Sobre las contraseñas: qué están haciendo mal los navegadores (excepto Safari) [Opinión]

junio 21, 2020 , 0 Comments

Lockwise y backup de contraseñas en Firefox

Sí. Los navegadores están gestionando mal las contraseñas. Como este es un artículo de opinión y así se indica hasta en el titular, diré que muy mal. Fatal. Y esto es algo que personalmente no había valorado hasta el lanzamiento de Firefox 79, ahora en el canal Nightly de Mozilla. La versión que será lanzada en agosto llegará con una nueva función: la posibilidad de exportar todas nuestras credenciales a un archivo CSV. En el caso de Linux, en estos momentos ni siquiera pide contraseña para ello.

Aunque he empezado hablando de Firefox, esto es algo que también pasa en Chrome, incluida la posibilidad de exportar nuestras contraseñas al archivo CSV que ya hace tiempo que está disponible en la propuesta de Google, lo que son dos de los navegadores más usados del mundo y también es así en muchos otros que gestionan las contraseñas. ¿Cuál es el problema desde mi punto de vista? En realidad, dos: la facilidad para hacer las cosas y la ausencia de un aviso de que, si no añadimos una contraseña maestra, nos podrán fisgar todas nuestras contraseñas en cuestión de segundos. ¿Tiene solución? Sí, y desde mi punto de vista, hay una muy sencilla que hemos aprendido de Apple.

Apple nos enseñó cómo deberían gestionar las contraseñas los navegadores

Las comparaciones son odiosas, sobre todo en un blog como este donde se espera que sólo se hable de Linux, pero en ocasiones es necesario abarcar un poco más. Explicado esto, hablemos un poco por encima de la compañía de la manzana. Apple nunca ha inventado ninguna rueda, eso es así. Lo único que hace la compañía que dirige Tim Cook es coger ideas que han tenido otros, en ocasiones mejorarlas y luego venderlas como nadie. Algo que sí han mejorado es la gestión de las contraseñas, y ahora os explico por qué.

Aunque los ordenadores que más he usado siempre han tenido Linux, también tengo un viejo iMac y un portátil con Windows. Mi iMac lo tuve sin contraseña años, hasta que Apple lanzó iCloud Keychain y me dijo que, si quería usar esa función, tenía que ponerle contraseña al equipo. Se la puse. Ahora, si quiero ver algo de mis contraseñas en Safari, tengo que poner la contraseña de mi usuario (del sistema operativo). Si no la pongo, no veré NADA. Ni yo ni nadie puede acceder a mis credenciales. Esto es lo correcto, sin duda alguna. No hay una contraseña maestra en el navegador y el sistema operativo se encargó de avisarme de que si quería tener mis contraseñas en él, tenía que configurar una contraseña para el inicio de sesión.

Cómo gestionan, mal, las contraseñas Firefox y Chrome

Aunque nunca me lo había planteado, y como he explicado más arriba lo hice con el lanzamiento de Firefox 79 y su nueva función, ni Firefox ni Chrome me piden nada cuando quiero ver mis contraseñas. Los navegadores suponen, mal supuesto, que el usuario que ha accedido al navegador es el dueño del ordenador o alguien registrado en él. Por lo tanto, en Firefox podemos ir a about:logins, acceder a Lockwise y ver todos nuestros usuarios, estando las contraseñas ocultas. Pero, ¿de qué sirve que estén ocultas si podemos copiarlas al portapaleles? De poco. Y la cosa no es diferente en Chrome: vamos a Preferencias/Autocompletar y ahí están. Si tocamos en el icono del ojo, se mostrarán. ¿Qué puede salir mal?

Esto nos hace pensar en un caso cualquiera en el que le dejamos a un amigo o familiar nuestro ordenador. No sé, para que vea un vídeo de gatitos en YouTube mientras nosotros nos duchamos, por ejemplo, para la cena para la que hemos quedado ese día. Nosotros no sabíamos que ese amigo no es un buen amigo o por la razón que sea quiere conseguir nuestra contraseña de Facebook. Lo único que tiene que hacer es ir al apartado de contraseñas, ver nuestro usuario, copiar la contraseña y pegarla en un documento de texto. Ese amigo ya tiene acceso a nuestro Facebook. Así de fácil.

Esto no será así en Firefox 79 para Windows, que sí nos pedirá la contraseña (del usuario de la sesión) para exportar las contraseñas al archivo CSV o copiarlas desde Lockwise, pero en el Firefox 77 actual nos permite copiarlas sin introducir nada. Firefox 79 para Linux sigue permitiendo a cualquiera pasearse por nuestro archivo de contraseñas como Pedro por su casa, aunque el usuario no sea precisamente el famoso Pedro.

Posibles soluciones que deberían implementar ya mismo

En una consulta que le he realizado a Firefox vía Twitter sobre la versión de Linux, me han dicho que tengo que configurar una contraseña maestra para evitar ese problema. ¿Qué pasa con esto? Que yo ya lo sé, pero otros no. La solución no es adivinar qué puede pasar; la solución nos la tienen que ofrecer las compañías. Siempre y cuando sea posible, yo no permitiría el acceso a Lockwise sin poner la contraseña de usuario (del sistema) y me olvidaría de la contraseña maestra. Si lo anterior no es posible, y en Windows sí lo es, los navegadores deberían avisarnos de esto como hace Apple con un mensaje del tipo «o pones una contraseña maestra o no podrás usar los llaveros». Lo que creo que no es una opción es lo que hay en la actualidad: si nosotros no lo tenemos en cuenta y otro sí, estamos expuestos.

Así que ya lo sabéis. Las cosas podrían mejorar, y por lo menos lo hará la versión de Firefox de Windows, pero en la actualidad, todos los navegadores, por lo menos en Linux, gestionan mal las contraseñas. Ya que ellos no avisan de lo que puede pasar si no configuramos una contraseña maestra, lo hago yo en este artículo, que no tenemos que olvidar que es de opinión.


Some say he’s half man half fish, others say he’s more of a seventy/thirty split. Either way he’s a fishy bastard.