Investigador: Chrome, Safari Password Managers Need Work

Los navegadores Google Chrome y Safari de Apple podrían proteger mejor las contraseñas, según un investigador de seguridad que publicó un estudio de administradores de contraseñas el viernes.

"Safari y Chrome están esencialmente vinculados al peor administrador de contraseñas incorporado un importante navegador web ", dijo Robert Chapin, presidente de Chapin Information Services, que analizó los tipos de controles de seguridad utilizados por los navegadores para asegurarse de que estaban enviando información de nombre de usuario y contraseña a sitios web legítimos en lugar de hackers inteligentes.

Hace dos años, Chapin informó sobre un error ampliamente publicitado del administrador de contraseñas en el navegador Firefox, calificado como crítico por los desarrolladores de Mozilla. El error fue utilizado por los atacantes en el sitio web de MySpace.com que habían configurado una página de inicio de sesión falso para robar información de la cuenta de los usuarios del sitio de redes sociales.

[Lectura adicional: cómo eliminar el malware de su PC con Windows]

Firefox ahora ha hecho mucho para mejorar su administrador de contraseñas, pero todos estos productos están lejos de ser perfectos, dijo Chapin en una entrevista. "¿Deberían todos poner una confianza implícita del 100 por ciento en cada administrador de contraseñas?" preguntó. "No, en absoluto".

Un problema es que los administradores de contraseñas de hoy en día pueden ser engañados para que envíen diferentes credenciales de contraseña a diferentes partes del mismo sitio web. Eso es lo que hicieron los hackers con el ataque de MySpace, publicando un formulario de ingreso de contraseña falso en una página de MySpace. Debido a que tanto los formularios de inicio de sesión falsos como los reales se encontraban en el dominio myspace.com, los navegadores como Firefox podrían ser engañados para que envíen automáticamente la información de inicio de sesión a los estafadores. Ese error se ha solucionado en Firefox ahora, pero Chrome y Safari siguen siendo vulnerables a ataques similares.

Otro problema es que los navegadores envían contraseñas destinadas a un dominio, Google.com por ejemplo, a otro dominio, digamos Myspace. com - sin advertir al usuario, dijo. Eso es porque los fabricantes de navegadores suponen que la página que solicita la contraseña debe ser de confianza, incluso si envía la contraseña a otro dominio, dijo.

Chapin dice que usa el administrador de contraseñas de Opera porque hace un mejor trabajo al dejarlo guardar contraseñas para páginas web específicas. Ha publicado una prueba en línea donde los usuarios pueden probar la seguridad de sus propios administradores de contraseñas.

Robert Hansen, CEO de la consultora de seguridad web SecTheory, dijo que la comunidad de seguridad sabe desde hace varios años que los administradores de contraseñas de navegador no son seguros. Esto se debe principalmente a que los navegadores son vulnerables a muchos tipos diferentes de ataques. "No son una gran idea desde una perspectiva de seguridad una vez que están integrados en el navegador", dijo a través de un mensaje instantáneo. "El navegador en sí no está diseñado para detener una gran cantidad de exploits que permiten el robo del administrador de contraseñas. Sin esos exploits, los hacks del administrador de contraseñas no funcionarían".