Qualche tempo fa abbiamo discusso se fosse opportuno consentire al browser di memorizzare le password.
In quell'articolo abbiamo sottolineato l'importanza della crittografia.
«Conun gestore di password integrato nel browser, chiunque abbia accesso al tuo browser potrebbe visualizzare le tue password in chiaro, anche se Windows configurare Windows in modo che richiedal'autenticazione(la stessa che utilizzi all'avvio del dispositivo).»
In genere, i gestori di password dei browser salvano le password sul disco in forma crittografata, associandole all'account utente e proteggendole tramite il sistema operativo.
Tuttavia, di recente, un ricercatore nel campo della sicurezza ha sottoposto a test sistematici tutti i principali browser basati su Chromium per verificare come gestiscono le credenziali in memoria. Il ricercatore ha scoperto che Edge l'unico a caricare l'intero archivio delle password in chiaro nella memoria di processo all'avvio, dove rimane per tutta la durata della sessione.
È stato osservato che Chrome altri browser basati su Chromium decrittografano una password solo quando necessario (compilazione automatica o "mostra password"), non l'intero archivio, e utilizzano meccanismi come la crittografia legata all'app per le chiavi. Edge tali protezioni in questo contesto.
Il ricercatore ha quindi deciso di realizzare un proof-of-concept (PoC) per dimostrare che l'accesso a tale vault non richiede l'utilizzo di vulnerabilità zero-day o tecniche di exploit complesse. Si basa infatti sulla capacità, relativamente semplice, di leggere la memoria di un processo, che richiede tuttavia privilegi elevati.
Ma quando il ricercatore ha segnalato il problema a Microsoft, la risposta è stata deludente. La risposta ufficiale dell'azienda è stata che tale comportamento è "previsto dal progetto". Probabilmente la motivazione è che questo comportamento accelera l'accesso e la compilazione automatica dei campi, e che gli hacker avrebbero comunque bisogno di un computer compromesso o di privilegi di accesso elevati per leggere la RAM, cosa che Microsoft considera al di fuori dell'ambito di questa scelta progettuale.
Il che è sostanzialmente vero. Un aggressore deve già disporre di un punto d'appoggio significativo: ad esempio, l'esecuzione di codice sul sistema e la capacità di leggere la memoria di processo Edge, il che spesso richiede privilegi elevati. Non si tratta di una vulnerabilità remota e non autenticata nel browser, ma la sua struttura rende più facile la raccolta delle credenziali dopo la compromissione. Ed è una capacità che molti infostealer possiedono già.
È solo un'altra delle cose che un hacker può fare una volta che ha compromesso il tuo computer. Se a questo aggiungiamo lo studio accademico del 2024, secondo cui molti gestori di password, in determinate condizioni, lasciano trapelare le password in chiaro nella memoria, non possiamo che ribadire il nostro consiglio.
È opportuno consentire al browser di memorizzare le password?
Il gestore di password del tuo browser ti offre praticità, ma a scapito della sicurezza. Naturalmente, nemmeno i gestori di password sono infallibili, quindi è importante decidere autonomamente dove conservare le tue password.
Se sei sicuro che il sito web sia sicuro e che chiunque acceda al tuo account non possa scoprire nulla di nuovo, puoi tranquillamente salvare la password nel browser, ma disattiva la funzione di compilazione automatica per mantenere il controllo.
Utilizzal'autenticazione a più fattori (MFA) quando possibile. In questo modo riduci notevolmente il rischio nel caso in cui qualcuno dovesse entrare in possesso della tua password. Inoltre, evita di utilizzare il gestore di password del browser per memorizzare i dati della tua carta di credito o altre informazioni sensibili che consentono l'identificazione personale, come ad esempio le informazioni mediche.
Ma vorremmo aggiungere che, tra i principali browser, Edge essere l'opzione meno indicata se si decide comunque di utilizzare un gestore di password integrato.
Blocca le minacce prima che possano causare danni.
Malwarebytes Browser Guard automaticamente le pagine di phishing e i siti dannosi. È gratuito e si installa con un solo clic. Aggiungilo al tuo browser →
