Hackers: ¿Qué tan seguro es permitir que el Administrador de contraseñas de Google Chrome guarde todas mis contraseñas?

Hola kathy Gracias por la solicitud de respuesta.

Como algunos otros mencionaron, en resumen, almacenar contraseñas dentro de su navegador es conveniente, pero no es la opción más segura. Por algún contexto, uno de nuestros cofundadores escribió sobre este tema específico hace dos años. Aquí está su opinión: Dashlane vs. Administración de contraseñas del navegador

Para responder a sus otras preguntas específicamente:

– ¿Es el riesgo de usar la función de administración de contraseñas de Chrome cuando se usa Chrome en Linux, MacOS, Android o Windows?

Supongo que sí. En todas esas plataformas, es muy fácil ver todas sus contraseñas guardadas con unos pocos toques / clics.

– ¿La administración de contraseñas de Chrome es un objetivo común para los piratas informáticos y los nuevos exploits? ¿Los ataques están dirigidos a enfocar las contraseñas en las PC locales, la infraestructura de Google o tal vez la transmisión de los datos de la contraseña (sincronización de contraseña)?

¡Sí! Aquí hay un ejemplo reciente de mayo de 2017: Chrome en Windows tiene un error de robo de credenciales. Siempre es aconsejable mantener actualizado su navegador. También señalaré que no todos los ladrones de contraseñas apuntan a la infraestructura o transmisión de Google. Hay formas mucho más rápidas (y posiblemente más fáciles) de robar credenciales a los consumidores. A saber, sitios web y correos electrónicos de phishing, aplicaciones maliciosas en dispositivos móviles, malware y virus, keyloggers, adware, etc.

– ¿El administrador de contraseñas de Chrome es más seguro que una herramienta de terceros, como LastPass, KeepassX, etc.?

No. Si bien no existe una solución de seguridad perfecta (debo señalar que la extensión de Chrome de LastPass tuvo una vulnerabilidad notable este año), su mejor opción sería confiar en sus contraseñas con un administrador de contraseñas de terceros confiable. No puedo hablar en nombre de todos los administradores de contraseñas, pero en Dashlane, todas las comunicaciones entre las extensiones del navegador de Dashlane y la aplicación de Dashlane están protegidas mediante el cifrado AES de 256 bits, el estándar de cifrado más sólido de la industria, con la biblioteca OpenSSL. Si está interesado, puede obtener más información sobre nuestras medidas de seguridad visitando dashlane.com/security.

Espero que esto haya sido de alguna ayuda.

No es. En absoluto. Prueba esto realmente rápido; abra Chrome (o cualquier navegador en el que haya guardado las contraseñas), vaya a la página de inicio de sesión de su cliente de correo electrónico (gmail, yahoo, wvr), hay un montón de asteriscos en el campo de contraseña, ¿verdad? haga clic derecho en ese campo, haga clic en inspeccionar. Ahora desplácese hacia abajo hasta donde dice “contraseña”. Habrá algunas líneas aquí, y la contraseña se repetirá varias veces. Busque el campo que dice “tipo,” contraseña “”. Ahora simplemente reemplace la palabra “contraseña” con la palabra “texto”. Ahora mira tu campo de contraseña.

Jus diciendo …

El bloqueo inteligente de Google no protege contra esto.

La verdad es que no hay una forma totalmente segura de almacenar realmente nada. Incluso las claves RSA seguras se pueden robar de dispositivos aparentemente seguros mediante ataques acústicos de canal lateral. Este ataque se puede realizar desde una distancia bastante respetable a través de un micrófono parabólico o de cerca y personal al obtener un teléfono u otro dispositivo con un buen micrófono en las proximidades durante el tiempo suficiente.

Lo que estás haciendo es realmente todo lo que se puede hacer. Autenticación de dos factores, PW gen. LINUX !!! Diría que es un buen hombre, pero que merecerías una bofetada si usaras algo más que servidores. Estás utilizando buenas prácticas / hábitos de seguridad de todo lo que nos estás diciendo. La parte de “casi nunca” me preocuparía. Solo toma una vez … Intente eliminar Windigo de sus servidores que se pasaron de contrabando a bordo de uno de estos dispositivos “casi nunca”. Windigo no me importa si rara vez haces algo … Tengo algo de especialidad en la identificación y eliminación de malware (y por especialidad quiero decir que cobro a las personas una prima para limpiar sus sistemas) y no he encontrado una manera fácil, menos borrar / reinstalar, eso eliminará Windigo / Ebery.

“A lo mejor de mi conocimiento”, no estoy tratando de ser un imbécil, pero has sido hackeado. De una forma u otra, en algún momento, estaría dispuesto a apostar un mes de salario que ha sido pirateado. casi todos han estado en un momento u otro. Eso no necesariamente significa que lo sabrías o que se hizo algún daño.

Para responder a su pregunta de manera breve, ¡demonios no! Lo que estás haciendo actualmente es TONELADAS más seguro que el administrador de contraseñas de Google.

Ni siquiera está diseñado para ser seguro: antes le permitía simplemente presionar “mostrar contraseñas” en la IU de configuración para revelar todas las contraseñas, como una forma de subrayar el hecho de que no está diseñado para mantener sus contraseñas seguras. La gente se asustó por esto, por lo que escondieron las contraseñas, pero siempre puedes verlas con una herramienta como Chrome Browser Password Recovery (el primer resultado para “leer contraseñas de Chrome”). Requiere acceso a su PC, pero si se infecta con algo, puede estar seguro de que extraerá el almacén de contraseñas de Chrome (así como el de Firefox si no configuró una contraseña maestra allí). Incluso el malware menos sofisticado lo intentará. Sobre la sincronización con los servidores de Google, el archivo almacenado en los servidores de Google se puede cifrar, pero el almacén de contraseñas local no puede AFAIK.

PD: si estás usando Chrome, no eres lo suficientemente paranoico. Incluso Chromium debería ser sospechoso, y no tienes derecho a usar un sombrero de papel de aluminio si no estás usando Firefox con los complementos NoScript / Ghostery / AdBlock 🙂

La lógica de PPS Google para no agregar seguridad es que realmente no puede hacerlo seguro. Si alguien tiene acceso local a su PC, puede ejecutar un keylogger, puede monitorear la memoria de los procesos y el portapapeles, etc., por lo que incluso LastPass / KeePass no es realmente seguro. Pero al menos tendría que ser un ataque más dirigido, y alguien tendría que leer todo el texto en lugar de obtener un volcado bien formateado.

PPPS En Linux puede usar GNOME Keyring y KWallet, sin embargo – LinuxPasswordStorage – chromium – Almacenar contraseñas de forma segura en Linux. – Un proyecto de código abierto para ayudar a avanzar la web. – Alojamiento de proyectos de Google

No soy grande en Chrome y uso Firefox en OS X.

Lo tengo para algunas aplicaciones secundarias, pero uso un administrador de contraseñas.

No creo que la funcionalidad de Chrome sea más segura que un administrador de contraseñas, porque tener su contraseña encriptada en un servidor es más seguro que almacenarla en su computadora local.