30Aug

Come impedire alle persone di visualizzare le password salvate del browser

Hai mai salvato una password nel tuo browser: Chrome, Firefox, Internet Explorer o un'altra? Quindi le tue password sono probabilmente visualizzabili da chiunque abbia accesso al tuo computer mentre sei loggato.

Chrome e gli sviluppatori di Firefox pensano che sia tutto a posto, in quanto dovresti impedire alle persone di accedere al tuo computer in primo luogo, ma questo probabilmente accadràcome una sorpresa per molte persone.

In che modo chiunque abbia accesso al tuo computer può visualizzare le tue password

Supponendo che tu lasci il tuo computer connesso e qualcun altro lo usi, puoi aprire la pagina delle impostazioni di Chrome, andare alla sezione Password e visualizzare facilmente ogni singola password salvata.

Puoi collegare chrome: le password //settings/ nella barra degli indirizzi di Chrome per un facile accesso a questa pagina. Fai clic su un campo password e fai clic sul pulsante Mostra: puoi visualizzare qualsiasi password salvata in Chrome senza ulteriori richieste.

Con le impostazioni predefinite di Firefox, è possibile aprire la finestra Opzioni, selezionare il riquadro Sicurezza e fare clic sul pulsante Password salvate. Seleziona Mostra password e puoi vedere un elenco di tutte le password salvate in Firefox sul tuo computer.

Firefox consente di impostare una "password principale" che deve essere immessa prima di poter visualizzare o utilizzare le password salvate, ma questa opzione è disabilitata per impostazione predefinita e Firefox non richiede agli utenti di impostarne una.

Internet Explorer non fornisce alcun modo integrato per visualizzare le password salvate. Tuttavia, questa apparente sicurezza è fuorviante. Con un'utilità come IE PassView gratuita, è possibile visualizzare tutte le password IE salvate per l'account utente corrente. Puoi anche visualizzare le password senza installare alcun software: basta visitare un sito Web in cui la password viene riempita automaticamente e utilizzare qualcosa come il bookmarklet Reveal Passwords per rivelare la password che è stata inserita automaticamente.

Cosa sta succedendo qui? Si tratta di una vulnerabilità legata alla sicurezza?

C'è stato un dibattito infuria tra i geek sul fatto che questa sia davvero una vulnerabilità di sicurezza. Gli sviluppatori di Chrome( e gli sviluppatori di altri browser, come Internet Explorer e persino Firefox con le sue impostazioni predefinite) cambiano questo comportamento? Gli utenti sono stati traditi dagli sviluppatori, dato che i browser non avvertono gli utenti di questo comportamento?

Da un lato, ci sono alcuni buoni argomenti per il comportamento attuale.

  • Chrome e Internet Explorer proteggono entrambe le password salvate con la password dell'account utente Windows. Se non hai effettuato l'accesso, le tue password sono inaccessibili. Se un utente malintenzionato cambia la password dell'account Windows, le password diventano inaccessibili. Supponendo che tu usi una password Windows forte e blocchi il tuo computer quando non lo stai usando, sei teoricamente sicuro.
  • Se un utente malintenzionato ha accesso fisico al tuo computer o un programma malevolo è in esecuzione in background, potrebbe registrare le tue chiavi e ottenere qualsiasi "password principale" utilizzata per proteggere le tue password in Firefox o un gestore di password dedicato come LastPass. Una password principale in Chrome fornirebbe un falso senso di sicurezza.
  • Una password principale è un metodo di sicurezza aggiuntivo che potrebbe arrecare disturbo agli utenti medi, che sceglierebbero di disattivarlo comunque. Gli utenti non vorrebbero inserire una password principale prima di utilizzare le password salvate.
  • Se il browser era già collegato a un account su un sito Web, l'utente malintenzionato potrebbe accedere al proprio account su quel sito Web se ha accesso al browser.

D'altra parte, gli utenti non seguono le perfette pratiche di sicurezza nel mondo reale:

  • Molte persone condividono gli account utente di Windows, impostano i loro computer per l'accesso automatico o consentono agli ospiti di utilizzare il proprio computer senza mai voltare le spalle. Ciò rende banale l'accesso alle password salvate. Chiunque anche lontanamente curioso potrebbe dare un'occhiata alle password.
  • Una password principale consentirebbe agli utenti di proteggere ulteriormente il proprio database delle password, consentendo loro di salvare le password senza preoccuparsi degli ospiti che utilizzano il proprio computer e di essere tentati di guardarle.
  • Molte password degli account utente di Windows sono estremamente deboli, quindi le password avrebbero poca protezione. Molte persone non bloccano i loro computer ogni volta che si allontanano.
  • Chrome fornisce più profili utente, incoraggiando gli utenti a condividere i profili Chrome su un singolo account utente, ma non fornisce alcun metodo per isolare questi profili e impedire ad altri profili utente di Google di accedere ad altre password dell'account
  • Se un utente malintenzionato ha accesso a un account già registratonel sito web ma non avevano la tua password, non sarebbero in grado di cambiare la tua password o eliminare il tuo account.
  • Gli utenti medi probabilmente si aspettano che le loro password siano più difficili da visualizzare. Non c'è alcun avviso che li informi che chiunque abbia accesso ai propri computer può visualizzare le proprie password salvate o che deve impostare una password Windows forte e bloccare i propri computer quando si allontanano da essi.

Quindi qual è il lato giusto? Bene, Chrome protegge la tua password se segui le procedure di sicurezza ideali. Detto questo, Chrome( e IE e Firefox nella configurazione predefinita) non forniscono abbastanza informazioni agli utenti su ciò che sta facendo. Nel mondo reale, una password principale potrebbe essere utile a molte persone.

Come proteggere le password salvate

Se sei preoccupato per le tue password salvate, ecco alcuni suggerimenti che puoi usare per proteggerli da sguardi indiscreti:

  • Usa un gestore di password dedicato, come LastPass. Questi gestori di password funzionano con ogni browser e forniscono una password principale che blocca l'accesso alle tue password quando sei disconnesso. Gli sviluppatori di Chrome potrebbero non voler fornire la funzione di password principale, ma puoi aggiungerla tu stesso utilizzando LastPass al posto del gestore password predefinito di Chrome.È un'opzione tutt'altro che potente, così come altri gestori di password come KeePass.
  • Se si utilizza Firefox, abilitare la funzione della password principale. Questa opzione è disattivata per impostazione predefinita in quanto agli sviluppatori di Firefox non piace l'esperienza utente, ma una password principale consente di "bloccare" il database delle password con una singola password principale. Puoi quindi condividere il tuo account utente con altre persone e non saranno in grado di dare un'occhiata alle tue password. Certo, potrebbero installare un keylogger mentre non stai cercando, ma molte persone che potrebbero essere tentate di sbirciare la tua password non vorranno andare fino in fondo con un keylogger. Questo è il motivo per cui chiudiamo le porte - le serrature non sono perfette, ma mantengono la gente onesta onesta.
  • Se si utilizza Chrome o Internet Explorer e si desidera continuare a utilizzare il gestore password incorporato, assicurarsi di esercitare buone pratiche di sicurezza. Imposta una forte password per l'account utente di Windows e blocca il computer ogni volta che ti allontani. Qualcuno con accesso al tuo computer mentre è loggato potrebbe dare un'occhiata veloce alle tue password, specialmente con Chrome.

Vuoi informazioni più approfondite su quanto sono sicure le tue password salvate nel browser che usi? Dai uno sguardo approfondito alla sicurezza della password di Chrome e alla sicurezza della password di Internet Explorer.