Allarme sicurezza per gli utenti Google Chrome. Nei giorni passati, il web designer Elliot Kember ha notato una falla piuttosto importante nel sistema di salvataggio password del browser web più utilizzato al mondo. Non importa con quanta cura si è scelta la password e il tempo impiegato per crearla e memorizzarla: chiunque abbia accesso al computer, può scoprire le password memorizzate in Google Chrome in pochissimi istanti.
Il caso
kember è venuto a conoscenza della falla mentre installava per la prima volta Chrome e importava vari contenuti (pagine rpeferite, cronologia, password e molto altro) da Safari. Smucinando tra le opzioni del nuovo browser, il web designer nota che le password gestite direttamente dal browser – quelle che si salvano e vengono caricate in automatico ogni volta che ci si logga, per intendersi – non sono criptate, né nascoste. Chiunque può liberamente vederle e, magari, modificarle.
Provare per credere
Nel caso in cui credeste che si tratti di una bufala, basta aprire una nuova finestra del browser e inserire nella barra degli indirizzi la stringa chrome://settings/passwords. Comparirà una finestra pop-up che permette di gestire le password salvate.
Per visualizzarle, basta scegliere una delle righe presenti (se presenti) e cliccare sul pulsante mostra. Senza chiedere alcuna password amministrativa o mostrare qualche messaggio di avviso, si potranno visualizzare tutte le password gestite da Chrome.
Difesa debole
La giustificazione fornita da Justin Schuh, capo sicurezza del progetto Chrome, lascia un poco a desiderare. “Non vogliamo dare agli utenti un falso senso di sicurezza, facendogli credere che le loro password sono protette anche se un altro utente riesce ad accedere al loro sistema. Una volta che qualcuno riesce a intrufolarsi, il gioco è già finito. Ha, infatti, sin troppe frecce al propri arco per impossessarsi delle password degli account”. Questa risposta, però, non tiene affatto in conto computer condivisi o computer che non richiedono password per l'accesso. Insomma, una risposta deficitaria, come il livello di sicurezza di Google Chrome.
Password manager
Un modo per aggirare questo problema è affidare le proprie password ad un'estensione per Chrome. Sul Chrome Web Store è possibile trovarne a decine, ognuna in grado di offrire opzioni e funzionalità diverse. Così anche l'utente più esigente potrà sempre trovare quella che fa al suo caso.
LastPass è probabilmente il password manager più conosciuto e utilizzato, e non solo per Google Chrome. Questa estensione permette di salvare le password al riparo da occhi indiscreti in una vera e propria cassaforte virtuale. Dotata della funzione di riempimento automatico dei moduli, non ci sarà alcun bisogno di interagire né con il sito web, né con l'estensione: sarà direttamente LastPass a individuare il sito su cui si naviga e tirare fuori la password richiesta. L'estensione – assieme alla suite di software collegata – permette di sincronizzare le password su più computer e di creare nuove password ogniqualvolta ci si iscrive a un nuovo servizio web.
8 agosto 2013