Una pregunta común sobre el navegador Google Chrome es "¿por qué no hay una contraseña maestra?" Google tiene (extraoficialmente) asumió que una contraseña maestra proporciona una falsa sensación de seguridad y que la forma más viable de protección para estos datos confidenciales es a través de la seguridad general del sistema.
Entonces, ¿qué tan seguros son los datos de su contraseña guardada dentro de Google Chrome?
Visualización de contraseñas guardadas
Chrome incluye su propio administrador de contraseñas al que se puede acceder a través de Opciones> Cosas personales> Administrar contraseñas guardadas. Esto no es nada nuevo y si permite que Chrome almacene sus contraseñas, probablemente ya conozca esta función.
Un buen toque de seguridad menor es que primero debe hacer clic en el botón Mostrar al lado de cada contraseña que desea ver.
Si bien no hay ninguna restricción para acceder a esta pantalla (es decir, si tiene acceso al escritorio donde está instalado Chrome, puede acceder a las contraseñas), se requiere al menos la intervención del usuario para ver cada contraseña sin forma de exportarlas de forma masiva a un archivo de texto sin formato.
¿Dónde se almacenan los datos de la contraseña?
Los datos de la contraseña guardada se almacenan en una base de datos SQLite ubicada aquí:
% UserProfile% \ AppData \ Local \ Google \ Chrome \ User Data \ Default \ Login Data
Puede abrir este archivo (el nombre del archivo es simplemente "Datos de inicio de sesión") utilizando el Explorador de base de datos SQLite y ver la tabla de "inicios de sesión" que contiene las contraseñas guardadas. Notará que el campo "password_value" no se puede leer porque el valor está cifrado.
¿Qué tan seguros son los datos cifrados?
Para realizar el cifrado (en Windows), Chrome utiliza una función de API proporcionada por Windows que hace que los datos cifrados solo sean descifrables por la cuenta de usuario de Windows utilizada para cifrar la contraseña. Básicamente, su contraseña maestra es la contraseña de su cuenta de Windows. Como resultado, una vez que haya iniciado sesión en Windows con su cuenta, Chrome podrá descifrar estos datos.
Sin embargo, debido a que la contraseña de su cuenta de Windows es una constante, el acceso a la "contraseña maestra" no es exclusivo de Chrome, ya que las utilidades externas pueden acceder a estos datos y descifrarlos también. Con la utilidad gratuita ChromePass de NirSoft, puede ver todos los datos de su contraseña guardada y exportarlos fácilmente a un archivo de texto sin formato.
Por lo tanto, tiene sentido que si la utilidad ChromePass puede acceder a estos datos, el malware que se ejecuta como el usuario correspondiente también podría acceder a ellos. Cuando el ChromePass.exe se carga en VirusTotal , poco más de la mitad de los motores antivirus lo señalan como peligroso. Si bien en este caso la utilidad es segura, es un poco tranquilizador ver que este comportamiento está al menos marcado por muchos de los paquetes de antivirus (aunque Microsoft Security Essentials no es uno de los motores de antivirus que lo informó como peligroso).
¿Se puede eludir la protección?
Suponga que le roban su computadora y el ladrón restablece su contraseña de Windows para iniciar sesión de forma nativa en su instalación. Si posteriormente intentaran ver las contraseñas en Chrome o usaran la utilidad ChromePass, los datos de las contraseñas no estarían disponibles. La razón es simple, ya que la "contraseña maestra" (que era la contraseña de su cuenta de Windows antes de que la restablecieran a la fuerza fuera de Windows) no coincide, por lo que el descifrado falla.
Además, si alguien simplemente copiara el archivo de base de datos SQLite de contraseña de Chrome e intentara acceder a él en otra computadora, ChromePass mostraría contraseñas vacías por el mismo motivo explicado anteriormente.
Conclusión
Al final del día, la seguridad de las contraseñas guardadas de Chrome depende totalmente del usuario:
- Utilice una contraseña de cuenta de Windows muy segura. Tenga en cuenta que hay utilidades que pueden descifrar las contraseñas de Windows . Si alguien obtiene la contraseña de su cuenta de Windows, entonces tendrá acceso a las contraseñas de su navegador guardadas.
- Protéjase del malware. Si las empresas de servicios públicos pueden acceder fácilmente a sus contraseñas guardadas, ¿por qué no puede hacerlo el malware?
- Guarde sus contraseñas en un sistema de gestión de contraseñas como KeePass. Por supuesto, pierde la conveniencia de que el navegador complete automáticamente sus contraseñas.
- Use una utilidad de terceros que se integre con Chrome y use una contraseña maestra para administrar sus contraseñas.
- Cifre todo su disco duro con TrueCrypt. Esto es completamente opcional y para los ultra protectores, pero si alguien no puede descifrar su disco, seguramente no podrá sacar nada de él.
La conclusión es simplemente mantener su sistema seguro y sus contraseñas de Chrome también deben ser razonablemente seguras.
