El pasado mes de agosto se habló mucho de una supuesta (y se llegó a decir que muy grave) vulnerabilidad de Google Chome que exponía las contraseñas guardadas en el navegador. La realidad es que se formó demasiado revuelo por algo que ya se había detectado en el año 2011; en cualquier momento podemos acceder a la lista de contraseñas guardadas en el navegador sin más que localizar "Administrar contraseñas guardadas" en las opciones de configuración o escribiendo chrome://settings/passwords en la barra de direcciones del navegador.
Almacenar contraseñas en el navegador es como apuntarlas en un papel que está encima de nuestra mesa
El tema de las contraseñas guardadas en el navegador nos dio bastante en lo que pensar; sin embargo, creo que es bueno recordar lo vulnerables que pueden llegar a ser ciertos métodos de almacenamiento de credenciales si, por ejemplo, alguien tuviese acceso físico a nuestro equipo (imaginemos que nos lo roban o lo perdemos) y lograse arrancarlo usando herramientas como Hiren's Boot o bien porque trabajemos en un equipo compartido y, sin pensarlo demasiado, almacenemos contraseñas en el navegador (a pesar que lo usemos con más gente bajo un mismo perfil de usuario).
Gestión de contraseñas en Google Chrome
Efectivamente, podemos ver las contraseñas de Google Chrome sin demasiado problema; a primera vista nos aparecen ofuscadas pero con hacer clic encima de alguna podremos verla en claro. Obviamente, si tenemos activada la sincronización de nuestro perfil, las contraseñas se propagarán al resto de equipos en los que tengamos instalado Chrome y vinculada nuestra cuenta.
¿Es una vulnerabilidad esto? Como ya comenté en su día, no lo es. Evidentemente, Google podría hacerlo mejor y podría almacenar las contraseñas de otra forma pero, teóricamente, nuestro equipo debería estar protegido con una contraseña y no debería ser fácil acceder a nuestra instalación de Chrome (aunque si alguien tiene acceso físico a nuestra máquina, al final podrían acceder).
Gestión de contraseñas en Firefox
Google Chrome no es el único navegador que nos permite ver las contraseñas almacenadas, Firefox también nos ofrece algo similar desde el menú de Seguridad dentro de las Opciones de configuración del navegador.
Dentro de esta sección encontraremos un botón bajo el título "Contraseñas guardadas" en el que veremos también el trío servicio-nombre de usuario-contraseña de todas las que hemos ido acumulando en el navegador. Al igual que ocurre en Google Chrome, este listado de contraseñas se puede sincronizar con otros equipos en los que también tengamos Firefox instalado y, por tanto, podrían estar en riesgo si no las aseguramos adecuadamente.
Como comentaba al hablar de Chrome, alguien con acceso físico a nuestro equipo podría copiar los datos de nuestro perfil de Firefox e importarlo en otro equipo para llevarse nuestras contraseñas aunque, afortunadamente, Firefox sí que nos ofrece una opción de seguridad: la contraseña maestra (de la que ahora hablaremos).
Gestión de contraseñas en Internet Explorer
Si no estamos en Windows 8, sacar el listado de contraseñas de Internet Explorer es un poco más complejo pero, eso sí, complejo no significa imposible. Aplicaciones como IE PassView son capaces de sacar el listado de contraseñas guardadas en Internet Explorer sin demasiado problema; evidentemente, es una aplicación pensada en sacar un backup antes de formatear el equipo pero también se puede usar con fines algo menos honestos.
En Windows 8, las cosas son aún más fáciles, hay que entrar en el "Panel de control" y, una vez ahí, localizar la opción de "Cuentas de usuario" y, dentro de esta opción, pulsar sobre "Administrar credenciales web".
¿Cómo mejorar la seguridad de las contraseñas que almacenamos en el navegador?
La comodidad no es gratuita, aumenta los riesgos.
Cuando saltó todo el revuelo alrededor de Google Chrome el pasado mes de agosto, Justin Schuh (el responsable de seguridad de Chrome) comentó que el almacenamiento de contraseñas en Google Chrome no presentaba ninguna vulnerabilidad; en nuestro ordenador almacenamos muchos más datos que las contraseñas del navegador, también tenemos archivos o incluso un cliente de escritorio instalado. Por tanto, también es importante cifrar la información de nuestro disco duro y, por supuesto, proteger nuestro equipo con una buena contraseña, bloquearlo cuando no estemos sentados delante de él y, por supuesto, generar un usuario en el sistema para cada usuario que utilice el PC.
La mejor forma de almacenar una contraseña es recordándola nosotros y no apuntarla en ningún sitio.
Obviamente, la seguridad es algo muy subjetivo; es una situación en la que se conjuga confort y confianza en un sistema, por tanto, es un conjunto de pautas y medidas que nos permiten trabajar de manera cómoda y llegar a una situación de riesgo que consideramos asumible. La seguridad total no existe (y la NSA no los ha demostrado), pero sí que podemos minimizar pérdidas de información o riesgos.
La mejor manera de evitar que nuestras contraseñas queden expuestas es recordándolas nosotros mismos y no almacenándolas en el navegador; quizás pueda parecer una solución radical e incómoda pero, sin duda, acaba con los problemas de raíz.
Si la gestión centralizada de contraseñas nos parece algo confortable y no queremos renunciar a esta facilidad, creo que es importante que, como mínimo, mejoremos la seguridad de esta funcionalidad asumiendo alguna de las siguientes opciones:
La contraseña maestra de Firefox
Aunque no está habilitado por defecto, Firefox nos permite controlar el acceso a la lista de contraseñas guardadas en el navegador mediante una contarseña maestra. Activando esta opción, las contraseñas quedarán cifradas y protegidas mediante una contraseña y no se podrán usar hasta que el usuario la introduzca.
De hecho, cuando arrancamos Firefox y tenemos activada esta opción, una de las primeras cosas que nos pide el navegador es el desbloqueo de la lista de contraseñas guardadas y, si no lo hacemos, nos lo pedirá cuando accedamos a un servicio que requiera contraseña.
Si alguien tiene acceso físico a nuestro equipo y tenemos activada la contraseña maestra, por mucho que copie los datos del perfil, no le será fácil hacerse con nuestra lista de credenciales.
LastPass
Otra opción a tener en cuenta, y que podemos aplicar a múltiples navegadores y plataformas, es LastPass. Con LastPass podremos mantener en la nube un gestor de contraseñas que podremos usar tanto en Firefox, Google Chrome, Internet Explorer, Opera y Safari en el equuipo de escritorio y también en nuestros dispositivos móviles (soporta iOS, Windows Phone y Android).
La idea es volcar todas nuestras contraseñas en un repositorio centralizado con el que podremos tender un puente entre los distintos navegadores que usemos y, de esta forma, tener las mismas contraseñas en todas partes. Este servicio es gratuito y es bastante fácil de usar; por tanto, el almacenamiento de las contraseñas no nos supondrá ningún tipo de problema.
Obviamente no es el único servicio que existe en la red y, no hace mucho, hicimos un repaso por los mejores gestores de contraseñas que podemos encontrar por la red.
KeePass
Si dejar tus datos en los servidores de un tercero es algo que no te simpatiza, KeePass es lo que estás buscando. KeePass es un gestor de contraseñas en software libre que cifra toda la base de datos que gestiona, es decir, no solamente cifra las contraseñas almacenadas sino que también lo hace con el nombre de usuario y el resto de la información del servicio.
Concretamente, KeePass utiliza cifrado AES con un hash SHA-256, es decir, usa un cifrado bastante robusto que se mejora con protecciones adicionales, por ejemplo, contra ataques basados en diccionarios de contraseñas.
KeePass es, efectivamente, una aplicación de escritorio pero también es posible tender un puente entre este gestor de contraseñas y nuestros navegadores gracias a algunos plugins. Tanto para Google Chrome como para Firefox encontraremos complementos que nos permitirán usar KeePass en el navegador y gestionar con esta aplicación nuestras contraseñas almacenadas de una forma segura.