¿Qué tan seguro es el administrador de contraseñas en los navegadores?

13

Por ejemplo, Opera tiene una función de "varita mágica" que recuerda los nombres de usuario y la contraseña que escribió en varios sitios.

Digamos que obtienes un troyano, que roba datos de tu PC. ¿Puede el troyano descifrar las contraseñas almacenadas por los navegadores y usarlas?

Alex
fuente

Respuestas:

4

Los puntos señalados en la respuesta de Bob son todos válidos, por lo que no me molestaré en repetirlos; Sin embargo, pensé que un poco de información adicional también podría ser útil para algunos, ya que su pregunta es una preocupación válida.

  • La función Varita de Opera le permite especificar con qué frecuencia solicitar su contraseña maestra Preferences > Advanced > Security > Ask for passwordcon selecciones como "Una vez por sesión" (que, como señala Bob correctamente, limita su seguridad), "Cada x minutos / horas" (si no No importa jugar con los .iniarchivos, puede personalizar su propia frecuencia) y "Siempre que lo necesite" (obviamente, la opción más segura ya que su contraseña no se almacenará en la memoria durante su sesión de navegación). No uso Firefox pero puedo imaginar que hay una extensión similar disponible en alguna parte.

  • Los datos de Wand se almacenan en un archivo llamado, espere, wand.daten un formato que se puede descifrar con relativamente poco esfuerzo si no se utiliza una contraseña maestra; si se hace uso de una contraseña maestra, se cifra usando un componente aleatorio y su contraseña maestra con un algoritmo que actualmente se me escapa (debe ser fácil buscar sin embargo).

  • Si usa una contraseña para un sitio cuya seguridad es más importante para usted que el inicio de sesión promedio, simplemente puede elegir no guardar la contraseña .

  • Las pestañas privadas en Opera (o su equivalente en otros navegadores) le permiten almacenar los datos de sesión de esa pestaña por separado de las pestañas "normales", lo que puede agregar otra capa de seguridad.

  • El modelo de seguridad utilizado en Chrome y sus derivados (es decir, el sandboxing de cada pestaña en un hilo separado) le brinda una seguridad aún mayor.

  • Puede protegerse contra los keyloggers y cosas similares regularmente:

    • actualizar su software antivirus y firewall; y
    • cambiando sus contraseñas

Para resumir:

  • El nivel de seguridad de su navegador y el de sus inicios de sesión depende en gran medida de usted .

  • Si alguien fuera muy hábil e ingenioso, probablemente podría obtener sus datos eventualmente a pesar de todas las precauciones anteriores, pero haría que los datos de su navegador fueran mucho más seguros y elevaría el nivel de sofisticación requerido para descifrarlos significativamente.

Amos M. Carpenter
fuente
22
  • Si tiene malware en su computadora, ninguna contraseña ingresada o almacenada puede considerarse realmente segura. Incluso las contraseñas cifradas, como las bases de datos KeyPass, tan pronto como ingrese los detalles necesarios para descifrarlo, el atacante puede recuperar sus contraseñas.

  • Los navegadores generalmente no prestan mucha atención a la seguridad de las contraseñas guardadas, al menos no con la configuración predeterminada.


Digamos que obtienes un troyano, que roba datos de tu PC. ¿Puede el troyano descifrar las contraseñas almacenadas por los navegadores y usarlas?

En una palabra: si. Los navegadores generalmente no cifran las contraseñas recordadas, por lo que pueden leerse con un esfuerzo trivial. De todos modos, el cifrado con una clave almacenada es inútil: si el navegador puede descifrarlo, otros programas que se ejecutan en la misma computadora pueden hacer lo mismo.

Estoy más familiarizado con Firefox, así que iré con eso.

Firefox te permite establecer una 'contraseña maestra'. Si lo hace, cifra las contraseñas almacenadas con la contraseña maestra. Sin embargo, por conveniencia, solo tiene que iniciar sesión con esta contraseña maestra una vez por sesión. Una vez que haya iniciado sesión, la información necesaria para descifrar las contraseñas guardadas se almacena en la memoria y se puede acceder a ella. Un enfoque más seguro y engorroso hubiera sido exigir que se ingresara la contraseña maestra cada vez que Firefox necesitaba buscar una contraseña guardada.

Incluso si las contraseñas guardadas estaban perfectamente encriptadas y completamente inaccesibles, deben ser desencriptadas e ingresadas en formularios web en algún momento. Lo que significa mantener las contraseñas, sin cifrar, en la memoria. En realidad, hay bastantes programas de ' reveladores de asteriscos ' diseñados para recuperar esas contraseñas de la memoria y, bueno, revelarlas. El malware teóricamente podría hacer lo mismo.

Y el malware también podría registrarlo, permitiendo que el atacante recupere cualquier contraseña que haya ingresado.


Hay un estudio muy profundo de seguridad de las contraseñas en los principales navegadores (IE, Chrome, FF) aquí . En resumen, tanto Chrome como IE10 dependen de las rutinas de cifrado de Windows, que se consideran sólidas. Sin embargo, no protegen contra otros programas que se ejecutan bajo el mismo usuario , es decir, son inútiles contra el malware. Una vez más, cualquier programa en ejecución (como administrador) puede obtener información de la memoria o de todas formas mediante el registro de teclas.

El método de encriptación es más importante cuando considera la posibilidad de robo de sus datos guardados para su posterior análisis, por ejemplo, alguien que se escabulle y le copia o le roba su computadora. En general, todos los navegadores modernos hacen un trabajo decente de protección contra esa forma de ataque. Se prefiere nuevamente Firefox con una contraseña buena y segura, ya que los datos cifrados de Windows se pueden recuperar iniciando sesión en la cuenta de usuario de Windows, y la contraseña de Windows ya no es completamente segura. Tenga en cuenta que nada de esto detendrá a un atacante muy determinado.

Beto
fuente
Vale la pena notar que si usa un autenticador, las opciones de un atacante malicioso para robar sus contraseñas se reducen considerablemente.
o0 '.
1

NirSoft proporciona una herramienta llamada "IEPassView" que puede descifrar Internet Explorer 8 y bajo contraseñas. La información del sistema para Windows puede hacer lo mismo; simplemente haga clic en la tecla en la parte superior.

NirSoft proporciona herramientas de "recuperación de contraseña" para muchos navegadores populares ( http://www.nirsoft.net/password_recovery_tools.html ); estos son una buena "prueba de concepto" para mostrar que el almacenamiento de contraseña incorporado no es seguro .

Chris
fuente
Uhm ... eso es un poco engañoso, en realidad. No mencionó que herramientas como estas no funcionan para nada en los inicios de sesión protegidos por una contraseña maestra o necesitan la contraseña maestra para "descifrar" los detalles de inicio de sesión. Al menos esto va para Opera / Chrome / Firefox, no estoy seguro de lo que hace IE, es muy posible que esté allí.
Amos M. Carpenter
1

Lastpass y software como este son buenas respuestas convenientes. Si bien no le brindan seguridad total (aún debe hacer lo básico como firewall, antivirus, etc.) es una buena forma de administrar sus contraseñas. También debido al hecho de que está almacenado en la nube mágica, puede acceder a ellos desde cualquier lugar (a diferencia de algún software local donde tiene que almacenar en su máquina para acceder a él).

Grifo
fuente
1
Quisiera señalar, nuevamente, que esto no protegería contra el malware que se ejecuta localmente. En primer lugar, el malware podría interceptar su contraseña maestra Lastpass. La autenticación de dos factores puede proteger contra eso, pero luego podría filtrar las contraseñas en el proceso de escribirlas en la página web de destino. El hecho es que, si el malware se está ejecutando (elevado) en su máquina, sus datos no cifrados se atornillan. Y sus datos cifrados se atornillan tan pronto como intente acceder a ellos.
Bob
(Todavía es una buena sugerencia [yo personalmente uso Keepass, nada de esa basura de la nube], pero debo abordar el punto planteado en la pregunta.)
Bob
@Bob también existe el problema de que incluso en la máquina local el malware puede hacer lo mismo interceptando contraseñas. Copiar y pegar también se puede rastrear, por lo que a medida que usa una contraseña se rastrea. No hay una buena manera, la autenticación de 2 factores es REALMENTE difícil de superar.
Griffin
Sí, no digo que Keepass sea más seguro contra malware ejecutado localmente.
Bob