La mayoría de los navegadores web incorporan una función que permite recordar las claves de acceso de los sitios visitados. Sin embargo, ¿qué garantía hay de que el navegador entregue las contraseñas solo a los sitios seleccionados por el usuario, y no a sitios de intrusos?
La compañía de seguridad informática Chapin Information Services ha probado la forma en que los programas Google Chrome, Microsoft Internet Explorer, Apple Safari, Opera y Mozilla Firefox gestionan la seguridad de las contraseñas.
Según la prueba, todos los navegadores, sin excepción, hacen un mal trabajo respecto de la protección de las contraseñas de los usuarios. Los navegadores Opera y Firefox obtienen la mejor puntuación, pero aún así sólo lograron superar 7 de 21 pruebas. Internet Explorer logró superar cinco de las pruebas.
Los peores resultados fueron conseguidos por los productos Google Chrome y Apple Safari, que sólo superaron dos de las 21 pruebas.
Formularios adulterados
Uno de los problemas de seguridad revelados en la prueba es que algunos de los navegadores pueden ser inducidos a enviar contraseñas correspondientes a distintos servicios, a un sitio único. Precisamente esta táctica fue utilizada durante un ataque a MySpace, donde los atacantes usaron un formulario adulterado de inicio de sesión. Debido a que tanto el formulario auténtico como el adulterado estaban almacenados en el mismo sitio, los intrusos pudieron acceder a la información de inicio de sesiones, esto es nombre de usuario y clave.
La vulnerabilidad también está presente en Firefox, pero sus desarrolladores ya habrían solucionado el problema. Chrome y Safari continúan siendo vulnerables ante este tipo de ataques, según Chapin Information Services.
Otro problema es que los navegadores no suelen comprobar a qué sitio está comunicando las contraseñas. Solo Firefox y Opera pueden evitar que el navegador permita enviar las contraseñas a otro dominio que aquél para el que fue inscrita cuando fue almacenada en el gestor de contraseñas.
De igual modo, formularios invisibles contenidos en algunos servicios también pueden activar la función de gestión de contraseñas de los navegador es. De esa forma, el navegador puede ser inducido a entregar la contraseña sin que el usuario siquiera se percate.
Usted mismo puede comprobar la seguridad de la función de contraseñas de su navegador en esta página.
info-svc.com/news/2008/12-12/pm-evaluator/
Fuente: DiarioTi.com
Publicado por: TuDecides.com.mx
Edición: Adrián Soltero
Contacto: dir@tudecides.com.mx
Nota: Por lo general todos los artículos cuentan con fuente y autor del mismo. Si por alguna razón no se encuentra, lo hemos omitido por error o fue escrito por la redacción de TuDecides.com.mx.
