseña manualmente (por ejemplo: Chrome).

Esto también depende del administrador de contraseñas. Algunos le preguntan si desea completar los datos, otros lo hacen sin preguntar. Algunos tienen una contraseña maestra que debes ingresar, mientras que otros no.

  

He visto que hay herramientas como Poison Tap donde puede explotar las sesiones del navegador en una máquina bloqueada. ¿Se pueden mejorar estas herramientas para explotar las credenciales web guardadas en un navegador?

Si la contraseña se completa automáticamente (es decir, sin preguntar al usuario) podría ser posible. Cómo depende exactamente del sitio, pero con sitios HTTP, las herramientas como PoisonTap pueden ayudar. En este caso, no importa mucho si el sistema se bloquea o no siempre que el tráfico pueda ser interceptado y modificado. Cuando se usa HTTPS, podría ser posible hacer lo mismo si hay un exploit XSS para el sitio.

  

En general, ¿qué tan seguro es guardar las credenciales en línea en un navegador?

Depende de la calidad y el comportamiento de los administradores de contraseñas y también de cuál sería la alternativa. Si la alternativa es usar la misma contraseña para todos los sitios porque no puede recordar otra, entonces la mayoría de los administradores de contraseñas probablemente brinden una mejor seguridad.

Consulte también el documento Administradores de contraseñas: ataques y defensas para obtener información más detallada.