Quando la comodità diventa vulnerabilità: il lato nascosto delle password salvate
Tutti abbiamo salvato delle password sul browser, eppure si tratta di un'azione rischiosa, che può portare alla sottrazione di dati e che richiede precise barriere di protezione
Lo abbiamo fatto tutti (o quasi) e molti continuano a farlo: salvare le password nel browser è una scorciatoia, un modo facile per velocizzare l’accesso ai propri servizi preferiti ed evitare di dover ricordare decine di combinazioni di numeri e lettere.
C’è, però un “piccolo” problema: questa abitudine può trasformarci in un bersaglio primario per i cybercriminali. Infatti, affidarsi a questa funzione senza attivare i necessari livelli di protezione espone i propri dati a rischi severi, dal furto fisico all’azione dei malware.
- Cosa succede quando salviamo le password nel browser?
- Il limite del processo
- Cosa significa, in modo semplice?
- Cosa si rischia?
- Cosa rende sicuro salvare le password sul browser?
Cosa succede quando salviamo le password nel browser?
Per avere una maggiore comprensione delle insidie, bisogna capire cosa succede nel momento esatto in cui decidiamo di accettare il salvataggio delle password. Dal punto di vista tecnico, quando si accetta di memorizzare una credenziale, il browser non salva il testo in chiaro, ma lo inserisce in un database locale, solitamente basato su SQLite, situato all’interno della cartella del profilo utente (ad esempio, il file Login Data per i browser basati su Chromium).
Il processo avviene tramite un’interfaccia di programmazione nota come DPAPI (Data Protection API) su Windows o la Keychain su macOS. Queste API di sistema cifrano la password utilizzando una chiave derivata dalle credenziali di accesso dell’utente al sistema operativo. In termini crittografici, viene spesso utilizzato l’algoritmo AES-256 in modalità GCM (Galois/Counter Mode), che garantisce sia la riservatezza che l’integrità del dato.
Il limite del processo
Fino a qui sembra tutto altamente affidabile e sicuro (nonché un pizzico complicato). In realtà però il limite strutturale di questo metodo risiede nel fatto che la chiave di decrittazione è intrinsecamente legata alla sessione utente corrente.
Questo significa che qualsiasi processo o script eseguito con i privilegi dell’utente (inclusi i malware che rubano informazioni) può richiamare le API di sistema per “sbloccare” il database senza che il browser richieda un’ulteriore interazione.
In assenza di una Master Password o di un modulo di sicurezza hardware, la protezione non è isolata dal resto del sistema operativo, rendendo le password vulnerabili non appena il perimetro del computer viene compromesso da un software malevolo o da un accesso fisico non autorizzato.
Cosa significa, in modo semplice?
Immagina di avere un diario segreto in cui annoti tutte le tue password. Per evitare che chiunque lo legga, il browser non lo lascia aperto sulla scrivania, ma lo ripone in un cassetto chiuso a chiave. Ecco, il problema risiede nel “dove” viene tenuta quella chiave.
Solitamente è appesa proprio accanto al cassetto, oppure il cassetto si apre automaticamente non appena ti siedi alla scrivania (ovvero quando accedi al tuo computer). Ciò significa che il browser si fida ciecamente di chiunque stia usando il tuo dispositivo in quel momento.
Se presti il computer a un amico, se te lo rubano mentre è acceso o se un virus riesce a entrare nel sistema “travestendosi” da te, il browser consegnerà le chiavi senza fare domande.
Cosa si rischia?
Ora, andiamo ai rischi reali, perché sì, la minaccia non è solo teorica. Il pericolo principale è rappresentato dai cosiddetti infostealer, una categoria di malware estremamente sofisticata che viene distribuita tramite email di phishing, software contraffatto o siti web compromessi.
Questi programmi sono istruiti per scandagliare il sistema alla ricerca dei database dei browser e, una volta individuati, ne estraggono il contenuto per inviarlo a server remoti gestiti da organizzazioni criminali, il tutto senza che l’utente avverta il minimo rallentamento o segnale di intrusione.
janews/Shutterstock
Un altro rischio sta nelle estensioni dei browser che installiamo quotidianamente per bloccare pubblicità o gestire documenti. Alcune di queste estensioni, pur sembrando innocue, possono essere compromesse e “iniettare” script capaci di intercettare i dati gestiti dal browser, incluse le password salvate che vengono richiamate automaticamente durante il login.
Infine, bisogna considerare la minaccia legata alla sincronizzazione dei dati nel cloud, che espone le password a rischi che prescindono totalmente dallo stato di salute del proprio dispositivo locale. Se un utente non utilizza l’autenticazione a due fattori, la semplice scoperta della password dell’account principale, magari ottenuta tramite un data breach su un sito terzo, permette a un hacker di accedere al profilo del browser da qualsiasi parte del mondo.
Una volta effettuato l’accesso, il sistema di sincronizzazione scaricherà automaticamente l’intero archivio delle chiavi d’accesso su un nuovo dispositivo, offrendo ai criminali un kit completo per il furto d’identità digitale e l’accesso a ogni servizio collegato alla nostra vita virtuale.
Cosa rende sicuro salvare le password sul browser?
Per rendere davvero sicuro il salvataggio delle credenziali nel browser, la misura più efficace è l’attivazione di una password principale o master password, una funzione che cripta l’intero archivio e lo sblocca solo dopo un inserimento manuale.
Questo livello di protezione impedisce ai malware e a eventuali script malevoli di accedere direttamente al database, perché la chiave di decrittazione non è più liberamente disponibile nel sistema operativo ma dipende da un segreto noto solo all’utente.
Un altro pilastro fondamentale della sicurezza è l’adozione sistematica dell’autenticazione a due fattori su ogni account sincronizzato, specialmente quello principale che gestisce il profilo del browser. Associare l’archiviazione delle password a un token fisico o a una notifica sul proprio smartphone garantisce che, anche qualora un hacker riuscisse a sottrarre i file dal cloud, non potrebbe comunque decifrarli o utilizzarli senza l’accesso fisico al secondo fattore.
In questo modo, la comodità del riempimento automatico viene bilanciata da una difesa multi-livello che riduce drasticamente le probabilità di successo di un attacco informatico remoto o di un tentativo di phishing.
Infine, esistono strumenti (a pagamento) dedicati, che nascono con l’unico scopo di proteggere le credenziali e utilizzano architetture di sicurezza a conoscenza zero, il che significa che nemmeno i fornitori del servizio possono accedere ai tuoi dati.
A differenza dei browser, questi software isolano il database delle password dal resto del sistema operativo in modo molto più rigoroso, rendendo estremamente difficile per i malware di tipo infostealer estrarre le informazioni.
FAQ
Sì, lo è se non si aggiungono protezioni extra. Il browser memorizza le credenziali in un file locale che, pur essendo cifrato, può essere forzato da programmi malevoli chiamati infostealer che agiscono con i tuoi stessi permessi d'accesso.
Rappresenta una difesa ottima ma non è una soluzione totale. Sebbene protegga l'account in caso di furto della password da remoto, non sempre impedisce a un malware locale di rubare i "cookie di sessione", che permettono a un hacker di entrare nei tuoi profili senza nemmeno dover inserire le credenziali.
Questi strumenti offrono un isolamento superiore perché non condividono la stessa struttura del browser e utilizzano sistemi di crittografia a conoscenza zero. Ciò significa che nemmeno i creatori del software possono leggere i tuoi dati, rendendo la vita molto più difficile ai virus che cercano di rubare archivi di massa.
Puoi avvicinarti a quel livello di sicurezza attivando obbligatoriamente la Master Password nelle impostazioni di privacy e sicurezza. In questo modo, ogni volta che il browser proverà a inserire una password, ti chiederà un codice segreto manuale, bloccando così i tentativi di furto automatico da parte di script e malware.
Il riutilizzo delle password crea un pericoloso effetto domino perché, se un solo servizio che utilizzi subisce una violazione dei dati, i criminali proveranno quella stessa combinazione su tutti gli altri siti principali, come email e banche. Questa tecnica, chiamata credential stuffing, permette agli hacker di colpire decine di tuoi account partendo da una singola falla di sicurezza altrui.
La tendenza attuale privilegia la lunghezza rispetto alla complessità estrema, poiché le "passphrase" composte da quattro o cinque parole casuali sono più difficili da violare per i computer ma più facili da ricordare per gli esseri umani. Una sequenza lunga almeno 12 o 16 caratteri offre una resistenza molto più alta agli attacchi di forza bruta rispetto a una parola breve piena di simboli complicati.
Gli esperti e le linee guida più recenti suggeriscono di cambiare le password solo se c'è il sospetto concreto di una violazione o se il servizio comunica un furto di dati. Forzare cambi periodici senza motivo porta spesso gli utenti a scegliere varianti prevedibili della vecchia password, indebolendo di fatto la sicurezza invece di rafforzarla.
