Estoy buscando un buen administrador de contraseñas (sí, soy exigente) y hoy me encontré con un problema interesante:
- Tengo mis contraseñas almacenadas en el administrador de contraseñas de Google.
- En un par de sitios utilizo LastPass para familiarizarme.
- Para un sitio nuevo al que ingreso con credenciales guardadas y cargadas de GooglePass, LastPass ofrece guardar entradas en mi bóveda. Si lo hago, serán legibles, descifrados y a la vista.
- Dado que se supone que las credenciales guardadas de GooglePass deben estar cifradas con mis usuarios/contraseñas de Google/MicrosoftCÓMO LastPass puede leerlos? Están 'ocultos' en la pantalla y LastPass no los 'conoce'. Si quiero acceder a ellos en GooglePass, debo proporcionar las credenciales de mi cuenta de PC. ¿Cómo es posible que LastPass lo esté haciendo (leyendo) sin ningún problema? ¿Es capaz de descifrar algo? ¿Es capaz de leer los caracteres ASC enviados al cuadro de contraseña antes de que estén "ocultos" en la pantalla como puntos o estrellas? ¿Qué pasa con la protección de mis contraseñas que no quiero almacenar en la bóveda?
Como actúo bajo la premisa de "confianza limitada", estoy un poco confundido. ¿Me estoy perdiendo algo obvio aquí?
¡Gracias!
Respuesta1
Los datos ingresados en un campo de contraseña en un sitio web están en texto sin formato y son legibles. En la pantalla se muestra como puntos para que una persona no pueda leerlo por encima del hombro, pero en la memoria no está codificado ni encriptado en absoluto. El navegador debe enviar esta versión de texto sin formato al servidor para que pueda iniciar sesión. Si intentara enviar un valor cifrado, el sitio web no podría procesar la solicitud de inicio de sesión.
Luego, un administrador de contraseñas puede obtener el nombre de usuario y la contraseña de la memoria del navegador o inspeccionando la solicitud HTTP realizada para iniciar sesión. El administrador de contraseñas probablemente instalará una extensión del navegador para lograr esto.