Google Chrome y su peligroso manejo de claves

Vamos a poner algo en claro: si alguien tiene acceso físico a tu PC o Mac puede acceder a todos tus datos, lo único que cambia es el tiempo que tarde. Ahora, si en esa PC o Mac tenés instalado Google Chrome con solo abrirlo puede ver todas tus claves de Safari o Firefox o Chrome con 3 clicks y que el jefe de seguridad de Chrome diga que “no usamos una clave maestra ni otras protecciones para que no haya una falsa sensación de seguridad” es simplemente ridículo. Lo ridículo es que recién hoy me doy cuenta de esto por el post de Elliot Kember

Paso 1: abrí Chrome e importá las claves de los otros navegadores :)
importar claves a Chrome

Paso 2: Navegá en un sitio y cuando Chrome navegue por el mismo, va a encontrar tu clave en el Keychain de OS X y la va a importar :)
claves en texto plano en Chrome

Paso 3: en Chrome tipea chrome://settings/passwords en la barra de navegación y hacé click en “Show” para verlas y “Hide” para ocultarlas :)
google chrome passwords

En serio, repito y remarco: en 3 clicks, sin conocimientos técnicos, sin tener que usar software raro y en menos de 10 minutos… usaste la Mac de alguien y le miraste todas las claves en Chrome y digo todas, porque son las de Chrome, las importadas de otros navegadores y las de los sitios donde hay claves y están guardadas en el Keychain de tu Mac.

Yo entiendo que si alguien se lleva mi Mac y tiene tiempo o conocimientos puede usar el “Keychain Access” para ver todas las claves archivadas, mis claves públicas/privadas y hasta certificados; pero al menos existe una contraseña maestra para frenar el acceso a esa información:

Apple SecurityAgent

Personalmente creo tener unas 3 claves guardadas y el resto es una combinación de ridiculas frases con una memoria apestosa y 1Password pero como no todos hacemos esto (y yo lo aprendí a la fuerza) les recomiendo hacer dos cosas:

  • Crear una cuenta “Invitado” en tu Mac (en Win 8 es más simple)
  • No prestar tu máquina sin haber abierto esa cuenta y prestarle algo que va a cuidar tu seguridad y la suya… al menos un poco ;)

Y no termino de entender que Google, que tienen tantos “usuario promedio”, no ponga al menos un aviso de cuidado o al menos pedir que usen una clave maestra para protegerse un poco más…. mala comunicación por un lado y una respuesta decepcionante de su equipo de seguridad.

10 thoughts on “Google Chrome y su peligroso manejo de claves”

  1. Aquí hay un error, es que todos los browsers manejan igual el tema de las claves, no es solamente irresponsable Chrome, mi bien amado Firefox también me permite ver las claves almacenadas con un click y estimo que ni IE tiene una solución para esto.

    Es un dilema cuando no usamos una app encriptada para almacenar passwords. KDE tiene el KDE Wallet para tratar de solventar esto pero esa capa extra lo vuelve insoportable, le hemos cedido el control de nuestros passwords al browser.

    Ahora bien, me banco que Firefox tenga mis claves pero luego de las cosas que salieron a la luz por parte de la NSA no se si me gusta la idea de que Chrome tenga en su código un backdoor para que la NSA pida tus passwords cuando se le antoje ¿no?

    Igualmente perder una computadora es siempre riesgo de que violenten todas tus cuentas, es demasiado sencillo acceder a los datos temporales de tu sesión de usuario, una vez con esto se puede hacer lo que se quiera, entre ello acceder a todas tus cuentas.

    Pensaba armar un post con esto mismo hasta que confirmé que todos los browsers son así de inseguros

  2. Es terrible, unos minutos que podes dejar la maquina en el laburo y perdiste las pass…
    Tipica despues que alguien te dice que se lo hackearon y que no se la habia dado a nadie…

    Que gran fallo la verdad :(

  3. Puede parecer una boludez, pero el principal motivo por que no uso Chrome es por el tema de manejo de passwords. En Firefox uso PasswordMaker, el cual genera la password en el momento a partir de una clave maestra y otros datos del sitio ( URL, usuario, etc ), de modo que ninguna password queda almacenada en ningun lado. En Chrome este plugin existe pero es tan basico que es practicamente inusable, por otro lado el manejador de password que trae incorporado no usa master password por lo tanto queda descartado.
    Otro motivo boludo por el que no uso Chrome es que no acepta separadores en el menu de bookmarks.

  4. Es la combinación de dos temas que siempre han sido complicados. Por un lado están los passwords que ya de por si están perdiendo su efectividad (sin hablar de que el usuario “promedio” usa la misma clave para todo).
    Y el otro tema es el de la seguridad de ls navegadores. Como Fabio, yo confiaba relativamente en Firefox hasta que por fuerza de la experiencia, tuve que buscar una alternativa “segura”.
    A la fecha Lastpass (servicio que descubrí por Xmarks) ha sido el mejor balance seguridad/usabilidad.
    slds!

    1. @juan
      yo iba a usar Lasstpass pero como tengo Android e iPhone usé 1Password porque fue el primero en tener para iOS :)

  5. yo uso firefox con contraseña maestra.
    Cambiando un poquitito de tema, alguien sabe como ocultar la barra de direcciones (donde se tipea la web) en Chrome? FF lo permite muy facil.

  6. Firefox hace EXACTAMENTE lo mismo !!!

    Editar -> Preferencias -> Seguridad -> Contraseñas Guardadas -> Mostrar contraseñas…

    1. @anibal
      la diferencia es que Firefox te deja tener una contraseña maestra para que no las pueda ver nadie mas que vos.
      ¿Es esa contraseña maestra segura al 100%? nada lo es pero al menos tenés una capa más de seguridad.

      O sea, hace lo mismo pero con una capa de seguridad :)

  7. La razón de que esté aquí es porque decidí buscar sobre este tema, ya sabía de esta enorme falla de seguridad en Chrome, fue tal motivo por el que deje de usar su autocompletado de contraseñas y decidí a usar lastpassword, pero se agradece de que firefox pueda esconderlas con la contraseña maestra, estoy pensando darle unas pequeñas vacaciones a Chrome.

Leave a Reply

Your email address will not be published. Required fields are marked *