Una de las herramientas más convenientes que ofrecen los navegadores es la capacidad de guardar y rellenar automáticamente sus contraseñas en los formularios de inicio de sesión. Debido a que muchos sitios requieren cuentas y es bien sabido (o al menos debería serlo) que usar una contraseña compartida es un gran no-no, un administrador de contraseñas es casi esencial.
Entonces, si usted es un usuario de IE y responde “sí” para permitir que el navegador recuerde su contraseña, ¿qué tan segura es esta información?
¿Dónde se salvan?
A partir de Internet Explorer 7, las contraseñas se almacenan en el registro del sistema (KEY_CURRENT_USER \ Software \ Microsoft \ Internet Explorer \ IntelliForms \ Storage2) y se cifran con la contraseña de inicio de sesión del usuario de Windows mediante la API de protección de datos que utiliza el cifrado Triple DES.
¿Qué tan seguros son estos datos?
En el momento de escribir este artículo, Triple DES es prácticamente irrompible mediante métodos de fuerza bruta. Sin embargo, realmente no hay necesidad de forzar el cifrado una vez que haya iniciado sesión en la cuenta de Windows donde se almacenan los datos de su contraseña, ya que Windows asume que una vez que haya iniciado sesión es seguro que las aplicaciones accedan a estos datos. Como resultado de que IE no utiliza una contraseña maestra (como la que ofrece Firefox) para proteger sus contraseñas guardadas, la contraseña de la cuenta de Windows respectiva es la clave de descifrado Triple DES.
En pocas palabras, si puede iniciar sesión en Windows con la cuenta y la contraseña, puede ver las contraseñas guardadas del navegador. Con una utilidad disponible de forma gratuita como IE PassView de NirSoft, puede ver y exportar todas las contraseñas de IE guardadas.
Entonces, ¿puede el malware acceder a esto?
Después de ver lo fácil que es acceder a estos datos, la siguiente pregunta lógica es si el malware puede acceder fácilmente a estos datos. No soy un desarrollador de malware, pero no veo ninguna razón por la que no pueda hacerlo. Si escaneo la utilidad IE PassView usando Virus Total, puede ver El 55% de los escáneres que utilizan detectan que es malware (uno de los cuales es Security Essentials).
Si bien en nuestro caso el resultado es un falso positivo, esto muestra que es posible que un malware acceda a estos datos sin ser detectado incluso cuando el sistema ejecuta un antivirus. Además, debido a que los datos cifrados son específicos del usuario, una aplicación que intente acceder a estos datos no activará ningún mensaje de UAC. Antes de pensar que esto es una falla en el sistema operativo, esta es realmente la forma en que tiene que ser, de lo contrario IE y una gran cantidad de otras aplicaciones de Windows que utilizan el almacenamiento protegido activarían un mensaje de UAC cada vez que se abrieran.
¿Qué pasa si me roban la computadora?
La respuesta simple es que estos datos son tan seguros como la contraseña de su cuenta de Windows. Como hemos mostrado anteriormente, cuando inicia sesión en la cuenta con la contraseña adecuada, todos estos datos son fácilmente accesibles. Si no usa contraseña, no tiene protección.
Para llevar esto un paso más allá, hice un restablecimiento de la contraseña de la cuenta para ver qué pasaría cuando la contraseña se cambiara por la fuerza fuera de Windows. Después del restablecimiento, guardé una nueva contraseña de dirección de Gmail (bla @) y ejecuté IE PassView. Pude ver el nombre de usuario anterior (myemail @) que se guardó antes de que se restableciera la contraseña, pero debido a que las contraseñas de la cuenta (es decir, "contraseña maestra") utilizadas para guardar los datos son diferentes, no pudo descifrar el IE contraseña guardada con la contraseña de la cuenta de Windows anterior. Definitivamente esto es algo bueno.
Conclusión
Al final del día, la seguridad de sus contraseñas guardadas en IE depende totalmente del usuario:
- Utilice una contraseña de cuenta de Windows muy segura. Tenga en cuenta que hay utilidades que pueden descifrar las contraseñas de Windows . Si alguien obtiene la contraseña de su cuenta de Windows, entonces tendrá acceso a sus contraseñas de IE guardadas.
- Protéjase del malware. Si las empresas de servicios públicos pueden acceder fácilmente a sus contraseñas guardadas, ¿por qué no puede hacerlo el malware?
- Guarde sus contraseñas en un sistema de gestión de contraseñas como KeePass. Por supuesto, pierde la conveniencia de que el navegador complete automáticamente sus contraseñas.
- Use una utilidad de terceros que se integre con IE y use una contraseña maestra para administrar sus contraseñas.
- Cifre todo su disco duro con TrueCrypt. Esto es completamente opcional y para los ultra protectores, pero si alguien no puede descifrar su disco seguramente podrá sacar algo de él.
Por supuesto, ambos son evidentes, pero esto solo refuerza la importancia de tomar medidas para mantener su sistema seguro.
