Send to Kindle

Supuesta vulnerabilidad de passwords en Chrome (tomado de ElliottKember.com)

Todavía no creo la cantidad de reacciones negativas que han habido contra Chrome por el “problema de seguridad” de los passwords; para los que no lo sepan, un pequeño experimento: abran Chrome, en la barra de direcciones introduzcan “chrome://settings/passwords” (sin comillas, claro) y cuando lo hagan verán el manejador de passwords de Chrome. El drama viene debido a que, si le das click a un password, verás que aparece un botón “Mostrar“, el cual te muestra sin más el password que gustes. Por supuesto la molestia viene de muchos usuarios que no sabían que esto así funciona desde tiempos lejanos, que pasa en todos los navegadores, y más aún, que no es un problema de seguridad. Pero peor aún, todo este problema nos dice que los usuarios son ignorantes de temas de seguridad esenciales, y que en algunas ocasiones, no piensan mucho. Bajen las piedras y déjenme explicar.

Quiero iniciar diciendo que no es posible que sólo unos pocos se hayan dado cuenta de que el reporte de este supuesto “problema de seguridad” viene de un desarrollador, y no de un investigador de seguridad o algo parecido. ¿Cómo es posible esto? ¿acaso la comunidad de investigadores de seguridad no se habían percatado de esto? claro que si, pasa que es un tema viejo, pero que al parecer con el tiempo se olvida, y se vuelve recurrente.

El escenario es el problema

Mucho se ha argumentado sobre que no existe tal problema en Chrome, y otros dicen que ven el problema como ingenieros, no como usuarios; en el caso de estos últimos, piensen en el escenario de tener un hijo curioso, una ex-esposa o novia celosas o simple y sencillamente locas, o bien cualquiera que se pueda sentar en tu computadora y ver tus passwords. Esto lleva al siguiente punto…

No es Chrome, son todos

En todos los navegadores pasa lo mismo; si, FireFox tiene una opción para un password maestro, pero una vez que lo usas quedas en las mismas; y para colmo es opcional, y ya sabemos como le va a las cosas opcionales con los usuarios. Explico más a fondo: no hay forma de defenderse de un ataque físico local. Por definición, el usuario físico local de la computadora es quién dice ser. ¿Sobre que bases le niegas el acceso? y si es alguien que tiene acceso a tu cuenta, amigo, tiene acceso a todo en tu computadora. En pocas palabras, eres tú. Incluso esto está en el FAQ de seguridad de Chrome, donde indican claramente porqué estos ataques no están considerados en su modelo de amenazas, y ¿sabes qué? tienen toda la razón. Es un concepto tan sencillo que confunde a la gente.

Busca seguridad en otros lados

¿Qué hacer al respecto si tanto te preocupa esta situación? Google y otros indican que crear cuentas en el sistema operativo ayuda; también bloquear tu computadora si no la vas a usar por cortos lapsos de tiempo; e incluso, aunque parezca una tontería, dependiendo de que tan importante sea lo que esté en tu computadora, permite o no el acceso a ella, así de fácil. No sé ustedes, pero mi computadora si tiene cosas importantes, y está protegida todo el tiempo; ni mi esposa la toca. Otra cosa a intentar es usar un manejador seguro de passwords, hay varios que puedes probar.

Palabras finales

y creo que es obvio, pero no uses la característica de almacenar los passwords en tu navegador; por alguna razón, jamás me inspiró confianza desde que lo vi en Internet Explorer hace ya varios años, y afortunadamente nunca la he usado, en ninguno de los navegadores por los que he pasado. Ahora, cambiando de tema, me parece muy mal la forma en la que manejó Google todo esto, a través de una persona que no se condujo con propiedad, llamando a la persona que publicó el artículo original “novato”, y estableciendo que “esto no iba a cambiar nada.”

Y en serio, hay que ver los dramas que se hacen en Internet por tonterías.

Send to Kindle