Inicio > Programación, Web > Vulnerabilidad en “contraseñas guardadas” en distintos navegadores

Vulnerabilidad en “contraseñas guardadas” en distintos navegadores


password

Seguramente casi todos tenemos la mayoría de nuestras contraseñas guardas en el navegador de nuestro ordenador personal, y cuando vamos a iniciar sesión en determinadas webs el propio navegador escribe la contraseña “debidamente” oculta.

Sin embargo, con un poco de conocimiento sobre las herramientas de programador que aportan los navegadores, estas quedarán al descubierto.

Basta con usar el inspeccionar el elemento sobre el campo de la contraseña y cambiar el type=”password” a type=”text” y quedará totalmente visible.

Esto lo he probado tanto en Firefox como Chrome y desgraciadamente funciona, no sé si funcionará en otros navegadores también.

¿Qué debería ocurrir? Personalmente creo que al modificar el campo debería eliminar el autocompletado y dejar el campo en blanco.

Así que ya sabéis, no guardéis contraseñas en ordenadores a los que sabéis que podría acceder a gente de poca confianza.

Anuncios
Categorías:Programación, Web
  1. ntrrgc
    26 febrero, 2014 en 8:21 pm

    Es un comportamiento esperado y, si te preocupa, deberías atender a otros vectores de ataque.
    En Firefox puedes ver todas tus contraseñas guardadas yendo a Seguridad/Contraseñas guardadas/Mostrar contraseñas dentro de la ventana de preferencias. En Chrome puedes hacer lo mismo desde Configuración/Contraseñas y formularios/Administrar contraseñas guardadas.
    Si eso te da más miedo, quizás quieras saber que estas contraseñas se almacenan en claro sin ningún tipo de cifrado, salvo que configures una contraseña maestra (cosa que casi nadie hace porque requeriría escribir dicha contraseña cada vez que fueras a logearte en un sitio, venciendo la utilidad del autocompletar).
    Por supuesto, esto hace trivial que un programa malicioso que se haya llegado a ejecutar en tu equipo, sin necesidad de permisos de administración, lea las bases de datos de contraseñas de todos tus navegadores.
    Incluso, en caso de que el hipotético atacante tuviera el día vago, NirSoft tiene una excelente colección de software entre la que se incluye una utilidad que precisamente lee estas bases de datos, proveyendo para ello una intuitiva interfaz gráfica o una fácilmente automatizable interfaz de consola. http://www.nirsoft.net/utils/web_browser_password.html

  2. 12 abril, 2014 en 1:29 am

    Para ese tipo de problemáticas yo utilizo lastpass, aunque quién sabe cuán seguro es.
    Ya no le doy nada de mis contraseñas a chrome, que cualquier persona con acceso a mi equipo puede saberla.

  1. No trackbacks yet.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: