Las contraseñas se guardan en el navegador si el usuario lo solicita. Si no hay una contraseña maestra (clave de cifrado) para el almacén de contraseñas del navegador, y no hay control de acceso en la computadora, cualquier persona con acceso físico (o, de hecho, acceso remoto) puede ver las contraseñas almacenadas si el sitio usa https o no.
Aparte de eso, alguien que ejecuta un monitor de red como wireshark en el servidor del sitio web, o en una computadora cliente, o un puerto espejo en un conmutador de red, o en cualquier computadora portátil conectada en una red wifi abierta, o una protegida solo con WEP, o, en cierta medida, uno protegido con WPA2 / PSK, puede recopilar contraseñas en tiempo real. Pero no retroactivamente.
El acceso al servidor web y al equipo de red generalmente está restringido al personal de TI, que probablemente tenga acceso a las cuentas de correo electrónico de todos modos. Cualquiera que pueda ejecutar wireshark en una computadora cliente probablemente puede instalar un keylogger, que nuevamente podría capturar contraseñas independientemente de si se usa https o no. Si no controla dónde están sus computadoras cliente, si permite que las personas inicien sesión a través de Internet con http desde ubicaciones externas como aeropuertos o restaurantes con wifi abierto, entonces tiene un gran agujero de seguridad. Se recomienda SSL (es decir, https) en cualquier lugar donde tenga información confidencial, como contraseñas, o simplemente correo electrónico privado, que viaja a través de una red no confiable. No es tan difícil de configurar, o particularmente costoso incluso para un SOHO, e incluso hay un par de soluciones gratuitas.
- ¿Acabo de ser hackeado?
- ¿Es seguro un cifrado de turno para el uso de la red?
- ¿Cómo funciona Google 'No CAPTCHA reCAPTCHA'?
- ¿Es posible prevenir ataques malvados de mucama?
- ¿Qué pasaría si alguien piratea el lenguaje de programación C? ¿Qué pasa si piratearon los compiladores?
