Tutti i principali browser web disponibili sul mercato dispongono di un password manager ossia di una speciale funzionalità che si occupa, quando richiesto dall’utente, di memorizzare le credenziali d’accesso utilizzate per effettuare il login sui vari siti. In questo modo, non appena, durante una successiva sessione di lavoro ci si ricollegherà alla medesima pagina per il login, il browser predisporrà automaticamente – nei campi corrispondenti – il nome utente e la password precedentementi memorizzati.
Quando si lascia che il browser memorizzi le password è bene comunque tenere a mente che tali informazioni sono ben lungi dell’essere adeguatamente protette. E ciò non soltanto perché la maggior parte degli utenti non imposta una “master password“, una parola chiave a protezione dell’intero archivio dei dati di autenticazione del browser ma perché tali informazioni possono essere facilmente recuperate.
Un software come WebBrowserPassView, ad esempio, consente di recuperare le password da browser quali Internet Explorer, Firefox, Chrome ed Opera avviando una semplice applicazione (l’abbiamo presentata nel dettaglio nell’articolo Mettere al sicuro le credenziali d’accesso con KeePass. Come importarle da qualunque browser). Il programma, però, non è attualmente capace di esporre in chiaro tutti i dati che siano stati protetti ricorrendo ad una “master password“. In altre parole, se l’utente utilizza un browser web che consente di proteggere i dati di autenticazione precedentemente memorizzati ricorrendo ad una password principale, WebBrowserPassView attualmente non può nulla dal momento che i dati sono salvati su disco in forma cifrata.
Per i tecnici di Google, però, l’utilizzo di una “master password” infonderebbe negli utenti un falso senso di sicurezza. È proprio questo il motivo per cui, ad esempio, in Google Chrome manca del tutto la possibilità di impostare una password a protezione del proprio archivio dei dati di autenticazione.
In Chrome si è quindi preferito utilizzare una funzione API di Windows che rende possibile la decifratura del file contenente le password memorizzate dal browser solo utilizzando lo stesso account utente Windows.
Il problema, nel caso di Chrome, è che chiunque riesca ad accedere a Windows utilizzando uno degli account utente configurati sul sistema locale, potrà riuscire a mettere le mani sui dati di autenticazione. Va ricordato, a tal proposito, come le password associate agli account Windows locali possano essere agevolmente modificate od azzerate utilizzando apposite utilità (avevamo spiegato come modificare o azzerare le password degli account Windows nell’articolo Windows: cambiare la password di qualunque account dalla schermata di login e nel servizio Modificare od azzerare le password degli account Windows con Ubuntu live).
Ed anche quando si protegge l’archivio dei dati di autenticazione con una “master password“, chi dovesse riuscire ad utilizzare l’account dell’utente, può utilizzare un semplice trucco che sfrutta proprio l’autocomposizione automatica dei moduli online.
In cosa consiste? Quando si visita una qualunque pagina dalla quale si può effettuare il login, il browser completa automaticamente i campi “nome utente” e “password”. Nella casella relativa alla password, il browser inserisce dei puntini in modo tale che un’altra persona, situata nelle vicinanze, non possa immediatamente accorgersi della parola chiave scelta.
Cliccando con il tasto destro del mouse sulla casella “Password“, quindi selezionando Ispeziona elemento, il browser mostrerà il sorgente della pagina evidenziando la riga HTML che provoca la comparsa della casella per l’inserimento della parola chiave:
In figura abbiamo rappresentato ciò che accade utilizzando Google Chrome ma la procedura è sostanzialmente la stessa da seguire, ad esempio, con Mozilla Firefox. In questo caso, bisognerà semplicemente accertarsi, dopo aver selezionato la voce Analizza elemento, di fare clic sul pulsante “Pannello codice” in basso a sinistra (accanto al pulsante “HTML“) oppure premere la combinazione di tasti ALT+C
):
Facendo doppio clic sul parametro type="password"
si dovrà modificarlo, semplicemente, in type="text"
e premere il tasto Invio.
Come per magia, apparirà la password precedentemente memorizzata dal browser in chiaro (i puntini presenti nel campo “Password” risulteranno scomparsi):
Per trovare password nascoste da asterischi o puntini il semplice trucco può essere molto più rapido rispetto alla consultazione dell’archivio mantenuto dal browser.
Niente magia, comunque. Le versioni più recenti di browser quali Google Chrome e Mozilla Firefox consentono di modificare il DOM (Document Object Model) di qualunque pagina. Nel nostro caso ci si è limitati a trasformare un campo “input” variandone la tipologia: se, secondo le specifiche HTML, un campo di tipo “password” mostra un asterisco od un puntino ad ogni carattere digitato, un campo “text” è una cella di testo tradizionale che mostra in forma palese qualunque termine digitato (provate ad esempio a modificare i campi “text” in “password” presenti in questa pagina cliccando poi Edit and click me).
Anche gli utenti di Internet Explorer possono raggiungere il medesimo obiettivo premendo il tasto F12 quindi selezionando il comando Seleziona elemento con un clic dal menù Trova:
Dopo aver fatto clic sul campo “Password“, si potrà modificare il parametro type="password"
trasformandolo in type="text"
.
Morale? Le password memorizzate nel browser non possono mai essere considerate come al sicuro a meno che non si valutino soluzioni per la crittografia dell’intera unità disco o della partizione ove è installato il browser.