Password salvate: come e dove trovarle

• Privacy
• Howto

I password manager, quelli validi come Keepass e simili, sono software preziosi che dovrebbero essere sempre utilizzati per proteggere e gestire al meglio le proprie credenziali. Sono anche soluzioni particolarmente gradite a coloro che non amano sincronizzare le password tra dispositivi diversi appoggiandosi ai servizi cloud.

Keepass vanta numerosi progetti “fork”, alcuni dei quali vengono incontro anche agli utenti meno smaliziati e sono multipiattaforma: Gestisci password con KeePassXC, il modo più semplice per farlo. In azienda si può creare anche un proprio server per la gestione delle password, protetto con l’autenticazione a due fattori: Memorizzare password e gestirle tra collaboratori con Psono.

Buona parte degli utenti continua però a usare i password manager integrati nei browser web.
Come abbiamo più volte evidenziato si tratta di strumenti certamente pratici da usare (volete mettere la comodità di rispondere semplicemente “Sì” alla richiesta di memorizzazione di nomi utente e password?…) ma sono ben lungi dall’essere sicuri: ne abbiamo parlato nell’articolo Password manager dei browser: non sono sicuri. Anche dopo la modifica di Google.

Come e dove trovare le password salvate nei browser

I principali browser proteggono l’accesso all’archivio delle credenziali contenute nei rispettivi password manager con una master password ovvero una parola chiave principale che nel caso di Chrome e di Edge è ad esempio la stessa usata a protezione dell’account utente Windows (o il PIN, nel caso in cui fosse stato attivato).

Per accedere all’elenco delle password salvate, nel caso di Chrome basta digitare chrome://settings/passwords nella barra degli indirizzi. Oppure scrivere modificare password previa attivazione dei comandi di Chrome nella barra degli indirizzi: Come comandare Chrome dalla barra degli indirizzi.

Nel caso di Edge si può digitare edge://settings/passwords; in Firefox about:logins; in Opera opera://settings/passwords.

Le password vengono per impostazione predefinita mostrate sotto forma di puntini: per visualizzarle – in tutti i browser derivati da Chromium – si dovrà digitare la password dell’account utente in uso.

Nell’esempio in figura, per default viene richiesto di digitare il PIN associato all’account utente in Windows 10 (Il PIN di Windows 10 è sicuro?): è utile per evitare l’inserimento della complicata password associata a un account utente Microsoft.
Con un clic su Altre opzioni si possono selezionare ulteriori modalità per l’inserimento delle credenziali.

In Firefox le password possono essere immediatamente visualizzate in chiaro, a meno di non impostare una “password principale“.

In Chrome è possibile attivare un semplice meccanismo per esportare le password salvate.

Svelare le password salvate sotto i puntini

Un “giochetto” che ancora oggi lascia in molti di stucco è quello illustrato nell’articolo Il browser mostra la password celata da pallini o asterischi: non è un problema.
Senza accedere al password manager del browser, modificando la tipologia del campo per l’inserimento della password da password a text (basta intervenire sul corrispondente tag HTML) si può mostrare in chiaro qualunque credenziale d’accesso nascosta sotto i puntini.

Anche per questa ragione dicevamo che i password manager non offrono un livello di protezione sufficiente per chi abbia la disponibilità fisica del PC altrui: è facilissimo trovare le password salvate!

Recuperare password salvate su qualunque sistema con Chromepass e WebBrowserPassView

Per non parlare del fatto che strumenti software come Chromepass e WebBrowserPassView consentono di estrarre in un secondo le password salvate ed esportarle ad esempio come file di testo o CSV (gestibile con Excel o LibreOffice Calc).
Il primo software è incentrato su Google Chrome e sui browser basati su Chromium; il secondo legge le password salvate in qualunque browser.

L’autore Nir Sofer spiega che programmi come ChromePass e WebBrowserPassView possono essere utilizzati anche da parte di utenti malintenzionati per recuperare le password salvate sui PC altrui, anche da un supporto di boot: Password dimenticata Windows 10: esclusivo, come accedere al sistema.

Sia ChromePass e WebBrowserPassView rilevano automaticamente i browser installati sul sistema ma premendo il tasto F9 (Advanced options) si possono indicare le cartelle dei profili di ciascun browser (utile per operare da un supporto di boot).

Ecco perché la stragrande maggioranza degli antimalware li indicano come programmi potenzialmente dannosi.

La chiave crittografica usata da Chrome 80 in avanti per proteggere l’archivio delle password si trova nel file %localappdata%\Google\Chrome\User Data\Local State.

Se si volessero utilizzare i due programmi, suggeriamo di creare una cartella C:\recupero_password quindi di sottrarre il contenuto di tale cartella dalla scansione antivirus.
Con Microsoft Defender, basta digitare Sicurezza di Windows nella casella di ricerca, cliccare su Protezione da virus e minacce, cliccare su Gestisci impostazioni quindi su Aggiungi o rimuovi esclusioni.
Con un clic su Aggiungi un’esclusione, Cartella, si dovrà escludere dal controllo la cartella C:\recupero_password.

ChromePass e WebBrowserPassView andranno poi scaricati solo ed esclusivamente dal sito ufficiale di Nir Sofer e i rispettivi eseguibili posizionati nella cartella C:\recupero_password.

Cliccando con il tasto destro su ciascuno dei due eseguibili quindi attivando la casella Annulla blocco si eviterà che Windows mostri ulteriori messaggi d’allerta.

È semplice verificare che ChromePass e WebBrowserPassView mantengono ovviamente le credenziali in locale e non effettuano alcun trasferimento dati in rete.
Chi volesse spaccare il capello e prevenire qualunque trasferimento dati può aprire una finestra PowerShell con i diritti di amministratore e digitare quanto segue:

$d='C:\recupero_password'; Get-ChildItem -Path "$d\*.exe" -Recurse | Select-Object -ExpandProperty Name | ForEach-Object { New-NetFirewallRule -DisplayName "Bloccato da PowerShell $_ (out)" -Direction Outbound -Action Block -Profile Any -Enabled True -Program $d"\"$_ }

Così facendo entrambi gli eseguibili saranno bloccati in uscita da firewall: vedere Bloccare accesso Internet per un programma Windows.

Per proteggersi da coloro che venissero in possesso del proprio dispositivo Windows e tentassero di recuperare le password salvate usando strumenti software come ChromePass e WebBrowserPassView al boot bisogna attivare la crittografia dell’unità con BitLocker (BitLocker, come proteggere i dati su hard disk e SSD e chiedere una password all’avvio) o similari.

Trasferire le password salvate con Chrome sugli altri dispositivi

Se si volessero condividere le password usate nelle installazioni di Chrome su qualunque dispositivo è bene proteggere l’account Google in uso con la verifica in due passaggi o autenticazione a due fattori: Autenticazione a due fattori attiva dal 7 luglio su tutti gli account Google.
Già l’attivazione della funzionalità di protezione chiamata Messaggio di Google offre un ottimo livello di sicurezza perché un eventuale aggressore non dovrebbero solo conoscere la password corretta ma anche disporre fisicamente dello smartphone personale della vittima.

Nella schermata principale delle impostazioni di Chrome (chrome://settings) se si fa clic sul pulsante Attiva la sincronizzazione, tutte le credenziali di accesso verranno salvate sui server di Google in forma crittografata e le password sincronizzate su tutti i dispositivi ove si utilizza lo stesso account utente.

La stessa cosa si può fare sui dispositivi mobili toccando la voce Accedi a Chrome nelle impostazioni.

L’importante è accertarsi che si stia usando lo stesso account Google su tutti i dispositivi.

Usare la sincronizzazione delle password di Chrome non è assolutamente obbligatorio. Anzi, chi non volesse salvare le proprie credenziali sui server di Google, seppure in forma cifrata, può orientarsi sull’utilizzo di Keepass e derivati come indicato in apertura senza attivare l’accesso a Chrome.
Ne abbiamo parlato negli articoli Cronologia telefono su Android: quando è utile o da cancellare e Sincronizzare Chrome, cosa significa accedere ai dati da più dispositivi.

Cliccando qui è possibile verificare le informazioni che Chrome ha sincronizzato e che sono attualmente conservate sui server Google. Per cancellarle si può fare clic sul pulsante Reimposta sincronizzazione.