Si tiene malware en su computadora, ninguna contraseña ingresada o almacenada puede considerarse realmente segura. Incluso las contraseñas cifradas, como las bases de datos KeyPass, tan pronto como ingrese los detalles necesarios para descifrarlo, el atacante puede recuperar sus contraseñas.
Los navegadores generalmente no prestan mucha atención a la seguridad de las contraseñas guardadas, al menos no con la configuración predeterminada.
Digamos que obtienes un troyano, que roba datos de tu PC. ¿Puede el troyano descifrar las contraseñas almacenadas por los navegadores y usarlas?
En una palabra: si. Los navegadores generalmente no cifran las contraseñas recordadas, por lo que pueden leerse con un esfuerzo trivial. De todos modos, el cifrado con una clave almacenada es inútil: si el navegador puede descifrarlo, otros programas que se ejecutan en la misma computadora pueden hacer lo mismo.
Estoy más familiarizado con Firefox, así que iré con eso.
Firefox te permite establecer una 'contraseña maestra'. Si lo hace, cifra las contraseñas almacenadas con la contraseña maestra. Sin embargo, por conveniencia, solo tiene que iniciar sesión con esta contraseña maestra una vez por sesión. Una vez que haya iniciado sesión, la información necesaria para descifrar las contraseñas guardadas se almacena en la memoria y se puede acceder a ella. Un enfoque más seguro y engorroso hubiera sido exigir que se ingresara la contraseña maestra cada vez que Firefox necesitaba buscar una contraseña guardada.
Incluso si las contraseñas guardadas estaban perfectamente encriptadas y completamente inaccesibles, deben ser desencriptadas e ingresadas en formularios web en algún momento. Lo que significa mantener las contraseñas, sin cifrar, en la memoria. En realidad, hay bastantes programas de ' reveladores de asteriscos ' diseñados para recuperar esas contraseñas de la memoria y, bueno, revelarlas. El malware teóricamente podría hacer lo mismo.
Y el malware también podría registrarlo, permitiendo que el atacante recupere cualquier contraseña que haya ingresado.
Hay un estudio muy profundo de seguridad de las contraseñas en los principales navegadores (IE, Chrome, FF) aquí . En resumen, tanto Chrome como IE10 dependen de las rutinas de cifrado de Windows, que se consideran sólidas. Sin embargo, no protegen contra otros programas que se ejecutan bajo el mismo usuario , es decir, son inútiles contra el malware. Una vez más, cualquier programa en ejecución (como administrador) puede obtener información de la memoria o de todas formas mediante el registro de teclas.
El método de encriptación es más importante cuando considera la posibilidad de robo de sus datos guardados para su posterior análisis, por ejemplo, alguien que se escabulle y le copia o le roba su computadora. En general, todos los navegadores modernos hacen un trabajo decente de protección contra esa forma de ataque. Se prefiere nuevamente Firefox con una contraseña buena y segura, ya que los datos cifrados de Windows se pueden recuperar iniciando sesión en la cuenta de usuario de Windows, y la contraseña de Windows ya no es completamente segura. Tenga en cuenta que nada de esto detendrá a un atacante muy determinado.
NirSoft proporciona una herramienta llamada "IEPassView" que puede descifrar Internet Explorer 8 y bajo contraseñas. La información del sistema para Windows puede hacer lo mismo; simplemente haga clic en la tecla en la parte superior.
NirSoft proporciona herramientas de "recuperación de contraseña" para muchos navegadores populares ( http://www.nirsoft.net/password_recovery_tools.html ); estos son una buena "prueba de concepto" para mostrar que el almacenamiento de contraseña incorporado no es seguro .
fuente
Lastpass y software como este son buenas respuestas convenientes. Si bien no le brindan seguridad total (aún debe hacer lo básico como firewall, antivirus, etc.) es una buena forma de administrar sus contraseñas. También debido al hecho de que está almacenado en la nube mágica, puede acceder a ellos desde cualquier lugar (a diferencia de algún software local donde tiene que almacenar en su máquina para acceder a él).
fuente