De forma predeterminada, Google administra su clave de cifrado, pero le permite configurar el cifrado en el dispositivo, que funciona de manera similar a una arquitectura de conocimiento cero. Sus contraseñas se cifran antes de guardarlas en su dispositivo y usted administra la clave. Independientemente de cómo funcione el cifrado, Google utiliza AES, que sigue siendo el estándar de seguridad entre los administradores de contraseñas.
Anteriormente era trivial descifrar las contraseñas de Chrome y requería poco más que un script de Python y conocimiento de dónde se almacenan los archivos. Pero incluso ahí, Google ha subido el listón de la seguridad. El cifrado vinculado a aplicaciones ha invalidado esos métodos y descifrar contraseñas es mucho más complicado de lo que solía ser. Además, Google se ha integrado con Windows Hello. Si lo desea, puede hacer que Windows Hello proteja sus contraseñas cada vez que inicie sesión solicitando su PIN o autenticación biométrica.
Otros navegadores no son tan seguros. Firefox, por ejemplo, deja claro queaunque las contraseñas guardadas en Firefox están cifradas, “alguien con acceso al perfil de usuario de su computadora aún puede verlas o usarlas”. Brave funciona de manera similar, aunque sospecho que la mayoría de las personas que usan Brave ya están usando un administrador de contraseñas de terceros (y probablemente una VPN).
De todos modos, almacenar sus contraseñas incluso en un navegador menos seguro como Firefox es mucho mejor que no usar ningún administrador de contraseñas. Y los navegadores a la vanguardia de la cuota de mercado, Chrome y Safari, han mejorado enormemente sus prácticas de seguridad en los últimos años. El problema no es el cifrado, sino poner todos los huevos en una sola canasta.
Hablemos de seguridad operacional
OpSec, o seguridad operativa, es normalmente un término que se utiliza cuando se habla de datos confidenciales en organizaciones gubernamentales o privadas, pero puedes mirar tu propia seguridad a través de una lente de OpSec. Si fueras un atacante y quisieras robar las contraseñas de alguien, ¿cómo lo harías? Sé dónde buscaría primero.
Incluso con mejores medidas de seguridad, el objetivo de un administrador de contraseñas basado en navegador es lograr que las personas utilicen administradores de contraseñas. Esto debe equilibrarse con la facilidad de uso del administrador de contraseñas. En una publicación de blog Al anunciar cambios en los métodos de autenticación de Google desde Google I/O este año, la compañía menciona reducir la “fricción” siete veces, mientras que el “cifrado” no se menciona en absoluto. Eso no es malo, pero es un testimonio de cómo están diseñadas estas herramientas.
No es necesario seleccionar palabras de una publicación de blog para ver este enfoque. Google le ofrece la opción de activar Windows Hello o la autenticación biométrica con Google Password Manager. Cada vez que desee ingresar una contraseña, deberá autenticarse. Sin duda, esto es más seguro que no autenticarse cada vez, pero la configuración está desactivada de forma predeterminada. Crea fricción.
