Chrome desktop: password manager protetto con il riconoscimento dell'impronta digitale. Ma non funziona come pensate

Il browser di Google integra un password manager che consente di memorizzare le credenziali d’accesso per i vari siti Web e servizi online. In un altro articolo abbiamo visto come e dove vengono conservate le password salvate con Google e abbiamo messo in evidenza come il password manager di Chrome integri una funzione per il controllo della sicurezza delle password.

In occasione del Safer Internet Day 2023, Google ha annunciato una novità per gli utenti di Chrome desktop: prima di compilare automaticamente un form di login con le credenziali dell’utente, il browser chiederà di superare l’autenticazione biometrica.

Solo dopo la verifica dell’identità dell’utente attraverso il controllo della sua impronta digitale, Chrome compilerà i moduli di accesso online con username e password corretti attingendo al contenuto del suo password manager.

Il fatto è che il controllo dell’identità dell’utente in Google Chrome non funziona come alcuni di noi potrebbero pensare.
La misura di protezione aggiuntiva è attivabile solo su quei PC che integrano un lettore di impronte digitali oppure su quelle macchine dove è in uso un lettore esterno. La stessa funzione di protezione può essere utilizzata per sbloccare l’accesso al password manager.

Abbiamo però detto più volte che i password manager dei browser non sono sicuri: per un utente che ha la disponibilità fisica del computer altrui è piuttosto facile trovare le password salvate, comprese quelle di Chrome, anche se sul sistema l’utente utilizza le protezioni offerte da Windows Hello.
L’unico modo per difendersi è crittografare le unità, compresa quella di sistema, con BitLocker e richiedere un PIN pre-boot. In questo modo le informazioni salvate nelle unità di memorizzazione, password Google comprese, non possono essere in alcun modo recuperate dai soggetti non autorizzati.

Vero è che quando il sistema è in uso ed è stato già effettuato il login con un account Windows, dati come le credenziali dell’utente memorizzate nel password manager di Chrome possono essere semplicemente estrapolati in chiaro. È esattamente il problema di cui parla KeePass.

Il riconoscimento dell’impronta digitale in Chrome sarebbe quindi davvero utile se il sottostante archivio delle password fosse davvero adeguatamente protetto sul sistema locale utilizzando un algoritmo di cifratura solido e un meccanismo di sblocco che prevede l’utilizzo dello smartphone come secondo fattore di autenticazione. Potrebbe essere ad esempio valutato l’utilizzo di un meccanismo basato su OTP gestibile con un’app di autenticazione installata sullo smartphone.
Le stesse Passkey, soluzione sulla quale Google si è abbondantemente spesa, potrebbero essere utili anche in Chrome.

In un altro articolo abbiamo spiegato quando cambiare password e perché, anche nell’epoca dell’autenticazione a due fattori (2FA) e multifattore (MFA).