viernes, mayo 07, 2010

David Hasselhoff te mira las passwords

Sé que este post no es necesario porque ya todos estáis al tanto de los peligros de dejarse la sesión del equipo abierta, pero… nos sigue pasando. A veces por comodidad, otras por prisas, o por simple despiste.

El viernes pasado, mientras se preparaba el Webcast de la FOCA 2.0 me comí un ataque de David Hasselhoff en mis carnes, y me jodió sobre manera. Solo me despisté 1 minuto, pero… me lo comí. Panda de cabrones. Sin embargo, ese es el menor de los males que me podría pasar, ya que me podrían haber hecho cualquier cosa en el equipo. Así que me lo tomo como lección aprendida.

Una de las cosas que pensé que podrían haber hecho es mirarme las contraseñas almacenadas en los navegadores web. Por suerte yo soy suficientemente paranoico como para no guardar ninguna contraseña en ningún navegador. Pero pensé… ¿cuánto tiempo tardaría alguien en mirarme las passwords si las tuviera almacenadas? Esta la prueba que hice.

En Firefox tardé 3 segundos en llegar a las passwods memorizando las teclas rápidas:


Alt+t -> Menú herramientas
O -> Opciones
Alt+ñ -> Contraseñas
Alt+M-> Mostrar todas
S -> Sí


Sin embargo, Firefox tiene una protección para ver las passwords: La contraseña maestra. Si has activado esta protección, entonces la única forma de ver las claves es sabérsela.


Figura 1: Protección de contraseñas en FF con clave maestra

En Google Chrome salen una a una, pero no hay posibilidad de usar una contraseña maestra.


Figura 2: En Google Chrome son menos pasos y no hay clave maestra

Por supuesto, para Internet Explorer 7 e Internet Explorer 8 es más difícil. Hay muchas herramientas, como IE Passview, que intentan recuperar las passwords cacheadas pero no es fácil. IE 7 e IE8 guardan las claves en 2 sitios:

- Autocompeltado de formularios: Es el famoso IntelligForms. Las passwords son un campo más de una URL. Se almacenan en el registro, cifradas con la URL del sitio. Sólo si guardas una historial de URLs visitadas y se hace un ataque de fuerza bruta con todas las URLs es posible descubrirlas. Selecciona la opción de borrar historial al salir y listo.

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\IntelliForms\Storage2

- Contraseñas de autenticación HTTP: Se almacenan en el perfil de usuario, como una clave más del sistema cacheado. Es necesario tener permisos de administrador, así que, por enésima vez, No te conectes como administrador al sistema.

La solución a todo este problema es fácil.

1.- No te conectes como adminsitrador al sistema
2.- No te dejes la sesión abierta.
3.- No cachees contraeñas en los navegadores.
4.- Usa gestores de contraseñas seguros.
5.- Si usas Firefox usa una contraseña maestra
6.- Si usas Internet Explorer 8 selecciona la opción de eliminar historial al salir.
7.- Si usas Google Chrome aplica los pasos 1 a 4 con especial cuidado.

En Dragonjar tienen un buen post sobre este tema.

Saludos Malignos!

11 comentarios:

  1. Para hacerlo tan rápido en Firefox tienes que estar en la pestaña seguridad, si estas en otra pestaña, el atajo Alt+ñ no va. Te tienes que desplazar hasta esa pestaña con el cursor y luego ya sí.

    Alguién sabe algún atajo para llegar directamente a la pestaña seguridad y de paso a cualquiera de las otras?

    NaCl u2

    ResponderEliminar
  2. Eso mismo iba a decir yo...

    De hecho, lo estaba buscando...

    Lo que más que he conseguido, por ahora, es desplazar esa "pestaña" con los cursores del teclado. Seguiré buscando...

    ResponderEliminar
  3. Cierto, pero guarda la última pestaña en que estabas. De todas formas no ví tecla directa para las pestañas.

    ResponderEliminar
  4. Te añado como referencia en http://hasselhoff.jottit.com/ :P

    ResponderEliminar
  5. Pues que quieres que te diga, el metodo mas seguro me parece el de la contraseña maestra... aplicandole siempre todas las buenas practicas de contraseñas claro esta.

    ResponderEliminar
  6. Lo de borrar el historial (cookies y más cosas) al salir lo implementa Firefox mucho antes que IEX.

    También es una buena solución para FF activar esa opción.

    ResponderEliminar
  7. Chema tenías que contarlo ;), esperaba algún cachondeo de los tuyos, pero no, lo dejas ahí como una simple comparativa mu profesional y hasta te has molestado en crear un vídeo demostración, eres único.

    @anonimo el problema es que al eliminar el historial reciente, con sus cookies y todo lo demás no se incluye “eliminar las contraseñas”, dándose un comportamiento desconcertante: Firefox mantiene guardadas contraseñas en claro, que luego no va a usar porque ha eliminado la cookie, pero si vuelves a un sitio y has olvidado la contraseña, no te preocupes, ya sabes firefox te ayuda a recordarla ;)

    Si eres admin de un sitio y no quieres que los navegadores guarden la contraseña de tus usuarios puedes usar autocomplete="OFF" en el form.

    ResponderEliminar
  8. Este comentario ha sido eliminado por el autor.

    ResponderEliminar
  9. Una cosa... si desmarcas la opción de que almacene contraseñas para los sitios web ¿te libras del problema, no? dado que en teoría no almacena nada.

    Una buena cosa, a tener en cuenta tb en FF es indicarle que al cerrar el navegador elimine todo rastro de tus actividades: cookies, contraseñas, historial de navegación, ...

    ResponderEliminar
  10. me kedo con el chrome., :.)

    ResponderEliminar
  11. Yo usaba FF con clave maestra, pero ahora estoy probando Chrome ya que FF me va muy lento y al ir a las opciones de seguridad veo que al darle a show pass me salta directamente al keychain de mi Mac OS X. Por lo tanto sin tener la pass de root de Mac no pueden ver mis pass, ¿estoy en lo cierto? Realmente creo que es un tema de vital importancia y dejaría de usar Chrome de inmediato si así no fuera.

    Muchas gracias.

    PS: ¿En windows las guarda en texto plano aún sin saber la contraseña de administrador?

    ResponderEliminar