I principali browser integrano un password manager ossia uno strumento che permette di conservare e gestire i dati di autenticazione inseriti nelle pagine web. Quando si decide di salvare nome utente e password nel browser, collegandosi alla pagina contenente il modulo di login durante una successiva sessione di lavoro, il browser predispone automaticamente – nei campi corrispondenti – i dati per l’autenticazione precedentemente memorizzati.
Se si lascia che il browser memorizzi le password, è bene comunque tenere a mente che tali informazioni sono ben lungi dell’essere adeguatamente protette.
Quando ci si collega con un sito web nel quale figura una procedura di login e le cui credenziali siano state memorizzate in precedenza, il browser dovrebbe mostrare – già precompilate – le caselle Nome utente e Password:
Con un semplicissimo trucco che consiste nel modificare la tipologia della casella contenente la password (ne abbiamo parlato nell’articolo Mostrare le password nascoste sotto asterischi e puntini nel browser web) è possibile leggere la password nascosta nel browser sotto asterischi o puntini.
Chiunque abbia la possibilità di accedere ad un sistema utilizzando l’account utente altrui può così recuperare le password nel browser web.
Lo stesso password manager del browser non offre, spesso, alcun genere di protezione. Così, accedendo al menù Strumenti, Opzioni di Mozilla Firefox, cliccando sulla scheda Sicurezza quindi sul pulsante Password salvate, si otterrà l’elenco completo delle credenziali d’accesso memorizzate con il browser da parte dell’utente:
Per recuperare le password in Firefox, basterà quindi fare clic sul pulsante Mostra password in basso a destra: l’elenco delle password salvate sarà visualizzato interamente in chiaro.
In Google Chrome, per recuperare le password, è invece sufficiente accedere alle impostazioni e cliccare sul link Mostra impostazioni avanzate:
In corrispondenza della sezione Password e moduli, bisognerà quindi fare clic su Gestisci password salvate.
Un software gratuito come WebBrowserPassView consente addirittura di recuperare le password di Internet Explorer, Firefox, Chrome ed Opera sotto forma di elenco testuale, immediatamente esportabile come file di testo.
Scaricabile gratuitamente cliccando qui, WebBrowserPassView viene spesso considerato un programma ostile dai vari motori antivirus e dagli strumenti integrati in alcuni browser che sono pensati per verificare la “bontà” dei file che si scaricano.
Più che di “falsi positivi” (ovvero segnalazioni errate), i vari strumenti per la sicurezza bollano WebBrowserPassView come “potenzialmente nocivo” solo perché si tratta di un programma che consente anche di recuperare le password altrui.
Com’è possibile evincere dall’analisi pubblicata su VirusTotal, WebBrowserPassView viene spesso indicato come “riskware“, “password stealer“, “hacktool” oppure proprio come “password viewer“.
È comunque bene sottolineare che WebBrowserPassView non è assolutamente un software dannoso: non contiene routine pericolose e conserva tutte le informazioni sui dati di autenticazione in ambito locale.
Nel caso in cui Chrome rilevasse come dannoso il file di WebBrowserPassView si potrà ignorare l’avviso e scaricare egualmente il file.
In caso di diffoltà, basterà ricorrere alla combinazione di tasti CTRL+J
per accedere alla lista dei download in Chrome quindi fare clic su Recupera file dannoso.
Nell’articolo Mettere al sicuro le credenziali d’accesso con KeePass. Come importarle da qualunque browser, abbiamo presentato nel dettaglio il funzionamento di WebBrowserPassView.
WebBrowserPassView, tuttavia, non è capace di esporre in chiaro le password che siano state protette ricorrendo ad una “master password“.
In altre parole, se si utilizza un browser web che consente di proteggere i dati di autenticazione ricorrendo ad una password principale, WebBrowserPassView non è in grado di visualizzare nulla dal momento che i dati sono salvati su disco in forma cifrata.
Il miglior livello di sicurezza viene in questo caso offerto da Firefox che permette di proteggere l’elenco di nomi utente e password con una “master password”, usata poi per cifrare tutte le informazioni su disco.
Per impostare una “master password” in Firefox, basta spuntare la casella Utilizza una password principale:
Nella finestra successiva, bisognerà quindi introdurre una password sufficientemente lunga e complessa.
Il motivo è molto semplice: attualmente non ci sono sistemi per risalire rapidamente alla “master password” specificata in Firefox. L’unico sistema è quello di porre in essere un attacco del tipo “brute force” con l’obiettivo di “indovinare” la password principale per successivi tentativi (vedere l’articolo L’importanza di scegliere password lunghe e complesse).
FireMasterCracker è un software che consente di recuperare la master password di Firefox ponendo in essere un attacco “brute force”. Il programma cerca di scovare la password principale usata per crittografare le credenziali d’accesso di Firefox usando dizionari di password e, quindi, provando iterativamente ciascuna parola chiave.
Anche FireMasterCracker, in forza delle funzionalità incluse nell’applicazione, viene considerato come un software potenzialmente nocivo da diversi motori antivirus ed antimalware (questa l’analisi su VirusTotal).
FireMasterCracker (scaricabile cliccando qui) è un software che, comunque, non crea alcun danno sul disco: esso viene valutato come potenzialmente pericoloso solo per il fatto di agevolare il recupero della master password di Firefox.
Ecco quindi perché, per proteggere la lista delle password di Firefox è bene indicare una parola chiave complicata, contenente caratteri alfanumerici, simboli e numeri; sequenze di caratteri, insomma, che difficilmente possono essere presenti in un dizionario.
Firefox, ogniqualvolta si visita un sito web contenente un modulo di login (le cui credenziali siano state precedentemente salvate nel “password manager”), espone una finestra di dialogo simile a quella seguente:
Questo per assicurarsi che le credenziali d’accesso possano essere suggerite in maniera automatica solamente all’utente a conoscenza della “master password”.
In Firefox la master password non è rimovibile in nessun modo da parte di chi non la conosca.
Chi volesse rimuovere la master password di Firefox può digitare quanto segue nella barra degli URL del browser:
È però bene sottolineare che, in questo caso, sarà rimossa non soltanto la password principale ma anche tutte le credenziali d’accesso memorizzate nel browser (si perderanno tutte le password gestite da Firefox).
Per quanto riguarda Chrome, invece, fino a qualche tempo fa i tecnici di Google avevano preferito non introdurre mai l’uso di una master password nel browser.
Secondo Mountain View, l’utilizzo di una “master password” avrebbe indotto negli utenti un falso senso di sicurezza. In Chrome si è quindi preferito, almeno fino a qualche tempo fa, utilizzare solo una funzione API di Windows che rende possibile la decifratura del file contenente le password memorizzate dal browser esclusivamente utilizzando lo stesso account utente Windows.
A fine 2013, però, Google ha parzialmente rivisto la sua posizione introducendo la master password in Chrome.
Diversamente da quanto accade in Firefox, però, per accedere all’elenco delle password in Chrome, l’utente deve digitare la password usata a protezione dell’account utente al momento utilizzato, e ciò indipendentemente dal fatto che il browser operi in Windows, Mac OS X o Linux.
Nel caso in cui non sia impostata alcuna password sull’account utente in uso (sconsigliatissimo), Chrome non richiederà alcunché. In Windows è sempre bene assegnare una password a ciascun account utente anche e soprattutto perché, in assenza di una parola chiave, non si potranno condividere file e cartelle.
– Condividere file, cartelle e stampanti tra Windows 7 ed altri sistemi operativi
– Condivisione di file e cartelle in Windows: risolvere le principali problematiche
– Condividere file e cartelle con utenti specifici. Da Windows XP a Windows 7
– Windows 7: il nome utente o la password non sono corretti. Come risolvere
Il problema, su Chrome, è che il nome utente e la password vengono suggeriti comunque, senza che venga richiesto l’inserimento della parola chiave abbiata all’account Windows in uso.
L’espediente illustrato nell’articolo Mostrare le password nascoste sotto asterischi e puntini nel browser web funziona quindi perfettamente.
Inoltre, chiunque riesca ad accedere a Windows utilizzando uno degli account utente configurati sul sistema locale, potrà riuscire a mettere le mani sui dati di autenticazione conservati nel password manager di Chrome.
Va ricordato, a tal proposito, come le password associate agli account Windows locali possano essere agevolmente modificate od azzerate utilizzando apposite utilità:
– Windows: cambiare la password di qualunque account dalla schermata di login
– Resettare o azzerare la password di Windows. Come cambiare la password di qualunque account utente (Video)
– Modificare od azzerare le password degli account Windows con Ubuntu live
Internet Explorer, invece, non utilizza comunque alcuna master password ed è quindi molto semplice, utilizzando ad esempio l’utilità WebBrowserPassView, recuperare le password salvate.
Per proteggere le proprie credenziali d’accesso, il nostro consiglio è quello di installare ed utilizzare un’applicazione che salvi in locale le password in forma cifrata e, grazie ad una stretta integrazione con il browser web, consenta di inserirle al bisogno nei vari moduli di login.
Tra le varie soluzioni citiamo KeePass e Sicurpas, entrambe già recensite a suo tempo:
– Mettere al sicuro le credenziali d’accesso con KeePass. Come importarle da qualunque browser
– Proteggere le password ed effettuare login automatici con Sicurpas 4.0 Pro