¿Deberían las personas poder recuperar al instante (en texto simple) todas las contraseñas que guarda el navegador que utilizan? Ésa es la pregunta sobre seguridad de la información de la semana después de que Elliott Kember, director de la firma de desarrollo de software Riot, pusiera en evidencia la estrategia de seguridad de contraseñas “ridícula” de Chrome.
“Google no se aclara sobre su estrategia de seguridad”, comentó en una publicación en su blog, en la cual acusa a Chrome de no comportarse como esperarían los usuarios ordinarios. Específicamente, después de que Chrome ponga sus manos en un password, el navegador lo revelará con un clic.
Kember reconoció que tipos técnicamente astutos a menudo recomiendan que las personas eviten almacenar sus contraseñas en el navegador, y que usen en su lugar un administrador de contraseñas externo. Otro argumento común, añadió, es que “la computadora ya es insegura tan pronto como se tiene acceso físico”.
¿Pero esperaría el usuario promedio (quien quizá comparta su computadora con familia y amigos) que cualquier persona con acceso a su PC podría recuperar tan fácilmente todas las contraseñas almacenadas de una vez? “Acérquese a una persona que no sea técnica. Pida prestada su computadora. Visite el sitio chrome://settings/passwords y haga clic en ‘mostrar’ en algunas de las filas. Vea lo que tienen que decir –dijo Kember–. Le apuesto que no será un ‘así es como funciona la administración de passwords’”.
Sin embargo, el equipo de Chrome de Google ve las cosas de forma diferente. “Aprecio cómo le parece esto a un novato, pero hemos dedicado literalmente años a evaluarlo y tenemos muchos datos para informar nuestra posición”, publicó Justin Schuh, director de Seguridad de Chrome, en el sitio Hacker News. “Y aunque usted es ciertamente bien intencionado, lo que propone es que brindemos menos seguridad a los usuarios de la que reciben hoy dándoles un falso sentido de seguridad y alentando un comportamiento peligroso. Así no es como enfocamos la seguridad en Chrome.”
Schuh agregó que las contraseñas almacenadas por cualquier aplicación en un sistema pueden “ser recuperadas trivialmente” por cualquier persona con acceso a ese sistema, y dijo que añadir un password maestro a la aplicación era “teatro de seguridad”.
Con todo, muchos expertos en seguridad dijeron que Schuh no pudo ver el bosque por los árboles: “Cómo conseguir todas las contraseñas de tu hermana mayor… y una respuesta decepcionante del equipo de Chrome”, tweeteó Tim Berners-Lee, el inventor del World Wide Web.
¿Cómo manejan las contraseñas otros navegadores? Safari, de Apple, incluye una opción de “mostrar contraseña”, pero para habilitarla, OS X requiere primero que el usuario ingrese su password maestro de llavero. De hecho, la publicación de Kember fue provocada por su descubrimiento de que al importar marcadores en su Mac de Safari a Chrome, todas las contraseñas almacenadas por Safari tenían que cargarse automáticamente en Chrome, en cuyo momento cualquier persona con acceso a su Mac podría revelarlas con un clic (sin requisito de contraseña).
Al igual que Chrome, Firefox y Opera mostrarán passwords, aunque permiten a los usuarios restringir el acceso a esa característica agregando una contraseña maestra. No obstante, según un comentario de Schuh, cualquier persona con las habilidades requeridas puede recuperar las contraseñas almacenadas. Lo mismo aplica para passwords almacenados por Internet Explorer, que se pueden recuperar a través de algunos cambios al registro o usando herramientas terceras gratuitas.
Fuente: www.informationweek.com.mx / Por Mathew Schwartz
Publicado por: TuDecides.com.mx
Edición: Adrián Soltero
Contacto: dir@tudecides.com.mx
Nota: Por lo general todos los artículos cuentan con fuente y autor del mismo. Si por alguna razón no se encuentra, lo hemos omitido por error o fue escrito por la redacción de TuDecides.com.mx.