Consentire al browser di salvare le credenziali per l’accesso ai servizi Web rappresenta oggigiorno un’abitudine per la maggior parte degli utenti. Questo permette di risparmiare tempo in fase di login, lasciando che sia il software stesso ad occuparsi di comunicare ai server username e password per l’autenticazione. Un post comparso sul blog del designer Elliot Kember mette in luce potenziali rischi nella loro gestione da parte di Chrome, ritenuta troppo rischiosa soprattutto per coloro che sono soliti condividere un terminale con altre persone.
Chrome Passwords: come funziona
Come ben sanno tutti coloro che si affidano al programma di Google per navigare, basta aprire il menu “Impostazioni”, scorrere l’elenco delle voci fino a trovare “Password e moduli” (sotto “Mostra preferenze avanzate”) e poi fare click su “Gestisci password salvate”. A questo punto viene mostrata una schermata contenente tutte le credenziali utilizzate, con dettagli sull’indirizzo del sito Internet e il nome utente in chiaro, mentre le password sono mascherate. Bastano però altri due click del mouse (sulla password stessa e poi su “Mostra”) per vederle.
C’è però un modo ancora più veloce per effettuare l’operazione, in grado di accedere direttamente alla schermata riepilogativa dei codici segreti saltando di fatto tutti i primi step: basta digitare “chrome://settings/passwords” (senza virgolette) nella omnibox, ovvero nella barra dell’indirizzo. Questo, secondo Kember, rappresenta un potenziale pericolo per la privacy. Infatti, chiunque ha accesso fisico al computer può vedere tutte le credenziali senza bisogno di ricorrere ad hack o altro, in pochissimi secondi.
La replica di Google è stata affidata a Justin Schuh, a capo del team che si occupa della sicurezza di Chrome. Le sue parole però non sembrano convincere, in quando denotano un approccio passivo dell’azienda nei confronti di quello che potrebbe effettivamente rappresentare un problema serio. In sintesi, Schuh ritiene che se qualcuno è in grado di controllare la tastiera e il mouse di un PC, qualsiasi tentativo di proteggere i dati in esso contenuti sarebbe quasi del tutto inutile e superfluo, dunque il browser di Mountain View ha finora scelto di non mascherare le password dei singoli siti dietro a quella che potrebbe essere definita come una sorta di “master password”, come invece fanno Safari, Internet Explorer e Firefox.
Ci chiedono sempre perché non utilizziamo una master password o qualcosa di simile, ma noi crediamo che non sarebbe efficace. Abbiamo discusso questa possibilità per lungo tempo, giungendo sempre alla conclusione che preferiamo non fornire agli utenti una “falsa sensazione di sicurezza”, finendo con l’incoraggiare comportamenti potenzialmente rischiosi. Vogliamo essere molto chiari: quando concedete a qualcuno l’accesso al vostro account del sistema operativo, questa persona può fare di tutto e ottenere qualsiasi informazione.