Es posible que Google le pregunte si desea almacenar sus credenciales de inicio de sesión, pero ¿puede confiar en el Administrador de contraseñas de Google? ¿Es seguro de usar?
Sus contraseñas son las claves de su existencia en línea y abren las puertas a sus cuentas de redes sociales, portales de pago y tal vez incluso al sistema de seguridad de su hogar. La herramienta gratuita de administración de contraseñas de Google se integra con sus otros servicios y le permite acceder a su contraseña desde cualquier dispositivo, pero ¿qué tan segura es y cómo se compara con la competencia?
¿Qué es el Administrador de contraseñas de Google?
Si alguna vez tuvo una Chromebook, un dispositivo Android o navegó por la web con el navegador Chrome de Google, probablemente ya se haya encontrado con el administrador de contraseñas de Google.
Cuando ingrese sus datos de inicio de sesión en cualquier sitio web, verá un mensaje que le preguntará si desea "Guardar contraseña". Normalmente tienes dos opciones: "Guardar" y "Nunca".
Después de hacer clic en "Guardar", si visita el mismo sitio web, Chrome podrá completar sus credenciales de inicio de sesión, es decir, nombre de usuario y contraseña, sin que tenga que recordarlas.
¿Por qué debería utilizar el Administrador de contraseñas de Google?
En una palabra, sencillez. Si ya utiliza Google Chrome, tiene sentido utilizar la herramienta de contraseña integrada.
Puede iniciar sesión en cualquier navegador Chrome e iniciar sesión automáticamente en sitios web como si estuviera en su propia computadora.
Para ver las contraseñas guardadas, ya sea que haya iniciado sesión en Chrome u otro dispositivo de Google, puede visitar el dominio de contraseñas de Google en su navegador. Es fácil: sólo necesita recordar su contraseña de Google.
¿Dónde almacena Google Password Manager sus contraseñas?
Si ha iniciado sesión en su cuenta de Google, sus contraseñas de Chrome almacenadas localmente se sincronizarán con contraseñas.google.com. Si no ha iniciado sesión, puede ingresar chrome://password-manager/passwords en la barra de URL.
Para acceder a sus contraseñas sin ingresar una URL, primero deberá instalar Google Password Manager localmente. Para hacer esto, haga clic en el ícono de menú en la parte superior derecha de la aplicación Chrome y elija Instalar el Administrador de contraseñas de Google..., entonces Instalar Cuando se le solicite.
Después de esto, habrá una nueva entrada en el menú, llamada Administrador de contraseñas de Google. Puede hacer clic en esto para acceder a sus credenciales de inicio de sesión. Alternativamente, puede hacer clic en el nuevo ícono en su escritorio.
En una máquina con Windows, puede encontrar su información de inicio de sesión de Google guardada en un archivo sqlite ubicado en C:\Users\your_username\AppData\Local\Google\Chrome\User Data\Default\Login Data.
Puede abrir este archivo con un navegador Sqlite dedicado o con el Bloc de notas, aunque si elige la última opción, el formato será extraño y algunos caracteres serán ilegibles.
En este archivo, encontrará la dirección de los sitios para los cuales tiene una contraseña guardada, su nombre de usuario o dirección de correo electrónico y su contraseña cifrada.
¿Qué tan seguro es el Administrador de contraseñas de Google?
Google es una de las empresas de tecnología más grandes y poderosas del mundo, y si usas multifactor autenticación con su cuenta de Google, es probable que las contraseñas y los detalles de la cuenta que almacene en línea sean muy seguro de hecho.
Google no ha tenido una violación de datos notable desde 2018, cuando el Wall Street Journal reveló que un error de API había estado exponiendo datos privados durante más de tres años. Estos datos, sin embargo, no incluían contraseñas.
La principal vulnerabilidad de Google Password Manager reside en su PC y hay dos formas en que los atacantes podrían obtener acceso a su cuenta.
La primera es abrir la aplicación de administrador de contraseñas. El atacante requeriría acceso físico a su máquina para poder hacer esto y probablemente sería frustrado cuando se le pidiera que ingresara la contraseña de su sistema. Si logran descifrar la contraseña de su sistema, podrán descargar todos sus inicios de sesión y contraseñas sin cifrar.
El segundo problema potencial es el archivo de base de datos.
Para comprometer una cuenta, un atacante necesita saber tres cosas: que existe una cuenta con un servicio en particular, el nombre de usuario asociado con la cuenta y la contraseña.
En el archivo de base de datos de su PC, estos dos primeros factores están en texto sin formato y solo la contraseña está cifrada. Si un atacante logra copiarlo fuera de su PC, puede descifrarlo cuando lo desee. Las listas de contraseñas asociadas con nombres de usuarios y servicios también están disponibles en los mercados en línea. Puede compruebe si las credenciales se han visto comprometidas en haveibeenpwned.
En realidad, conseguir el archivo no es difícil si un atacante tiene acceso a la máquina, y calculamos el tiempo para extraerlo en una memoria USB en cuestión de segundos. Alternativamente, el correo electrónico será suficiente.
Los atacantes también pueden intentar poner malware en tu PC para robar el archivo.
¿Son los administradores de contraseñas en línea dedicados más seguros que el Administrador de contraseñas de Google?
Los administradores de contraseñas en línea son una industria en crecimiento, almacenan todas sus contraseñas en una bóveda cifrada y fomentan el uso de contraseñas seguras generadas aleatoriamente. Estas bóvedas suelen estar protegidas por una contraseña maestra.
Si bien esto puede parecer una solución segura, la Violación de datos de LastPass en 2022 demostró que es posible que atacantes sofisticados descarguen bóvedas de contraseñas y claves de cifrado, lo que les brinda fácil acceso a todas sus cuentas y datos. En realidad, muy poco es irrompible, por lo que existen riesgos, por leves que sean, sin importar el método de almacenamiento.
No existe la mejor solución para la gestión segura de contraseñas
Los nombres de usuario y las contraseñas son un objetivo importante para los delincuentes y es importante mantener los suyos seguros y protegidos. Pero ningún sistema de gestión de contraseñas está completamente a salvo de ataques. Una posible solución es utilizar administradores de contraseñas sin estado que generan contraseñas para sitios en función de una serie de parámetros que incluyen la URL de inicio de sesión, su dirección de correo electrónico y una frase secreta.