Ogni volta che inserisco un accesso in un nuovo sito, Chrome mi chiede se deve memorizzare i dettagli di accesso. Credevo che fosse abbastanza sicuro. Se qualcuno ha trovato il mio computer sbloccato, potrebbe superare la schermata di accesso di alcuni siti Web utilizzando i dettagli memorizzati, ma se gli viene richiesta di nuovo la password come durante il checkout o se desidera accedere al servizio da un altro dispositivo, sarebbe fuori di fortuna.
Almeno, questo è quello che pensavo quando credevo che il browser non memorizzasse la password stessa, ma un hash o una crittografia della password. Ho notato che il browser riempie i campi nome utente e password e il campo password indica il numero di caratteri nella password.
Sono una di quelle persone che quando viene chiesto di cambiare la password mantiene solo la stessa password, ma modifica un numero alla fine. So che non va bene, ma con quanto spesso mi viene chiesto di cambiare le password, non riesco davvero a ricordare il numero di password che mi si aspetta. Ciò si traduce in un sacco di password che sono le stesse, ma a volte ho dimenticato quale deve essere il numero finale per un particolare accesso.
Non riuscivo a ricordare il numero finale di un determinato accesso, quindi sono andato a un sito Web in cui è stata memorizzata la password. Ho eliminato l'ultimo paio di caratteri e ho provato numeri e viola diversi, sapevo qual era il numero giusto.
Mi sembra che questo sia un difetto di sicurezza fondamentale. Se riesco a controllare l'ultimo carattere della mia password senza controllarne altri, allora la quantità di tentativi necessari per incrinare la password cresce linearmente con il numero di caratteri non esponenziale. Da lì sembra un breve passo per dire che se qualcuno è venuto al mio computer quando è stato sbloccato, un semplice script potrebbe estrarre tutte le password memorizzate per tutti i principali siti Web per i quali ho memorizzato le password.
Non è questo il caso? C'è qualche altro livello di sicurezza che impedirebbe questo?