Perché Google Chrome permette di mostrare le password salvate?

[Rivelazione: lavoro per AgileBits, i produttori di 1Password]

Sospetto che tu stia facendo due domande separate.

1. In quali circostanze i dati delle password sono "bloccati"? (E perché?)
2. Perché è possibile visualizzare facilmente le password quando i dati sono sbloccati?

Posso affrontare la seconda domanda perché 1Password e Google Chrome hanno lo stesso approccio. Poiché differiamo sulla prima domanda, è meglio che qualcuno come Glen Murphy la affronti. Tuttavia, una certa comprensione della prima domanda (in generale) è necessaria per una risposta completa alla seconda.

Cosa intendo per "bloccato"

I gestori di password come quello di Google Chrome e 1Password generalmente memorizzano i dati delle password criptati se viene impostata una password principale. (1Password richiede di impostare una password principale; non conosco il comportamento attuale in Chrome). Bloccare i tuoi dati è davvero buttare via la chiave che è necessaria per decifrarli, e questa chiave è derivata dalla tua Master Password.

1Pasword è abbastanza aggressivo riguardo al blocco dei dati. Ci sono persone che ci chiedono di permettere un'opzione del tipo "non chiedere mai la Master Password" o "tieni sempre sbloccato", ma finora non abbiamo ceduto a queste richieste. Anni fa avevamo un'opzione "non richiedere mai la Master Password", ma l'abbiamo eliminata per una serie di ragioni.

Visualizzare quando si sblocca

Per default 1Password (e credo anche Chrome) non visualizza il contenuto delle password anche quando sono sbloccate. Questo per ridurre il pericolo rappresentato dai "navigatori da spalla". In 1Password questo può essere disattivato (in modo che le password siano sempre visualizzate) o si può scegliere di visualizzare le cose temporaneamente.

La capacità di visualizzare le cose quando sono sbloccate ha perfettamente senso. Poiché le password possono essere copiate o compilate in un modulo web, significa che quando i dati sono sbloccati, sono accessibili alla persona seduta alla macchina. E, naturalmente, a volte è utile vedere le password; per esempio se avete salvato qualcosa che dovete digitare in qualche altro sistema.

La cosa essenziale da ricordare è che nascondere le password sbloccate serve solo a contrastare i navigatori di spalle. Non fornisce la sicurezza che fornisce il blocco.

La difficoltà che affrontiamo nel nascondere le password quando sono sbloccate è che le persone possono pensare che i loro dati siano più protetti di quanto non lo siano. E così anche qualcosa che sembra una decisione di design di sicurezza abbastanza chiara può rivelarsi più sottile di quanto la maggior parte delle persone possa immaginare.

Un'immagine

Nella schermata qui, le cose nel riquadro arancione/giallastro riguardano il blocco e le cose nel riquadro blu riguardano l'occultamento delle password quando sono sbloccate.

Un caso per un blocco meno aggressivo?

Come ho detto, 1Password è abbastanza aggressivo riguardo al blocco, e naturalmente pensiamo di aver adottato l'approccio migliore. (Avevamo anche bisogno di risolvere una serie di problemi tecnici per permettere una sincronizzazione efficiente dei dati in background per permettere una sincronizzazione efficiente e un locking aggressivo). Ma un caso può essere fatto per un locking meno aggressivo.

Qualcuno che è seduto al vostro computer quando il sistema è loggato come voi ha un potere enorme. Per la maggior parte, può sostituire il software che state eseguendo con la propria copia dannosa (questo è sempre più difficile da fare, dato che i sistemi operativi insistono sulle firme del codice per le applicazioni, ma è ancora possibile, in particolare se siete un utente "admin" sul vostro computer.)

Quindi, dato che un attaccante che ha pochi minuti al vostro computer quando è in esecuzione come voi ha un potere enorme, c'è poco che un singolo programma (Chrome o 1Password) possa fare contro qualcuno che è pronto a utilizzare pienamente questo potere. Quindi fidarsi del gestore di password per bloccare i vostri dati può essere un errore, dato che l'attaccante potrebbe semplicemente sostituire il vostro software con la propria versione dannosa.

A conti fatti penso ancora che il blocco aggressivo sia una buona idea, ma questa è una chiamata di giudizio difficile che richiede un pensiero molto attento sui modelli di minaccia. Non è una sorpresa che diversi sistemi di gestione delle password adottino approcci diversi.