Hai mai salvato una password nel tuo browser: Chrome, Firefox, Internet Explorer o un altro? Quindi è probabile che le tue password siano visualizzabili da chiunque abbia accesso al tuo computer mentre hai effettuato l'accesso.
Gli sviluppatori di Chrome e Firefox pensano che questo vada bene, in quanto dovresti impedire alle persone di accedere al tuo computer in primo luogo, ma questo probabilmente sarà una sorpresa per molte persone.
Come chiunque abbia accesso al tuo computer può visualizzare le tue password
Supponendo che tu lasci il tuo computer connesso e qualcun altro lo utilizzi, può aprire la pagina Impostazioni di Chrome, andare alla sezione Password e visualizzare facilmente ogni singola password che hai salvato.
Puoi collegare chrome: // impostazioni / password nella barra degli indirizzi di Chrome per un facile accesso a questa pagina. Fai clic su un campo della password e fai clic sul pulsante Mostra: puoi vedere qualsiasi password salvata in Chrome senza ulteriori richieste.
Con le impostazioni predefinite di Firefox, puoi aprire la sua finestra Opzioni, selezionare il pannello Sicurezza e fare clic sul pulsante Password salvate. Seleziona Mostra password e puoi vedere un elenco di tutte le password salvate in Firefox sul tuo computer.
Firefox consente di impostare una "password principale" che deve essere inserita prima di poter visualizzare o utilizzare le password salvate, ma questa opzione è disabilitata per impostazione predefinita e Firefox non richiede agli utenti di impostarne una.
Internet Explorer non fornisce alcun modo integrato per visualizzare le password salvate. Tuttavia, questa apparente sicurezza è fuorviante. Con un'utilità come quella gratuita IE PassView , puoi visualizzare tutte le password IE salvate per l'account utente corrente. Puoi anche visualizzare le password senza installare alcun software: visita un sito Web in cui la password viene inserita automaticamente e utilizza qualcosa come il Rivela il bookmarklet di password per rivelare la password inserita automaticamente.
Cosa sta succedendo qui? Questa è una vulnerabilità di sicurezza?
C'è stato un dibattito infuriato tra i geek sul fatto che questa sia davvero una vulnerabilità di sicurezza. Gli sviluppatori di Chrome (e gli sviluppatori di altri browser, come Internet Explorer e persino Firefox con le impostazioni predefinite) dovrebbero modificare questo comportamento? Gli utenti sono stati traditi dagli sviluppatori, dato che i browser non avvisano gli utenti di questo comportamento?
Da un lato, ci sono alcuni buoni argomenti per il comportamento attuale.
- Sia Chrome che Internet Explorer proteggono le tue password salvate con la password dell'account utente di Windows. Se non hai effettuato l'accesso, le tue password sono inaccessibili. Se un utente malintenzionato cambia la password del tuo account Windows, le tue password diventano inaccessibili. Supponendo che tu utilizzi una password Windows complessa e blocchi il computer quando non lo usi, sei teoricamente al sicuro.
- Se un utente malintenzionato ha accesso fisico al tuo computer o un programma dannoso è in esecuzione in background, potrebbe registrare le battute dei tasti e ottenere qualsiasi "password principale" utilizzata per proteggere le tue password in Firefox o un gestore di password dedicato come LastPass. Una password principale in Chrome fornirebbe un falso senso di sicurezza.
- Una password principale è un metodo di sicurezza aggiuntivo che infastidirebbe gli utenti medi, che sceglierebbero comunque di disabilitarla. Gli utenti non vorrebbero dover inserire una password principale prima di utilizzare le password salvate.
- Se il tuo browser era già connesso a un account su un sito web, l'aggressore potrebbe ottenere l'accesso al tuo account su quel sito web se ha accesso al tuo browser.
D'altra parte, gli utenti non seguono pratiche di sicurezza perfette nel mondo reale:
- Molte persone condividono gli account utente di Windows, impostano i propri computer in modo che accedano automaticamente o consentono agli ospiti di utilizzare i loro computer senza guardarsi alle spalle per tutto il tempo. Ciò rende semplice l'accesso alle password salvate. Chiunque, anche solo lontanamente curioso, potrebbe dare un'occhiata alle password.
- Una password principale consentirebbe agli utenti di proteggere ulteriormente il proprio database di password, consentendo loro di salvare le password senza preoccuparsi che gli ospiti utilizzino il proprio computer e siano tentati di guardarli.
- Molte password degli account utente di Windows sono estremamente deboli, quindi le password avrebbero poca protezione. Molte persone inoltre non bloccano il computer ogni volta che si allontanano.
- Chrome fornisce più profili utente, incoraggiando gli utenti a condividere i profili Chrome su un singolo account utente, ma non fornisce alcun metodo per isolare questi profili e impedire ad altri profili utente di Chrome di accedere ad altre password di account
- Se un utente malintenzionato avesse ottenuto l'accesso a un sito web già registrato ma non avesse la tua password, non sarebbe in grado di modificare la tua password o eliminare il tuo account.
- Gli utenti medi probabilmente si aspettano che le loro password siano più difficili da visualizzare. Non viene visualizzato alcun avviso che informi che chiunque abbia accesso ai propri computer può visualizzare le password salvate o che deve impostare una password Windows complessa e bloccare i computer quando si allontana da loro.
Quindi qual è il lato giusto? Bene, Chrome protegge la tua password se segui le procedure di sicurezza ideali. Detto questo, Chrome (e IE e Firefox nella sua configurazione predefinita) non fornisce agli utenti informazioni sufficienti su ciò che sta facendo. Nel mondo reale, una password principale potrebbe essere utile a molte persone.
Come proteggere le tue password salvate
Se sei preoccupato per le tue password salvate, ecco alcuni suggerimenti che puoi utilizzare per proteggerle da occhi indiscreti:
- Usa un gestore di password dedicato , piace LastPass . Questi gestori di password funzionano con tutti i browser e forniscono una password principale che blocca l'accesso alle tue password quando sei disconnesso. Gli sviluppatori di Chrome potrebbero non voler darti la funzione della password principale, ma puoi aggiungerla tu stesso utilizzando LastPass al posto del gestore password predefinito di Chrome. È un'opzione più potente a tutto tondo, così come altri gestori di password come KeePass.
- Se utilizzi Firefox, abilita la funzionalità della password principale. Questa opzione è disattivata per impostazione predefinita perché agli sviluppatori di Firefox non piace l'esperienza utente, ma una password principale ti consente di "bloccare" il database delle password con un'unica password principale. Puoi quindi condividere il tuo account utente con altre persone e queste non saranno in grado di dare un'occhiata alle tue password. Certo, potrebbero installare un key logger mentre non stai guardando, ma molte persone che potrebbero essere tentate di sbirciare le tue password non vorrebbero andare fino in fondo con un key logger. Questo è il motivo per cui chiudiamo le nostre porte: le serrature non sono perfette, ma mantengono le persone oneste oneste.
- Se utilizzi Chrome o Internet Explorer e desideri continuare a utilizzare il gestore di password integrato, assicurati di applicare buone pratiche di sicurezza. Imposta una password sicura per l'account utente di Windows e blocca il computer ogni volta che ti allontani da esso. Qualcuno con accesso al tuo computer mentre è connesso potrebbe dare un'occhiata alle tue password, soprattutto con Chrome.
Desideri informazioni più approfondite sulla sicurezza delle tue password salvate nel browser che utilizzi? Dai un'occhiata ai nostri approfondimenti Sicurezza della password di Chrome e Protezione della password di Internet Explorer .
