Come impedire alle persone di visualizzare le password salvate del browser
Hai mai salvato una password nel tuo browser: Chrome, Firefox, Internet Explorer o un'altra? Quindi le tue password sono probabilmente visualizzabili da chiunque abbia accesso al tuo computer mentre sei loggato.
Gli sviluppatori di Chrome e Firefox ritengono che questo sia corretto, in quanto dovresti impedire alle persone di accedere al tuo computer in primo luogo, ma questo probabilmente sorprenderà molte persone.
Come chiunque abbia accesso al tuo computer può visualizzare le tue password
Supponendo che tu lasci il tuo computer connesso e qualcun altro lo usi, possono aprire la pagina delle impostazioni di Chrome, andare alla sezione Password e visualizzare facilmente ogni singola password che hai salvato.
Puoi collegare chrome: // settings / password nella barra degli indirizzi di Chrome per accedere facilmente a questa pagina. Fai clic su un campo password e fai clic sul pulsante Mostra: puoi visualizzare qualsiasi password salvata in Chrome senza ulteriori richieste.
Con le impostazioni predefinite di Firefox, puoi aprire la finestra Opzioni, selezionare il riquadro Sicurezza e fare clic sul pulsante Password salvate. Seleziona Mostra password e puoi vedere un elenco di tutte le password salvate in Firefox sul tuo computer.
Firefox ti consente di impostare una "password principale" che deve essere inserita prima di poter visualizzare o utilizzare le password salvate, ma questa opzione è disabilitata per impostazione predefinita e Firefox non richiede agli utenti di impostarne una.
Internet Explorer non fornisce alcun modo integrato per visualizzare le password salvate. Tuttavia, questa apparente sicurezza è fuorviante. Con un'utilità come IE PassView gratuita, è possibile visualizzare tutte le password IE salvate per l'account utente corrente. Puoi anche visualizzare le password senza installare alcun software: basta visitare un sito Web in cui la password viene automaticamente compilata e utilizzare qualcosa come il bookmarklet Reveal Passwords per rivelare la password che è stata inserita automaticamente.
Cosa sta succedendo qui? Si tratta di una vulnerabilità di sicurezza?
C'è stato un dibattito infuria tra geeks sul fatto che questa sia davvero una vulnerabilità di sicurezza. Gli sviluppatori di Chrome (e gli sviluppatori di altri browser, come Internet Explorer e persino Firefox con le sue impostazioni predefinite) cambiano questo comportamento? Gli utenti sono stati traditi dagli sviluppatori, dato che i browser non avvertono gli utenti di questo comportamento?
Da un lato, ci sono alcuni buoni argomenti per il comportamento attuale.
- Chrome e Internet Explorer proteggono entrambe le password salvate con la password dell'account utente Windows. Se non hai effettuato l'accesso, le tue password sono inaccessibili. Se un utente malintenzionato cambia la password dell'account Windows, le password diventano inaccessibili. Supponendo che tu usi una password Windows forte e blocchi il tuo computer quando non lo stai usando, sei teoricamente al sicuro.
- Se un utente malintenzionato ha accesso fisico al tuo computer o un programma malevolo è in esecuzione in background, potrebbe registrare le tue chiavi e ottenere qualsiasi "password principale" utilizzata per proteggere le tue password in Firefox o un gestore di password dedicato come LastPass. Una password principale in Chrome fornirebbe un falso senso di sicurezza.
- Una password principale è un ulteriore metodo di sicurezza che potrebbe arrecare disturbo agli utenti medi, che sceglierebbero di disattivarlo comunque. Gli utenti non vorrebbero inserire una password principale prima di utilizzare le password salvate.
- Se il tuo browser era già connesso a un account su un sito web, l'utente malintenzionato potrebbe accedere al tuo account su quel sito se ha accesso al tuo browser.
D'altra parte, gli utenti non seguono le perfette pratiche di sicurezza nel mondo reale:
- Molte persone condividono gli account utente di Windows, impostano i loro computer per l'accesso automatico o consentono agli ospiti di utilizzare il proprio computer senza guardare indietro per tutto il tempo. Ciò rende banale l'accesso alle password salvate. Chiunque anche lontanamente curioso potrebbe dare un'occhiata alle password.
- Una password principale consentirebbe agli utenti di proteggere ulteriormente il proprio database delle password, consentendo loro di salvare le password senza preoccuparsi degli ospiti che usano il proprio computer e di essere tentati di guardarle.
- Molte password degli account utente di Windows sono estremamente deboli, quindi le password avrebbero poca protezione. Molte persone inoltre non bloccano i loro computer ogni volta che si allontanano.
- Chrome fornisce più profili utente, incoraggiando gli utenti a condividere i profili Chrome su un singolo account utente, ma non fornisce alcun metodo per isolare questi profili e impedire ad altri profili utente di Google di accedere ad altre password dell'account
- Se un utente malintenzionato ha avuto accesso a un sito Web già registrato ma non ha la password, non sarebbe in grado di modificare la password o eliminare l'account.
- Gli utenti medi probabilmente si aspettano che le loro password siano più difficili da visualizzare. Non c'è alcun avviso che li informi che chiunque abbia accesso ai propri computer può visualizzare le proprie password salvate o che deve impostare una password Windows forte e bloccare i propri computer quando si allontanano da loro.
Quindi qual è la parte giusta? Bene, Chrome protegge la tua password se segui le procedure di sicurezza ideali. Detto questo, Chrome (e IE e Firefox nella sua configurazione predefinita) non forniscono abbastanza informazioni agli utenti su ciò che sta facendo. Nel mondo reale, una password principale potrebbe essere utile a molte persone.
Come proteggere le password salvate
Se sei preoccupato per le tue password salvate, ecco alcuni suggerimenti che puoi usare per proteggerli da sguardi indiscreti:
- Utilizzare un gestore di password dedicato, come LastPass. Questi gestori di password funzionano con ogni browser e forniscono una password principale che blocca l'accesso alle tue password quando sei disconnesso. Gli sviluppatori di Chrome potrebbero non voler fornire la funzione della password principale, ma puoi aggiungerla tu stesso utilizzando LastPass al posto del gestore password predefinito di Chrome. È un'opzione tutt'altro che potente, così come altri gestori di password come KeePass.
- Se si utilizza Firefox, abilitare la funzione della password principale. Questa opzione è disattivata per impostazione predefinita perché gli sviluppatori di Firefox non gradiscono l'esperienza utente, ma una password principale consente di "bloccare" il database delle password con un'unica password principale. Puoi quindi condividere il tuo account utente con altre persone e non saranno in grado di dare un'occhiata alle tue password. Certo, potrebbero installare un keylogger mentre non stai cercando, ma molte persone che potrebbero essere tentate di sbirciare le tue password non vorranno andare fino in fondo con un keylogger. Questo è il motivo per cui chiudiamo le porte - le serrature non sono perfette, ma mantengono la gente onesta onesta.
- Se utilizzi Chrome o Internet Explorer e desideri continuare a utilizzare il gestore password incorporato, assicurati di esercitare buone pratiche di sicurezza. Imposta una password forte per l'account utente di Windows e blocca il computer quando ti allontani. Qualcuno che ha accesso al tuo computer mentre è loggato potrebbe dare un'occhiata veloce alle tue password, specialmente con Chrome.
Desideri informazioni più approfondite sulla sicurezza delle tue password salvate nel browser che utilizzi? Dai uno sguardo approfondito alla sicurezza della password di Chrome e alla sicurezza della password di Internet Explorer.