Sí. Els navegadors estan gestionant malament les contrasenyes. Com aquest és un article d'opinió i així s'indica fins a titular, diré que molt malament. Fatal. I això és una cosa que personalment no havia valorat fins al llançament de Firefox 79, ara al canal totes les nits de Mozilla. La versió que es llançarà a l'agost arribarà amb una nova funció: la possibilitat d'exportar totes les nostres credencials a un fitxer CSV. En el cas de Linux, en aquests moments ni tan sols demana contrasenya per fer-ho.
Encara que he començat parlant de Firefox, això és una cosa que també passa a Chrome, Inclosa la possibilitat d'exportar les nostres contrasenyes a l'arxiu CSV que ja fa temps que està disponible a la proposta de Google, el que són dos dels navegadors més usats de el món i també és així en molts altres que gestionen les contrasenyes. Quin és el problema des del meu punt de vista? En realitat, dues: la facilitat per fer les coses i l'absència d'un avís que, si no afegim una contrasenya mestra, ens podran tafanejar totes les nostres contrasenyes en qüestió de segons. Té solució? Sí, i des del meu punt de vista, hi ha una molt senzilla que hem après d'Apple.
Apple ens va ensenyar com haurien de gestionar les contrasenyes dels navegadors
Les comparacions són odioses, sobretot en un bloc com aquest on s'espera que només es parli de Linux, però en ocasions és necessari abastar una mica més. Explicat això, parlem una mica per sobre de la companyia de la poma. Apple mai ha inventat cap roda, Això és així. L'únic que fa la companyia que dirigeix Tim Cook és agafar idees que han tingut altres, en ocasions millorar-les i després vendre-les com ningú. Una cosa que sí que han millorat és la gestió de les contrasenyes, i ara us explico per què.
Tot i que els ordinadors que més he fet servir sempre han tingut Linux, també tinc un vell iMac i un portàtil amb Windows. El meu iMac el vaig tenir sense contrasenya anys, fins que Apple va llançar iCloud Keychain i em va dir que, si volia fer servir aquesta funció, havia de posar-li contrasenya a l'equip. La hi vaig posar. Ara, si vull veure una mica de les meves contrasenyes en Safari, he de posar la contrasenya del meu usuari (de el sistema operatiu). Si no la poso, no veuré RES. Ni jo ni ningú pot accedir als meus credencials. Això és el correcte, sense cap dubte. No hi ha una contrasenya mestra en el navegador i el sistema operatiu es va encarregar d'avisar-me que si volia tenir les meves contrasenyes en ell, havia de configurar una contrasenya per a l'inici de sessió.
Com gestionen, mal, les contrasenyes Firefox i Chrome
Encara que mai m'ho havia plantejat, i com he explicat més amunt ho vaig fer amb el llançament del Firefox 79 i el seu nova funció, ni Firefox ni Chrome em demanen res quan vull veure els meus contrasenyes. Els navegadors suposen, mal descomptat, que l'usuari que ha accedit a el navegador és l'amo de l'ordinador o algú registrat en ell. Per tant, en el Firefox podem anar a about: inicis de sessió, Accedir a En cas de bloqueig i veure tots els nostres usuaris, estant les contrasenyes ocultes. Però, de què serveix que estiguin ocultes si podem copiar-les a l'porta-retalls? De poc. I la cosa no és diferent a Chrome: anem a Preferències / emplenament automàtic i aquí estan. Si toquem a la icona de l'ull, es mostraran. Què pot sortir malament?
Això ens fa pensar en un cas qualsevol al que li vam deixar a un amic o familiar nostre ordinador. No ho sé, perquè vegi un vídeo de gatets a YouTube mentre nosaltres ens dutxem, per exemple, per al sopar per a la qual hem quedat aquest dia. Nosaltres no sabíem que aquest amic no és un bon amic o per la raó que sigui vol aconseguir la nostra contrasenya de Facebook. L'únic que ha de fer és anar a l'apartat de contrasenyes, veure el nostre usuari, copiar la contrasenya i enganxar-la en un document de text. Aquest amic ja té accés al nostre Facebook. Així de fàcil.
Això no serà així a Firefox 79 per Windows, que sí que ens demanarà la contrasenya (De l'usuari de la sessió) per exportar les contrasenyes a l'arxiu CSV o copiar-des Lockwise, però en el Firefox 77 actual ens permet copiar sense introduir res. Firefox 79 per a Linux segueix permetent a qualsevol passejar pel nostre arxiu de contrasenyes com ase ni bèstia, tot i que l'usuari no sigui precisament el famós Pere.
Possibles solucions que s'haurien d'implementar ja mateix
En una consulta que li he fet a Firefox via Twitter sobre la versió de Linux, m'han dit que he de configurar una contrasenya mestra per evitar aquest problema. Què passa amb això? Que jo ja ho sé, però altres no. La solució no és endevinar què pot passar; la solució ens la han d'oferir les companyies. Sempre que sigui possible, jo no permetria l'accés a Lockwise sense posar la contrasenya d'usuari (de sistema) i m'oblidaria de la contrasenya mestra. Si això no és possible, i en Windows sí que ho és, els navegadors haurien avisar-nos d'això com fa Apple amb un missatge de l'tipus «o poses una contrasenya mestra o no podràs usar els clauers». El que crec que no és una opció és el que hi ha actualment: si nosaltres no ho tenim en compte i un altre sí, estem exposats.
Així que ja ho sabeu. Les coses podrien millorar, i almenys ho farà la versió de Firefox de Windows, però en l'actualitat, tots els navegadors, almenys en Linux, gestionen malament les contrasenyes. Ja que ells no avisen del que pot passar si no configurem una contrasenya mestra, ho faig jo en aquest article, que no hem d'oblidar que és d'opinió.
Molt cert, jo faig servir Firefox i no sabia que podia afegir una contrasenya mestra als meus credencials. Si no és per aquest article no m'hagués assabentat. Els desenvolupadors no informen en el moment en què vam començar a utilitzar Lockwise. És una molèstia.
Ja estava començant a utilitzar Bitwarden perquè pensava que els meus contrasenyes eren insegures ¿confien en Bitwarden o creuen que hauria de buscar un altre gestor?
Vaja, si he entès bé a l'articulista, els navegadors tenen la culpa que els usuaris no coneguin les seves prestacions (en aquest cas l'existència de la contrasenya mestra -característica que porta a Firefox des del paleolític inferior-).
Pel que diu l'articulista, la solució a aquest «error» dels navegadors seria que la contrraseña d'accés als comptes guardades no fos cosa opcional de l'usuari, sinó alguna cosa obligatori i predeterminat pel navegador. Deixant a part que jo prefereixo la llibertat d'elecció de cada usuari per ajustar el navegador al seu gust en funció de les seves preferències i circumstàncies. Això de la contrasenya mestra del Firefox té un petit error ,: Si et registres a segons quins webs, et saltarà, cada vegada que les visites, un avís perquè insereixis la contrasenya mestra (encara que no vulguis loguearte en aquest moment)
1. No tenia ni idea que resultava tan fàcil accedir a totes les meves contrasenyes.
2. Definir la contrasenya mestra ha estat extremadament simple i eficient.
Vists 1 i 2, un simple avís sobre la desprotecció de les contrasenyes guardades seria suficient per evitar la majoria dels problemes.
Quan el dany potencial és tan gran, i la solució tan simple, no advertir el risc es converteix en una negligència.
Entenc que des que l'articulista va comprar aquest iMac, fins que va voler utilitzar iCloud Keychain, no era un problema que ningú li demanés credencials per utilitzar o accedir a les contrasenyes guardades.
Tenia la possibilitat de posar contrasenya al seu usuari a la màquina des de sempre.
Suposo que Apple va informar que si no ho seves contrasenyes estarien desprotegides.
Deu ser per això que no hi ha analogia amb la contrasenya mestra del Firefox que, com han dit ja per aquí, hi ha gairebé des del principi dels temps.
Doncs en el cas d'Opera, cada que vull veure les meves contrasenyes el navegador em demana que ingressi la contrasenya d'usuari de sistema operatiu. No he vist que passa si el meu usuari no té contrasenya.
La meva humil opinió en defensa dels grans navegadors és que no emmagatzema les credencials per defecte, és l'usuari qui autoritza a guardar-les. Quan un entra a un lloc X, se li pregunta si vol guardar les contrasenyes. Per què atribuir als desenvolupadors web la responsabilitat de l'usuari ?? Si la vas guardar per voluntat pròpia i, o bé la prestes o bé, et ownean PC, estimat, jodete per tòtil. Se't va advertir abans.
Per als neòfits en Firefox (incloent aquells que durant anys usen el navegador de Mozilla desconeixent àmpliament les seves funcions), si volen millorar les característiques de el navegador però no tenen el coneixement o el temps per fer la contribució personalment, hi ha una característica anomenada "Envia Opinió », poden accedir-hi mitjançant:
Botó Menú> Ajuda> Enviar Opinió
Se't obrirà una pestanya en la qual se't pregunta si estàs o no d'acord amb Firefox, si respons no et demanarà que escriguis breument per què, això ajuda com retroalimentació per a Mozilla enfocar-se a millorar el servei de el navegador Firefox, és així com s'ha pressionat amb el tema de la privacitat, la incorporació d'elements que abans només podies tenir mitjançant complements, una decent incorporació de característiques d'HTML5 ... Si els redactors d'aquesta i altres comunitats de diversos llenguatges en el món s'organitzessin per corregir aquest problema massivament, Mozilla podria prendre-ho amb serietat a consideració per a les més pròxima entrega de el navegador Firefox.
Antigament, solia usar molt aquest servei per veure millores incorporades a el navegador sense haver d'usar un complement o per córrer decentment HTML5, però el més important és que anteriorment a l'enviar la resposta et oferien el Link perquè fessis seguiment als teus suggeriments, ¿el problema ?, que podies tafanejar en els suggeriments d'altres a nivell mundial i col·laborar per veure afegida aquestes característiques o perquè es corregís algun error, això ja no passa, ni veig on fer aquest seguiment ara, però, en el suport de Mozilla segueixen recomanant utilitzar Firefox Opinió per retroalimentar respecte de bugs, errors, caigudes, buits i informar de millores per al navegador.
Del que no estic d'acord amb el teu suggeriment de «o poses una contrasenya mestra o no podràs usar els clauers», és que demandes a que l'empresa obligui a l'usuari sí o sí a aplicar la contrasenya mestra per accedir a l'ús de lockwise, és a dir, això implica fins i tot modificar la manera com Firefox Sync treballa, ja que si no has col·locat contrasenya mestra, el Firefox Sync descarregues ni actualitzar contrasenyes, el maneig de les contrasenyes o la complexitat d'aquestes no és responsabilitat directa d'una empresa, sinó de l'usuari final que és qui demanda i consumeix el producte, el que sí es pot fer és que Mozilla emfatitzi en la importància després de la primera execució del Firefox i subseqüentment en l'ús del Firefox Sync, el fer ús de la contrasenya mestra per a la seguretat addicional de les contrasenyes en condicions a les quals l'empresa per qualsevol descuit de l'usuari ja no pot fer-se càrrec l'empresa. ¿S'entén ?.
Hola, gràcies per la publicació.
Et dic mes, en linux a el menys, ponele que et permeten utilitzar una màquina perquè necessites connectar-te a internet i obriu el chrome, et logueas al teu compte de google i sense voler vas posar sincronitzar compte ... Uff error es baixen totes las.contraseñas a aquesta maquina.
Fins ahi tot mes o menys ok. Vas, et deslogueas, també treus el compte de sincronització, obriu-cerras Chrome i Zaz, totes les teves contrasenyes i bookmarks etc segueixen en aquesta sessió de la.maquina.
Ok, vas a chrome, avançades, restablir chrome a fabrica i Zas, segueixen tota la teva informació ahi.
Bé, desinstal·lo i install Chrome novament ... Ufff encara segueixen ahi totes les teves contrasenyes i altra informació.
L'única manera que vaig tenir de treure la meva informació d'aquesta sessió de linux va ser ingressar manualment a l'Home d'aquesta sessió de Linux i esborrar cadascuns dels arxius de chrome ..
Terrible !!!
Molt bon article, però a Firefox el problema és encara més seriós. Si tens contrasenya mestra i el teu amic vol veure vídeos de gatets, no podrà sense la contrasenya mestra, ja que te la demana una i altra vegada per navegar com es fa regularment. Una solució evident seria que a ell no posar la contrasenya mestra es comenci una sessió de «convidat» per exemple, on no puguis tenir accés a les configuracions ni als inicis de sessió. O sigui la contrasenya mestra segueix tenint utilitat únicament per a l'amo de l'ordinador on s'executa Firefox. Aquest tema és realment seriós, no només en un ordinador personal, també és especialment seriós en ordinadors institucionals. Salutacions ...