texto:   A-   A+
eliax

El navegador Google Chrome no protege las claves que recuerda, oh oh...
eliax id: 10577 josé elías en ago 8, 2013 a las 05:58 PM (17:58 horas)
Hoy los dejo con esta alarmante situación con el navegador Google Chrome (que les dejo saber es el que utilizo generalmente en eliax), que tiene que ver con el tema de almacenar tus claves...

Como ya sabrán, la primera vez que visitas una página web, Chrome (así como Firefox y versiones recientes de otros navegadores) te ofrece recordar la clave de esa página web para que la próxima vez que la visites no tengas que entrar la clave otra vez, lo que es algo genial.

En navegadores como Firefox tienes la opción de especificar una clave maestra de modo que si alguien algún día va a tu configuración de Firefox a ver tus claves, este le pida una clave maestra antes de mostrarle las claves a quien sea que esté indagando.

Pero en Chrome (y esto me ha dejado totalmente atónito), Google no pide una clave maestra y sencillamente te muestra las claves directamente sin ningún tipo de seguridad adicional.

En serio.

O en otras palabras, si utilizas Google Chrome, y dejas tu escritorio por un minuto, y alguien tiene acceso a tu navegador Chrome, esa persona puede, sin entrar absolutamente ninguna contraseña, ver todas tus claves.

¿Cómo? Tan sencillo como ir a la pantalla de configuración de Google Chrome, después al gestor de claves, y cuando veas una clave (que se presenta como *******), simplemente le haces clic al botón que dice "Show" (o asumo que "Mostrar" en español), y ves la clave inmediatamente.

Y sí, cuando vi todas mis claves de esa manera, yo también me quedé anonadado...

Y si todavía no lo creen, simplemente escriban esto en la barra de direcciones de Chrome para ir directamente al gestor de claves:

chrome://settings/passwords

Quien alertó a todos de esto (fuente, Elliot Kember) incluso se puso en contacto con el cabecilla de seguridad de Google, Justin Schuh, quien dice que "esto no va a cambiar".

Pues si esto no cambia, esta sería la primera razón real que tengo en 3 años de dejar de utilizar a Chrome y regresar a Firefox, por lo que esperemos que esto cambie, y pronto...

Nota: Esto no aparenta afectar a los navegadores Chrome en móviles, solo de escritorio (Windows, Linux, Mac OS X).

autor: josé elías

Comentarios

  • No se que le habre configurado al mi chrome, pero por ejemplo tengo mi facebook que se loguee automatico sin embargo en el listado de passwords no me sale lo de facebook :| ... me imagino es que eso es buena noticia pa mi

    • Porque FaceBook usará una cookie.

  • desde un comienzo fue asi lamentablemente, me salvo dado que trabajando en sistemas sensibles, jamas guardo claves.

    Por otro lado, facebook tiene otro error para mi gravisimo que es que podes exportar los rss, de igual manera, si alguien deja el facebook abierto, tan solo basta con llevarse la url de las rss del usuario y con eso ver todo las notificaciones q recibe desde cualquier lector de rss

  • Bueno yo solo uso recordar claves en mi lap, nunca en otras computadoras, pero esta muy mal eso

  • En Mac se almacenan en el llavero del sistema que esta protegido por el Password de inicio de sesión

  • Eso pasaba en Firefox hace algunos años. Hace algunas versiones no lo uso.. pensé que seguía igual.

    • Como dije en el artículo, Firefox te da la opción de especificar una clave maestra la cual hay que ingresar si quieres tener acceso a las claves almacenadas, y esa funcionalidad tiene ya al menos 5 o 6 años si no recuerdo mal.

      • Voy a poner un comentario de otro blog, esta en ingles, pero bueno seguramente varios lo entenderán entre ellos Eliax. Como ves, Firefox no es la solución, sino que da una "falsa seguridad".

        "Incorrect. The master password makes no difference, unless you close Firefox. And if you're going to do that, it would be much more convenient to just lock the screen, which is what you SHOULD do when you step away from the computer.

        Demo this for yourself. Start Firefox and enter your master password, as it prompts you to do when you start it. Note that there is no menu option to forget the master password once you've entered it - you have to close Firefox to do that.

        Now pretend you've stepped away to the toilet for a 2 minute break, and your flatmate sits down at your computer before the screen locks, exactly the example you provided.

        1. Go to a website where Firefox has a stored password. Firefox fills it in, you see dots.

        2. Right click on the password box, and click inspect element in the menu. A developer console opens at the bottom of the screen.

        3. In the developer console, on the highlighted line, change type="password" to type="". This takes just a second.

        4. Look at the screen. Ta-dah! Password revealed!

        Conclusion: Lock your screen! Use your operating system security the way you should! This demonstrates why Firefox's solution is actually WORSE than Chrome: you actually believed you were more secure using Firefox so you didn't need to lock your screen, but you were wrong. The illusion of security without the reality."

  • en la version Versión 25.0.1364.172 m Esto NO aparece verifiquen cual es su version

    • Versión 28.0.1500.95 m y si pasa..

    • Yo tengo la versión 28.0.1500.95 (que es la más reciente) y tengo el problema (y como dije, Google dice que no planea cambiar esa funcionalidad).

      • Bueno olvide decir que uso Ubuntu, es decir que en las versiones de linux aparentemente no deberia existir tal situacion

  • de hecho siempre ha sido asi, por eso que en todos estos años que uso chrome jamas he puesto para que guarde mis principales cuentas (correo, facebook etc)
    pense que no era tan grave, pero ya veo que si

  • Oh Por la Orden del Jedi! OMJ

  • No se si estoy mal hace mucho conocía esto, pero creí que era algo normal, pues si verificas otros navegadores en especial Firefox. Realmente él hace lo mismo, con la diferencia de que firefox te da la opción de mostrar todas las contraseñas guardadas al mismo tiempo. Si lo deseas en Firefox haz lo siguiente:

    1) Clic en el menú herramientas
    2) Clic en opciones
    3) Clic en la pestaña seguridad
    4) Clic en contraseñas guardadas
    5) Clic en mostrar contraseñas

    Con esto firefox también te mostrará todas las contraseñas.

    Realmente creo que solo se deben almacenar claves en equipos laptops en donde ninguna otra persona tenga acceso.

    • Como dije en el artículo, Firefox te da la opción de especificar una clave maestra la cual hay que ingresar si quieres tener acceso a las claves almacenadas, y esa funcionalidad tiene ya al menos 5 o 6 años si no recuerdo mal.

      • Siendo algo tan sensible dejar una clave "maestra" como algo opcional sigue siendo un crimen disfrazado de libre albedrio.

    • En firefox no lo permite, tiene una clave maestra, solo que si no se configura la clave maestra, obio que no te la pedira... pero tienen ese percance corregido con lo de clave maestra, me sorprende qe chrome aun no haya corregido esto.

  • creo que a partir de ahora seré mas amable a la hora de prestar mi pc a mis amigos =)

  • Saludos,

    Acabe de mirar en Firefox y se puede hacer lo mismo. De hecho muchos amigos saben esto desde hace siglos.

    (Yo no sabía)

    :)

    • Como dije en el artículo, Firefox te da la opción de especificar una clave maestra la cual hay que ingresar si quieres tener acceso a las claves almacenadas, y esa funcionalidad tiene ya al menos 5 o 6 años si no recuerdo mal.

  • Jajaj a mi me servía pues olvide algunas claves, pero nunca lo ví como un fallo!! que mal por Google

  • Por qué tanto revuelo por una noticia tan vieja?
    Chrome ha sido así desde siempre.

    Tampoco entiendo porque Eliax dice que es una razón para volver a firefox

    No sabías que en chrome se podía hacer esto desde siempre ?

    Si no lo sabías me sorprendo, siempre estás al día, por eso leo tu blog :)

    PD: creo que es mi primer comentario, leo el blog desde hace varios años :)

    • Cesar,

      Dada la reacción de los lectores a esta noticia, tanto aquí como en redes sociales, es obvio que muchos no sabíamos de esto.

      Y sí, para mi que utilizo mi navegador para cosas bastante sensibles, es de *vital* importancia que claves importantes no sean de conocimiento público.

      Por ahora mis opciones son:

      1. Regresar a Firefox.
      2. Utilizar a Chrome y entrar todas las claves manualmente cada vez que las necesite.
      3. Ver si encuentro alguna extensión para Chrome que me permita almacenar las claves de forma segura.

      Y gracias por volver a comentar, y recuerda, ninguno de nosotros lo sabemos todos, si fuera así no existiera razón para la existencia de blogs como este en primer lugar...

      • ¿Que tal si pruebas con lastpass?

    • Pues creo que es de lo mejorsito que he leído por aquí últimamente. Muchos no conocíamos ese detallito. Yo no me ando guardando claves en webs sensibles, pero mirando el listadito me di cuenta que la clave que uso para web sensibles estaba en unas que otras webs o daban pistas, así que las borre todas. Recuerden que no solo se trata de la pc que estemos usando, pues chrome sincroniza las claves en cada pc donde tengas chrome instalado, asi que yo mejor voy entrando mis passwords a mano, total ahora hay unos loggins últimamente en las webs hechos en ajax que no permiten el autocompletado y ya estoy acostumbrado a escribirla manual.

      Y de paso, ahora tengo una forma de descubrir password de otras personas de manera fácil... Rayos, no hay ni que instalar Keyloggers, la verdad no soy taliban de la seguridad y la espiadera, me da 33 la espiadera, que el Prims y esas cosas, pero esto es un ataque directo y que si podría afectar a cualquier persona. Yo prefiero que el gobierno de USA me espíe, pues dudo que encuentre algo de su interés, Pero no me gustaría nuncaaaa, que me espíe un vecino... pues ese si que puede encontrar... XD

  • Siempre he sido desconfiado a la hora de guardar mis contraseñas en cualquier ordenador, sea cual sea el navegador.

  • Yo sabía de esto desde hace mucho tiempo y no me molesta, no acostumbro a utilizar logueos automáticOs y las pocas claves que Chrome recuerda ni aparecen en esa lista por alguna razón...

  • ¿Alguien quiere una prueba más clara de que a google le importa un bledo nuestros datos personales?

    Yo daba por sentado que el navegador guardaba una llave criptográfica que enviaba a las páginas. De tal modo que en caso de robo tocaba hacer un ataque de fuerza bruta sobre los archivos capturados para poder dar con la clave. De paso le compraba tiempo al usuario para que cambiara las claves. Ni que decir que el navegador usara esteganografía para las claves.

  • Si, eso lo tiene desde sus inicios!!!

  • Es lamentable pero se cumple y se seguirá cumpliendo aquella frase "Seguridad informática, que buen chiste",

    La Informatica desde sus inicios a demostrado ser menos segura en la protección de datos privados que un candado oxidado contra una cortadora industrial. recuerdo cuando las claves se guardaban en archivos de texto plano.

    Yo atiendo 5 laboratorios de computadoras (2 de ellos iMacs) y como parte de evitar estos delirios de inseguridad instruyo a los usuarios a no usar las computadoras para transacciones bancarias y de paso configuro los exploradores para BORRAR todo al cerrar la navegación y que no guarden las contraseñas.

    El guardado de contraseñas lejos de ser una "facilidad" para el usuario mas bien es una invitación para la inseguridad.

    No son pocos los usuarios que al dañarseles su disco duro no sabían sus claves ya que dependían al 100% del guardado automatico.

    Es claro historicamente hablando que cada Sistema Operativo y cada software incluido en él tienen sus debilidades las cuales pueden y son usadas por autoridades de la ley y por criminales, ambos casos para sus intereses particulares.

    Reflexion: Imaginen si nuestros cerebros fueran asi de "seguros" que defensa tendríamos contra tanto defensor de la ley y tanto criminal.

  • Curioso.... Menos mal que yo uso firefox (por quitar la publicidad mas que nada). Pero Eliax, veo que siempre contestas que en firefox se puede poner una clave maestra...... Pero no como hacer eso!! jeje. Yo veo mis claves como si fuera chrome..... Alguna ayudita??

    • En la pantalla de configuración de Firefox ve a la pestaña que dice "Seguridad" y ahí verás una opción de poner una clave maestra... ;)

    • Exactamente arriba a la izquiera de donde le diste click para ver tus contraseñas (Contraseñas guardadas), hay un recuadro que no esta seleccionado por default, se llama "Usar una contraseña maestra", seleccionala y de forma automática te va pedir tu contraseña.

      • Gracias a los dos.

  • Aquí explican en este artículo que esto siempre ha sido así en chrome y más o menos explican por qué:

    http://www.wired.com/threatlevel/2013/08/chrome-password-manager/

    A mí la verdad no se me hace tan grave sobre todo porque siempre ha sido así, yo en realidad no presto mi laptop y cuando me muevo de mi lugar siempre la bloqueo, pero cada quien puede formar su opinión

    PD: Espero que salga mi comentario :P

    • Joel,

      Desde el punto de vista de un hacker con talento Google tiene razón, pues si alguien tiene acceso a tu PC, no importa que tengas una clave maestra, ya que este hacker tendrá herramientas para descodificar tus claves.

      Sin embargo, ese no es el punto. Incluso en el mismo artículo que compartes hablan de eso: El problema es protegernos del usuario común, el compañero de trabajo, el curioso, o sencillamente alguien que quiera hacerte daño o meterse en tu vida privada, quien lo puede hacer muy fácilmente sin ser un hacker en un par de segundos sin ninguna herramienta especializada. Es de estas personas, no de hackers profesionales, que nos queremos proteger con una clave maestra...

      • Por eso decía que cada quien puede formar su opinión jeje, sin embargo también considero que se ha hecho mucho escándalo en los medios porque es un comportamiento por diseño de chrome y lo pintan como un bug, cuando como el mismo desarrollador de chrome lo dijo decidieron que se quedara así; incluso aquí comentan que el password del usuario del SO sería como el master password para chrome:

        http://www.howtogeek.com/70146/how-secure-are-your-saved-chrome-browser-passwords/

        Eso sí, también estoy de acuerdo contigo en que sería bueno ponerle trabas a los usuarios "comunes" (que no son hackers), sin embargo lo que no entiendo es por qué alguien prestaría su PC con sus passwords guardados a alguien o por qué la dejaría desbloqueada en un lugar donde haya más personas. Digo esto porque si por ejemplo estoy en firefox con el master password configurado, entro a facebook, cierro sesión y la dejo desatendida, a alguien que no sea hacker se le puede ocurrir intentar entrar a sitios personales míos, y si entra a facebook se le pondrá mi passowrd en el campo correspondiente y podrá iniciar sesión haciendo lo que quiera, tal vez a esto se referían con el falso sentido de seguridad jeje.

        Pero bueno, es mi opinión, y es un gusto platicar de estos temas ya que soy seguidor del blog.

        Saludos

  • Justo la semana pasada me tome el tiempo para mover todas mis claves guardadas en Lastpass a Chrome, todo por eliminar el uso de una extensiones y apps adicionales... estoy empezando a lamentar mi desicion :(

  • es grave ese asunto pero no tanto como algunas cuestiones muy preocupantes respecto a la privacidad como en el caso de android que su ultima versión rastrea la ubicación del usuario incluso cuando no tiene conexión wifi.

    El caso de apple (intocable para eliax)su ultima versión Guarda la pista completa del perfil, de movimiento sin que uno supiera, ademas se alía con el Gobierno de EE.UU y los funcionarios pueden controlar el movil de otra persona, apagarlo, bloquear aplicaciones,prihivir la toma de fotos de protestas...

    Provocan el cierre del servicio de correo electrónico Lavabit (protegida mediante claves encriptadas) al presionar a su fundador a convertirse en cómplice de los crímenes contra el pueblo estadounidense al ser aprobadas leyes por el congreso que permiten el espionaje a dichas cuentas por parte del gobierno.

    • Elias es una persona informada, sabe perfectamente que las leyes estadounidenses lo meterían preso si abre la puerta a comentarios sobre espionaje y de mas, al buen estilo de la KGB.

      no se le puede culpar de estar bajo amenaza de prisión.

  • No debe de sorprender tal situacion, recordemos que google espia a sus usuarios con o sin el aval del gobierno. Para ello es mas facil acceder a la informacion si no tiene que descifrar nada.

    Google Chrome como bien se supo en algunos analisis del pasado era el peor navegador en lo que a seguridad se refiere, de alli que sea rapido, sin contar que algunas paginas no son compatibles dado que que chrome pasa por alto algunos elementos del estandar W3C.

  • Hola, la verdad para mi la primera regla de seguridad básica es "nunca usar la opción de recordar contraseña" y nunca lo hago... pues hay desde métodos simples hasta complejos por los cuales poder robar esa contraseña al navegador.

    El más sencillo y el que me llevó hace unos años a tomar esa primera regla muy en serio es que de nada sirve que el navegador almacene las contraseñas cifradas con lo que sea, si siempre lo que termina haciendo es llenando el mismo los datos en las casilla con el password "plano"... basta con un script puesto en un bookmarklet para revelar que dicen los asteriscos... y esto funciona tanto en Chrome como en Firefox como en cualquiera.

    Saludos

    • Exacto, a recordarlas se ha dicho.
      A veces no ejercitamos la memoria y cada vez es peor.

      Alguien se acuerda cuando no habían teléfonos móviles y se llamaba por cabinas telefónicas? Nos acordábamos de muchos números de teléfono.

      Ahora la mayoría de gente no recuerda ni 5.

  • Pero esto ya es de hace un tiempo si no me equivoco, pues recuerdo hace unos meses un amigo me dijo de ese "truco" para mirar contraseñas en Google Chrome

  • Señores por favor no se alarmen, no es el momento de cambiar de navegador, el password box es una aplicación para chrome que gestiona tus contraseñas y tu solo tienes que colocar una contraseña maestra y listo se acabo el problema.

  • joder !
    y yo todo confiado le preste mi pc a un amigo ingeniero :O
    Joder !

  • No es problema tan grave como lo pintas . Todo empieza por un fallo gravísimo de privacidad del usuario, que es dejar el escritorio sin bloquear. A esas contraseñas solo puede acceder el propio usuario, nadie desde cuentas ajenas.

    hay que tener en cuenta que dejándolo sin bloquear, que nos roben la contraseña de Facebook o Twitter, es uno de los menores problemas que podemos tener. dado que la mayoría de la gente tiene en su equipo otras cosas como datos temporales, documentos personales o fotografías que jamás subiría a una red social.

    A tenor de esto cualquier problema de privacidad que suceda en la sesión de usuario es, en primer caso, culpa del usuario, y no de la aplicación.

    • Estás pensando como un ingeniero de software, no como un usuario de software, y ese es el gran problema...

  • yo había visto esto antes, porque por error y confiado descargue chrome en mi universidad en una de las computadoras de la escuela y por confiado lo configure como si fuera de mi casa, al darme cuenta de esto tenia miedo de que alguien supiera de eso y viera mis contraseñas.

  • Hummm... creo que tengo una idea de por qué la gente de Chrome no piensa agregar esa opción. A ver, una encuesta:

    1) Que levante la mano el que haya puesto clave al almacén de claves de Firefox.

    2) Que levante la mano el que se haya quejado u oído quejas alguna vez de un almacén de claves protegido por clave (como el kwallet de KDE).

    • El comentario mas sobresaliente a este punto.

  • Lo mejor, no guardar NUNCA tus claves. Y antes que me digáis que tenéis muchas, por mi trabajo tengo decenas de claves.

    Solo se tiene que utilizar reglas mnemotécnicas y en poco tiempo será casi automático.

    Probar y ya veréis ;)

  • Si dejas tu sesión abierta no solo tienen acceso a tus contraseñas si no a todos los datos de tu equipo...

    En Windows es muy recomendable habilitar una contraseña para tu inicio de sesión y bloquear el equipo siempre que te ausentes del equipo (tecla de Windows + L es lo más rápido).

  • Yo es que nunca guardo las claves por seguridad, no me fio, el sitio mas seguro es en mi cabeza xD.

  • No me sale ningun password, gracias por la alerta.

  • La ultima vez que revise en firefox no se podia lo de contraseña maestra y en chrome el mismo problema asi que Eliax la solucion es bien sencilla y llevo haciendolo de esta forma hace años: Usar un gestor de contraseñas, basicamente estos te permiten tener una contraseña maestra para todo el sistema operativo y no solo se limita al navegador y te autologea en todos los websites al mismo tiempo que protege tus credenciales. En mac uso 1Password y en windows el antivirus Kaspersky trae un gestor muuuuy bueno, saludos.

  • Mal por Google. Yo no lo sabía. Por defecto no se podría mostrar ninguna contraseña, ninguna. Uso un montón de servicios y no me gusta nada que se pueda ver mis contraseñas. Si le doy a que la guarde es por la comodidad de no tener que loguearme cada vez que entro en un servicio. Ya me acordaré de ellas cuando las necesite.

    Saludos.

  • A mi nunca me gusto la opcion de recordar claves de los navegadores... por eso tengo solo 3 claves diferentes con distintos niveles de seguridad que uso en todos lados... y me las acuerdo yo mismo

  • Aterrado estuve cuando descubrí ésto y al ver el historial super detallado que proporciona chrome a todos. Mi solución es utilizar dos chrome (en casa y el trabajo) uno limpio con acceso en el escritorio para que todos usen y otro con mis cosas,claves,marcadores,sicronización,etc, al que accedo con un acceso directo oculto: "c:\archivos de programa\google\chrome\application\chrome.exe" --user-data-dir="c:\carpetamia\chrome" más una extensión Click&Clean que me borra el historial al salir.
    Increíblemente funciona de maravillas....

  • eso ya lo sabia desde siempre y no me quejo

  • El Navegador que utilizo por defecto es el Safari y despues utilizo el Firefox, nunca me ha gustado mucho el Chrome; bueno al grano, Pues en Safari No necesitas clave maestra como en el Firefox, ya que tu password para accesar a la Mac es el que tiene como master, en cuanto a firefox, pues he puesto la clave maestra.

    Saludos.

  • Soy desarrollador Web y personalmente utilizo Firefox.
    Internet explorer lo quieran creer o no, pero esto es cierto, es el mejor para realizar tramites administrativos, de becas y papeleos.
    Para casi todo lo demas no vale para nada, sus competidores mas directos le aventajan en HTML5.
    Y google chrome es más lento que firefox.
    En firefox puedo abrir cientos de pestañas por ejemplo de Youtube y cargan rapido, mientras que chrome para mi personalmente es peor en este sentido pues habre un proceso para cada pestaña.
    Chrome tiene la ventaja de ser puntero en programación web ya que tiene gran cantidad de los estandares.

  • Tambien existe el truco de hacer clic derecho sobre el formulario de acceso (cuando aparecen los campos en amarillo y se autocompletan con el nombre de usuario y la contraseña) y dando a "inspeccionar elemento" con lo cual, abrimos una herramienta para edición del código html de la página. Luego, sustituimos la palabra "password" por "text". Esta es otra forma de desenmascarar las claves guardadas en Chrome. Saludos.

  • Open firefox and navigate to a login page where your password is saved
    >Right click on password box and click inspect element
    >In the console, change type="password" to type=""
    >Move your eyes back to the password field

  • OMFGGGGGGGGGGGGG HAHAHAHA NO LO SABIA!!! DIOS!!!! EL PODER QUE ME HAZ ENTREGADOOOOOO!!!!!!

  • Cualquier persona con un mínimo de curiosidad y conocimiento tecnologico sabe de esto, siempre ha sido asi tanto en Firefox como en Chorme, no entiendo tanto alboroto.

    La verdad yo crei que esto ya era cultura general, triste me parece que la gente ni se tome la molestia de explorar un minimo las opciones de los programas que tanto usa....

  • Eliax fíjate que es algo de lo que ya te habías dado cuenta, sin embargo creo que al final pasaste por alto. En tu artículo 5363 - 24 horas con Google chrome primeras impresiones. Haces mención de este detalle. Hoy al estar curioseando en tu blog, lo leí.

  • O podrias no recordarla... vuelve a firefox, obvio. Nadie te lo impide...

Añadir Comentario

tu nombre
tu email
(opcional)
web personal
(opcional)
en respuesta a...
comentario de caracteres máximo
3 + 1 = requerido (control anti-SPAM)
 

"Por eso digo que eliax.com no morirá. Esa vocación de enseñar que emana desde lo más profundo de su ser le seguirá impulsando a escribir, aunque no lo hará todos los días.

Me gusta eliax.com desde hace varios años porque es diferente, dándole un tono distinto a lo que uno lee.

Nada, un placer leer este penúltimo capítulo de esta excelentísima novela cuyo final veremos mañana.

Sin embargo, tengo la acorazonada de que el próximo libro será todavía mejor :)
"

por "Emmanuel" en feb 9, 2014


en camino a la singularidad...

©2005-2014 josé c. elías
todos los derechos reservados
como compartir los artículos de eliax