No Deje que Google Administre Sus Contraseñas
Telegram Radio
Los expertos nos dicen que confiar en Google Chrome (o cualquier navegador) para administrar sus contraseñas es una muy mala idea. Aquí está por qué.
Por Neil J. Rubenking
Programas de gestión de contraseñas han existido desde los años ’90, y a los principales navegadores se agregó la administración de contraseñas como una característica incorporada a principios de la década de 2000. Desde entonces, en PCMag hemos aconsejado que sus contraseñas salgan del almacenamiento inseguro del navegador y que se conviertan en un administrador de contraseñas adecuado y bien protegido. En aquel entonces, podríamos señalar a los administradores de contraseñas que extraerían contraseñas de su navegador, las eliminarían del navegador y desactivarían la captura de contraseñas basada en el navegador. ¡Eso seguro no suena seguro!
Afortunadamente, los navegadores han progresado y ya no dejan sus contraseñas tan abiertas a la manipulación externa. Si quieres cambie a un administrador de contraseñas dedicado, por ejemplo, es probable que tenga que exportar activamente contraseñas desde el navegador e importarlas a su nuevo producto.
Pero, ¿los navegadores han progresado lo suficiente de lo que podemos recomendar almacenar sus contraseñas en ellos? Específicamente, ¿debería usar Google Password Manager, que está convenientemente integrado en Chrome? Según los expertos, la respuesta sigue siendo un resonante ¡NO!.
Incluso los administradores de contraseñas dedicados Pueden tener fugas
Para una empresa que se basa en la gestión de contraseñas, la confianza lo es todo. Los contendientes serios usan técnicas de conocimiento cero para proteger sus datos cifrados para que nadie, ni la compañía de contraseñas, ni el gobierno, nadie, puede conoce tu contraseña maestra o descifra tus datos.
Aun así, los errores en la implementación pueden arriesgar la seguridad de la contraseña. En una serie de revelaciones que comenzaron en agosto pasado, aprendimos que los hackers comprometió una computadora clave de los empleados de LastPass para robar un número desconocido de bóvedas de datos cifrados. Peor aún, algunos elementos de datos importantes, como los dominios de inicio de sesión, no estaban encriptados. Es difícil de confiar en LastPass ahora.
KeePass es el administrador de contraseñas favorito de los técnicos, en gran parte debido a sus infinitas posibilidades de personalización. Sin embargo, ese mismo poder de personalización se ha revelado como una especie de talón de Aquiles’. Cualquier persona que obtenga acceso a su computadora, ya sea usando un Troyano de Acceso Remoto o al sentarse en su ausencia, puede roba todas tus contraseñas de Keepass. Es una simple cuestión de usar el Bloc de notas para crear una acción que exporte las contraseñas a texto sin formato y luego envíe los datos resultantes a una caída en Internet. Es cierto que obtener el acceso requerido podría ser difícil, pero el explotar es posible. O más bien, fueposible. La última actualización de KeePass, 2.53.1, eliminó la opción de exportar contraseñas sin requerir la entrada de la contraseña maestra.
Cómo Habilitar o Deshabilitar Google Password Manager
Antes de entrar en si debe usar Google Password Manager, permite revisar cómo puede apagarlo (o activarlo, si eso es su elección). Primero, asegúrese de haber habilitado Sync en todas las instancias de Chrome donde desee compartir contraseñas. Haga clic en el menú de tres puntos en la parte superior derecha de la ventana de Chrome, luego haga clic en Configuración. El elemento superior en el menú del carril izquierdo, titulado Usted y Google, debe seleccionarse inicialmente; si no, haga clic en él. En el cuadro de diálogo resultante, puede activar o desactivar la sincronización.
Ahora haga clic en Autocompletar, justo debajo de Usted y Google, y haga clic en Administrador de contraseñas. Si desea utilizar Google Password Manager, active los elementos Oferta para Guardar contraseñas e Inicio de sesión automático. Si no, apáguelos.
Para más, puedes leer Cómo dominar Google Password Manager. No, no lo recomendamos desde el punto de vista de la seguridad; pero, sí, sabemos que algunas personas van a sacrificar la seguridad por conveniencia.
Lo que Dicen los Expertos Sobre los Administradores de Contraseñas del Navegador
Para complementar mi propio conocimiento y experiencia, llamé a expertos de varias compañías de administración de contraseñas comerciales conocidas, incluido Craig Lurey, cofundador y CTO de Guardián; NordPass CTO Tomas Smalakys; y Michael Crandell, CEO de Bitwarden.
Los Administradores de Contraseñas del Navegador Son Convenientes Pero Peligrosos
Smalakys lideró con una advertencia contra el uso de un administrador de contraseñas de navegador, diciendo, “A pesar de los expertos en ciberseguridad’ advertencias continuas sobre las vulnerabilidades de los administradores de contraseñas del navegador, los usuarios de Internet continúan cayendo en la ‘¡Pero es conveniente!’ trap.” Lurey estuvo de acuerdo, señalando eso una publicación reciente del blog Keeper corrió una larga lista de por qué los administradores de contraseñas del navegador no son seguros.
El cifrado de conocimiento cero es la razón por la que los administradores de contraseñas dedicados pueden mantener sus datos seguros sin tener acceso a su contraseña maestra. “Googleloys password manager no usa cifrado de conocimiento cero,” declaró Lurey. “En esencia, Google puede ver todo lo que guardas. Tienen una función ‘opcional’ para habilitar el cifrado de contraseñas en el dispositivo, pero incluso cuando está habilitado, la clave para descifrar la información se almacena en el dispositivo.”
Smalakys estuvo de acuerdo en que los datos almacenados en el navegador no están protegidos de la manera en que se encuentran los datos de un administrador de contraseñas. “Hackers utilizan métodos de ingeniería social para engañar a los usuarios de Internet para que descarguen nuevas extensiones que puedan extraer fácilmente los datos almacenados en un navegador,”. Continuó diciendo, “Si bien no hay nada de malo en el almacenamiento en la nube de contraseñas, una compañía debe asegurarse de que los datos de users’ estén encriptados antes de que se almacenen en la nube. Por lo tanto, los usuarios de Internet deben elegir un proveedor de servicios que garantice el cifrado de extremo a extremo.”
Crandell arrojó un hueso a Google, diciendo, “Cualquier administrador de contraseñas es mejor que ningún administrador de contraseñas,”, pero continuó advirtiendo, “La limitación de los administradores de contraseñas basados en el navegador es que solo funcionan dentro de un jardín amurallado. Si alguna vez necesita operar en otro navegador, o en algún entorno al que no llegue ese navegador, no tendrá suerte.”
Los Administradores de Contraseñas Tienen Más Características
Lurey ofreció una larga lista de formas simples en que el administrador de contraseñas incorporado de Chrome no cumple con los estándares de los programas dedicados de administración de contraseñas. Para empezar, es específico de Chrome; si usas otro navegador, estás en el arroyo. No hay opción para compartir de forma segura las contraseñas, ni para establecer un heredero digital para su colección de contraseñas. El navegador almacena solo contraseñas, no datos personales como direcciones, números de cuenta y tarjetas de crédito.
Crandell también destacó la falta de características importantes en los sistemas de contraseñas basados en navegador. Señaló que tales sistemas carecen de “compartir de forma segura las contraseñas con colegas y familiares, soporte para el inicio de sesión biométrico y las claves de seguridad, informes sobre si sus contraseñas son débiles, reutilizadas, o se han violado, la integración con sistemas en el trabajo como SSO y muchas otras características.
Smalakys dijo, “Muchos navegadores no requieren una contraseña maestra o una autenticación multifactor (MFA) aprobación.” Google permite MFA, pero no lo requiere. Y, de hecho, no hay contraseña maestra. Si deja su escritorio con Chrome activo, cualquier persona que tenga acceso puede iniciar sesión en sus cuentas. Lo mismo es cierto si dejas que alguien más use tu teléfono.
Los Navegadores Te Bloquean
“Ten cuidado de encerrarse en cualquier jardín amurallado de grandes compañías,” advirtió Crandell. “Es importante tener libertad para trabajar en todas las plataformas y entornos, ya sean navegadores, dispositivos móviles o sistemas operativos de escritorio
Smalakys señaló el peligro de las cuentas conectadas. “En un escenario...usando un navegador Chrome, su seguridad depende de qué tan segura sea la cuenta de Gmail conectada,”, dijo. “Si esta cuenta de Gmail se ve comprometida, un hacker podría, sin mucho esfuerzo, acceder a todas las demás cuentas’ contraseñas guardadas en el navegador.” En una línea similar, Lurey señaló que, “El usuario debe confiar plenamente en Google para proteger su información.” Si se viola su cuenta de Google, también lo son todas sus contraseñas.
Un navegador está diseñado para navegar; la administración de contraseñas es una ocurrencia tardía. “Los administradores de contraseñas dedicados están poniendo todo su esfuerzo en desarrollar un administrador de contraseñas que sea seguro y pasan por auditorías independientes para garantizar esa seguridad, concluyó Smalakys. Crandell ofreció un sentimiento similar, diciendo, “Leading password managers se centran 100% en permitir tanto la seguridad óptima como los muchos casos de uso de contraseñas, por lo que son más ricos en características.”
En pocas palabras, Obtenga un Administrador de Contraseñas Real
Google Password Manager no utiliza las técnicas de cifrado de conocimiento cero que protegen los datos de contraseñas de todos, incluida la empresa administradora de contraseñas. Ni siquiera usa una contraseña maestra. Las herramientas de contraseña dedicadas ofrecen muchas características que no obtiene con un navegador incorporado. Y solo puede usar el sistema de contraseñas de Google en Chrome (o, hasta cierto punto, Android). Estas son solo algunas de las razones por las que debe obtener un administrador de contraseñas real en lugar de confiar en Chrome.
Es muy conveniente que Google Password Manager sea una característica gratuita de un navegador gratuito. Sin embargo, esa no es una razón lo suficientemente buena como para aceptar seguridad limitada para sus contraseñas. Weoteve evaluó mucho administradores de contraseñas gratuitos que ofrecen una protección seria para sus contraseñas al mismo precio de cero dólares, use una de ellas.
Fuente;
https://medium.com/pcmag-access/warning-dont-let-google-manage-your-passwords-6b20639daaff