lunes, 11 de abril de 2016

El error de guardar contraseñas en el navegador

En general todos los navegadores permiten que el usuario guarden sus credenciales de acceso (usuario/contraseña) de una web en él, estando activada esta opción por defecto tras su instalación y recordándonos que tenemos esta opción disponible cada vez que entramos en una nueva web que requiere usuario/password para acceder. A continuación pongo una captura para que quede claro al mensaje que me refiero (esta es de Firefox pero en el resto de navegadores es similar).




Aparentemente es un lugar seguro porque si desde el apartado de configuración del navegador le indicamos que nos muestre las contraseñas guardadas, el navegador nos pedirá introducir la contraseña para desbloquear esa opción (normalmente es la del usuario con el que hayamos iniciado sesión en el equipo). La imagen que pongo a continuación es del navegador Chrome pero es similar en el resto de navegadores.

Pero esta seguridad es una quimera porque como muestro a continuación es sencillo que una tercera persona que utilice o acceda al pc obtenga no solo el acceso a la web sino también nuestra contraseña. En los pasos que pongo a continuación he elegido la página de acceso a gmail para explicarlo. Parto de la premisa de que he guardado la contraseña para una cuenta de gmail y por tanto cuando entro el navegador me completa el usuario y contraseña o al poner el usuario me completa la contraseña (esto depende del navegador y de como la haya guardado):

Una vez que estamos en esta situación, vamos a hacer que el navegador en vez de círculos nos muestre los caracteres en texto de la contraseña. Para ello pinchamos con el botón derecho en el cuadro donde aparece nuestra contraseña oculta y realizamos click en Inspeccionar elemento:

Tras esto nos aparecerá el código html de la página y tendremos la línea concreta que afecta cuadro que alberga nuestra contraseña. Para que muestre el texto de la contraseña solo tendremos que cambiar el valor de la variable type de password (type="password") a text (type="text") tal y como muestro en las 2 capturas siguientes:





Como hemos comprobado es muy sencillo descubrir una contraseña que tengamos guardada en el navegador. Mi recomendación es que nunca guardemos las contraseñas aquí, lo más adecuado es usar algún programa como por ejemplo keepass donde se almacenan de una manera segura y gracias a la cantidad de plugins que tiene podremos iniciar sesión en una web de una manera rápida, cómoda y segura.

No hay comentarios:

Publicar un comentario