Chrome: nessuna protezione per le password salvate, tutti possono averne il libero accesso

Chrome: nessuna protezione per le password salvate, tutti possono averne il libero accesso

Da ieri si è sollevato un polverone sul metodo che utilizza il browser web Chrome per salvare le nostre password online, di fatto accessibili a tutti gli utenti che utilizzano il PC

di Nino Grasso pubblicata il , alle 14:01 nel canale Web
 

Come vi sentireste se qualsiasi utente che ha l'accesso al vostro computer venisse a conoscenza di tutte le password salvate su Google Chrome? È lo scenario che dipinge il web designer Elliot Kember mettendo in discussione le metodiche di sicurezza adoperate dal browser di Mountain View: in sostanza, immettendo un semplice URL un qualsiasi utente con accesso fisico al personal computer può visualizzare tutte le credenziali archiviate.

Chrome è progettato per chiedere agli utenti se vogliono memorizzare le proprie password online di volta in volta, rendendo più semplice l'accesso futuro ai propri siti più frequentati. Se l'opzione è selezionata, Chrome salva l'elenco di credenziali all'interno delle proprie impostazioni, che possono essere visualizzate in chiaro su schermo grazie ad uno strumento che ha fornito da molti anni.

Google Chrome password protezione non protette

Kember fa notare nel suo blog che se un utente digita chrome://settings/passwords su Chrome viene mostrata una lista contenente tutte le credenziali salvate al suo interno. Basta premere sul tasto Mostra a destra per visualizzarle in chiaro senza inserire alcun codice per il riconoscimento dell'utente.

Non è tardata ad arrivare la risposta di Justin Schuh, responsabile della sicurezza di Google Chrome, che ha chiarito il motivo per cui Google ha preferito non rendere sicure le password salvate sul proprio browser: "Non vogliamo fornire agli utenti un falso senso di sicurezza incoraggiando comportamenti rischiosi." Secondo Schuh infatti se un ipotetico hacker avesse accesso ad un PC "la partita sarebbe già persa", dal momento che sarebbero tantissimi i metodi per giungere alle password salvate.

Questo non tiene conto però della situazione reale in cui la stragrande maggioranza degli utenti non utilizza password per accedere al PC e al sistema operativo in uso e addirittura condivide il proprio sistema con altri utenti. Questi non sanno che chiunque può accedere alle proprie password salvate e conoscere tutti i dettagli per il log-in dei propri siti preferiti.

I browser concorrenti utilizzano un approccio più cauto sull'argomento. Firefox e Safari permettono agli utenti di visualizzare le proprie password ma forniscono strumenti di sicurezza più affidabili per proteggerle. Mozilla raccomanda l'utilizzo di una Master Password se si condivide il sistema con altre persone e sia Safari che Internet Explorer - rispettivamente di Apple e Microsoft - richiedono che l'utente effettui una procedura di identificazione usando una password di sistema. Chrome non utilizza né consiglia misure di protezione di alcun tipo.

Schuh spiega che Google ha trascorso letteralmente anni valutando misure di sicurezza in tal senso, senza riuscire a trovare qualcosa di concreto. Le risposte di Kember e dell'inventore del World Wide Web, Tim Berners-Lee, sono state schiaccianti nei confronti di Google: "La risposta del team di Chrome è stata decisamente deludente, eccovi il metodo per conoscere tutte le password di vostra sorella!", avrebbe confermato quest'ultimo su Twitter.

Al momento Google si trova di fronte ad un bivio. Chrome non è più uno strumento utilizzato solamente da sviluppatori ed utenti esperti, ma un'applicazione che ha un incredibile successo in tutto il mondo. Gli utenti che lo utilizzano non hanno il benché minimo sospetto che le proprie password siano liberamente accessibili a tutti gli utenti che utilizzano lo stesso personal computer. Google deve decidere al più presto se vuole implementare o meno soluzioni simili a quelle dei rivali, decisione che potrebbe invogliare gli utenti anche a guardarsi altrove per l'importante scelta del browser da utilizzare.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

21 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Darkon08 Agosto 2013, 14:49 #1
Penso che sia aria fritta in quanto anche un analfabeta di informatica trova facilmente tutorial dove ti spiegano passo passo come fare per trovare le password quasi di qualsiasi cosa quindi cambierebbe ben poco.

Inoltre se per rivedere le password devo impostare una password sarebbe questione di poco prima che maree di utenti si lamenterebbero che non possono più vedere le pass perché non si ricordano la password per vederle.

Un bel paradosso.
calabar08 Agosto 2013, 15:01 #2
E se ne sono accorti ora?

Il discorso è il medesimo anche per gli altri browser (con firefox le trovo tra le opzioni!), nessuno protegge davvero le password.

Probabilmente la cosa migliore sarebbe sviluppare il supporto da un wallet tramite protocolli standard, ma ho idea che la gente non lo userebbe molto.
JackZR08 Agosto 2013, 15:03 #3
Se non vuoi che uno veda la tua roba fai un account guest, il problema non è di certo Chrome...
polkaris08 Agosto 2013, 15:12 #4
Falla di sicurezza? E' ovvio che non do l'accesso al mio account, anche perché oltre alle passwd vedrebbe tutti i miei files personali!....se ho un ospite che deve lavorare sulla mia macchina gli do' un account Guest ..quindi dov'è il problema?
Starise08 Agosto 2013, 15:30 #5
lordsok08 Agosto 2013, 15:53 #6

re

lo sai cosa veramente protegge le password?
La testolina..
Se uno se le tiene a mente e non le rivela al primo che passa.. bè stai sicuro
VITRIOL08 Agosto 2013, 16:39 #7
Usare gli account di sistema invece di condividerne uno con tutti gli utenti no? 'Sta cosa per me è una mezza bufala...
Bivvoz08 Agosto 2013, 16:45 #8
Non condivido chi sostiene che non è un problema di chrome (o di altri browser se come qualcuno ha detto veramente si comportano allo stesso modo).

Non tutti sono appassionati o hanno una formazione informatica, se un browser da la possibilità di salvare le password deve proteggerle a dovere senza se e senza ma.

Ovviamente lo deve capire anche un ignorante in materia che se non slogghi e fai usare il browser ad un altro quello può entrare nei siti dove avete salvato la password (ma pure senza salvare la password visto che molti salvano l'utente con i cookies).
Ma da questo a poter leggere la password e scriversela da qualche parte c'è un'enorme differenza.
WarDuck08 Agosto 2013, 16:59 #9
Sempre stato contro le password salvate nel browser... è inutile e pericoloso, la gente deve imparare a ricordarsele e a scegliere password mediamente complesse.
Dumah Brazorf08 Agosto 2013, 17:11 #10
Originariamente inviato da: calabar
Il discorso è il medesimo anche per gli altri browser (con firefox le trovo tra le opzioni!), nessuno protegge davvero le password.


Ma anche no. Firefox protegge le password con una master password, cosa che dopo 28 release non si capisce perchè Chrome non abbia ancora implementato. Nelle opzioni si può vedere che username è applicata per un certo dominio ma la password è mostrata solo dopo aver inserito la master password.
Oltretutto con Chrome non sempre si riesce a salvare una password. Con diversi siti, vuoi perchè usano un redirect vuoi per certi attributi che bloccano l'autocompletamento dei campi, non c'è modo di poter salvare i parametri di accesso. Anche modificare le password già salvate può essere frustrante.
Insomma anche secondo me dovrebbero rivedere pesantemente l'implementazione del salvataggio password.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^