Alfonso Maruccia

Chrome non protegge le password?

Google sotto accusa. Non ci sono abbastanza garanzie per i suoi utenti. E la risposta non fa che accendere nuove polemiche. Ma il problema riguarda quasi tutti i browser in circolazione

Roma - Lo sviluppatore Elliott Kember ha evidenziato un problema nella politica di gestione delle password da parte di Chrome: il browser di Google archivia le chiavi di accesso ai siti Web in chiaro, spiega, e basta digitare chrome://settings/passwords nella barra degli indirizzi per accedere con facilità a tutte le password già registrate dall'utente.

lo strumento gestione password di chrome

Un problema non nuovo, quello delle password archiviate in chiaro sui browser, e che oltre a Chrome coinvolge anche Firefox (dove è possibile accedere alle chiavi d'accesso in chiaro con un paio di click nella schermata delle opzioni), Opera e altri. Nel caso di Chrome, Kember evidenzia come il browser di Google sia oramai indirizzato alla gran massa degli utenti ma non dagli sviluppatori: e gli utenti non sono generalmente consapevoli del modo in cui il browser gestisce l'accesso alle password per i siti Web. "Ogni giorno - dice Kember - milioni di utenti normali salvano le proprie password in Chrome è questo non va bene".

La risposta di Google arriva dal responsabile del team di Chrome Justin Schuh, che su Hacker News spiega come la politica di gestione delle password sia frutto di una valutazione durata anni: cambiare il modo di archiviazione delle password fornirebbe agli utenti "un falso senso di sicurezza", sostiene Schuh, e incoraggerebbe comportamenti pericolosi.



Dopotutto chi ha l'accesso diretto a una macchina può fare ben altro - e di peggio - che visualizzare le password su Chrome, dice ancora Schuh. La risposta non è piaciuta molto a Sir Tim Berners-Lee, che ha definito l'intervento del G-man come "deludente" nel merito delle preoccupazioni fondate espresse da Kember.

Alfonso Maruccia

fonte immagine
Notizie collegate
21 Commenti alla Notizia Chrome non protegge le password?
Ordina
  • Sarò fissato, ma ritengo che ci siano almeno tre "livelli" di tipi di password:
    Livello 1: password che se compromesse possono causarmi perdita di soldi o di informazioni molto sensibili (banca, carta di credito etc.)
    Livello 2: password che se compromesse possono danneggiare la mia immagine pubblica e/o lavorativa (gmail, linkedin, facebook etc.)
    Livello 3: password dei posti dove mi loggo con pentolino o simili (puntoinformatico e mille altri forum)

    Tutte sono registrate (separatamente per categoria) tramite un gestore di password open source (ovviamente); tutte le password di livello 3 e qualcuna di quelle di livello 2 le salvo su chrome, conscio del fatto che qualcuno potrebbe intercettarle. Dormo lo stesso la notte pensando che qualcuno potrebbe postare su PI al posto mio...
    Il file che contiene le password di livello 1 non lo metto nemmeno in servizi come Dropbox, Google Drive, Mega etc. perché NON MI FIDO, le copie fisiche del file devono essere tutte ragionevolmente sotto il mio controllo, non esiste che le metta su un cloud non gestito da me.

    Se uno registra la password della banca su Chrome e lascia il proprio account sbloccato a disposizione di amici etc. secondo me si merita tutta la sfiga che ne deriva; sui computer di casa ho gli account ospite che faccio usare agli amici quando lo richiedono.
    -----------------------------------------------------------
    Modificato dall' autore il 09 agosto 2013 09.44
    -----------------------------------------------------------
  • giustissimoOcchiolino
    non+autenticato
  • Concordo pienamenteSorride
    non+autenticato
  • La gente vuole la botte piena e la moglie ubriaca:
    obblighi ad usare password per l'accesso al computer, e ti dicono "eh no ma che palle ogni volta a mettere la password",
    gli dici di fare piu' profili e ti rispondono "eh no ma che palle poi devo impostare chi vede cosa, le foto in comune, uscire e rientrare dal profilo solo per controllare la mia posta, etc",
    gli dici di non salvare le password e ti rispondono "eh no ma che palle poi me le devo ricordare",
    gli dici "il browser te la puo' scrivere al posto tuo, pero' non te la fa vedere se te la scordi" e ti rispondono "eh no ma che palle e se poi devo cambiare computer o riformattare o accedere ad un sito da un altro pc senza le password memorizzate, io dove le ripesco", etc etc etc
    Il bello e' che questi sono gli utOnti, mentre voi presunti utEnti gridate pure allo scandalo se le cose vanno poi cosi'!
    "AZZO VOLETE????"
  • non è corretto scrivere che Firefox non protegge le password.

    In Firefox è possibile definire una "master password" che evita a chi accedede al brower di vedere le password salvate.

    Questo è spiegato nel link citato in questo articolo.
    non+autenticato
  • Ci sono software che rilevano password dietro gli asterischi,che fanno la scansione di tutte le password memorizzate all'interno di ogni browser e che rilevano le password degli account di posta elettronica...In alcuni casi è ancora più facile visto che spuntano il checkbox "resta collegato.." o simili nelle pagine che visitano.
    non+autenticato
  • se qualcun'altro ha accesso al computer basta non salvare le password.
    ma quello è l'ultimo dei problemi visto che può installare un keylogger/troian/spyware direttamente se le vuole.

    se il pc non è sicuro meglio criptare la partizione e usare gli account ricordandosi di bloccarlo quando ci si allontana
    non+autenticato
  • - Scritto da: trullo

    > se il pc non è sicuro meglio criptare la
    > partizione e usare gli account ricordandosi di
    > bloccarlo quando ci si
    > allontana

    Ma Chrome le cripta le password, solo che lo fa usando le credenziali dell'utente loggato. Non è possibile impostare una master password a livello di applicazione come su Firefox, però anche su Chrome le pass sono accessibili solo all'utente che le ha inserite.
    Questa polemica IMHO sfiora la buffonata. Basta con condividere gli account con più utenti, come è buona norma sempre e in tutti i casi.
    non+autenticato
  • - Scritto da: vitriol
    > - Scritto da: trullo
    >
    > Ma Chrome le cripta le password, solo che lo fa
    > usando le credenziali dell'utente loggato.

    ah complimenti! veramente una genialata!
    l'hanno presa dal manuale di sicurezza delle giovani marmotte?

    > Non è
    > possibile impostare una master password a livello
    > di applicazione come su Firefox,

    che è solo un minimo di (falsa) sicurezza in più...

    > però anche su
    > Chrome le pass sono accessibili solo all'utente
    > che le ha inserite.

    e a tutti quelli che possono mettere mani sul pc mentre l'utente è girato a guardare il sedere di qualche fanciulla...

    e, peggio ancora, a tutti quelli che dovessere malauguratamente a "infilarsi" sul sistema, magari proprio con qualche exploit sul browser...

    > Questa polemica IMHO sfiora la buffonata.

    sono d'accordo: troppi "smanettoni" saputelli che dimostrano che di sicurezza non ci capiscono un ca##o ...

    > Basta con condividere gli account con più utenti, come
    > è buona norma sempre e in tutti i casi.

    ma davvero credi che il problema sia "solo" questo?
    non+autenticato
  • - Scritto da: out laws

    > ah complimenti! veramente una genialata!

    E perché? Guarda che se uno si logga al SO con le tue credenziali può accedere a tutti tuoi dati, non solo alle pass del browser.
    Puoi anche usare TrueCrypt o tutto quello che vuoi, ma dal momento che monti il disco e ti giri a guardare culi o hai un keylogger o altro installato sei fottuto lo stesso.
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 8 discussioni)