Tom's Hardware Italia
Sicurezza

Chrome mostra le password a tutti

Sapevate che chiunque usi il vostro PC può sbirciare le password salvate in Chrome?

È strano come alcune "funzioni" siano progettate in maniera così strana da poter sembrare dei bug, eppure… La genialata di cui parliamo oggi si trova in  Chrome, browser ottimo di per sé, anche se non perfetto, che ha la interessante caratteristica di non proteggere in alcun modo le password che vengono salvate per i siti internet.

E quando diciamo che non le protegge in nessun modo, non vuol dire che le salva in chiaro, ma che proprio le mostra a richiesta. Tutte queste password salvate, infatti, sono raccolte in chrome://settings/password.

Facendo clic su una password presente in questa lista, e quindi cliccando sul pulsante "Mostra", il browser ce la fa rivela senza fare una piega. Questa "feature" non è nuova, ma è stato portata alla ribalta recentemente da uno sviluppatore di software, tale Elliot Kember .

Justin Schuh, capo della sicurezza di Chrome, ha però difeso l'interessante funzione, dicendo che se qualcuno ha accesso al computer a livello di sistema operativo, la vostra sicurezza è già compromessa. A quel punto, specifica Schuh, un utente malintenzionato potrebbe installare malware nel sistema o accedere ad altri dati sensibili. Questo, diciamo noi, è assolutamente vero, ma non è che quindi dobbiamo anche evitargli la fatica di fare un po' di hacking e regalargli tutti i nostri dati…

Per esser comodo, il tasto "mostra" è sicuramente comodo. Peccato che in pratica regali le nostre password a chiunque possa usare il nostro computer. 

Schuh ha specificato che Chrome consente di difendersi da hacker e affini se cercano di collegarsi da remoto per carpire le password. Ma può dire la stessa se si ha a che fare con i cosiddetti "casual snooping", come possono essere un amico infido, un fratello, il coniuge o un collega? Sembra improbabile che uno qualsiasi di questi utenti potrebbe arrivare al punto di installare dei malware, ma una rapida occhiata alla password di Facebook  o di Twitter non sembra così improbabile. E Schuh non affronta questo problema.

Secondo la logica di Schuh egli vede Chrome semplicemente come un software che esiste all'interno di un altro sistema operativo. Ma sempre più, Chrome, è un sistema operativo all'interno di un sistema operativo, dove si trovano dati sensibili in applicazioni Web come Dropbox e Google Drive. Qualcuno che potrebbe avere breve accesso al vostro computer sarebbe in grado di gettare uno sguardo a queste applicazioni, ma qualcuno che riuscisse a leggere e copiare le password potrebbe continuamente monitorare gli account da una qualsiasi altra macchina. Chrome rende tutto questo troppo facile per le persone "vicine" che volessero ottenere tali password.

Nonostante tutto questo suoni come una cosa molto inquietante, si dispone di un paio di opzioni per prevenire il problema: in primo luogo, si può evitare di salvare le password in Chrome andando su Impostazioni – Impostazioni avanzate e deselezionando l'opzione "Chiedi di salvare le password che inserisco sul Web". Poi scegliere la voce appena sotto ovvero "Gestisci password salvate" e cancellare tutte le password che Chrome ha già salvata. Da questa pagina si può vedere anche questa "vulnerabilità" in azione semplicemente cliccando con il tasto destro sulla password e poi sul tasto "mostra"

Se odiate reinserire ogni volta le password prendete in considerazione un gestore di password come LastPass o Keepass. L'altra opzione è quella di "scollegare" il vostro account Google nelle impostazioni di Chrome ogni volta che si lascia in prestito il computer a qualcun altro o ci si assenta dal pc per un po' di tempo senza spegnerlo.

Idealmente, però, a Google basterebbe solo aggiungere un'altra richiesta di accesso, quando un utente tenta di visualizzare le password. Cosa che non fermerà un hacker con accesso al PC, ma almeno non lasceremo la nostre password visibili a occhi indiscreti. Firefox, che visualizza anch'esso le password salvate in testi in chiaro, offre agli utenti una opzione chiamata "Master Password" che fa proprio questo, anche se non è impostata di default ma bisogna crearla tramite i settaggi del browser.