Firefox protegge le password con le credenziali del dispositivo: ma è davvero efficace?

Con il rilascio di Firefox 127, Mozilla ha annunciato l’introduzione di un’importante funzionalità. Dopo un bel po’ di tempo, Firefox si allinea al comportamento tenuto dai browser Web concorrenti e protegge le password richiedendo a ciascun utente, per maggior sicurezza, l’inserimento delle credenziali del dispositivo in uso.

Provate ad accedere al password manager di Firefox digitando about:logins nella barra degli indirizzi. Indipendentemente dal sistema operativo in uso, il browser di casa Mozilla dovrebbe richiedere di inserire la password associata all’account utente correntemente in uso, l’inserimento di una sequenza grafica, del PIN di sblocco o il superamento di una verifica biometrica (riconoscimento facciale o dell’impronta digitale).

Sui sistemi operativi Microsoft tutto questo è gestito da Windows Hello: ciò significa che provando ad accedere al gestore delle credenziali di Firefox, il browser chiederà di confermare i dati usati a protezione del proprio account.

Come attivare la protezione delle password in Mozilla Firefox

Se aveste aggiornato a Firefox 127 (o versioni successive) e cercando di visualizzare una password precedentemente memorizzata il browser non mostrasse alcuna richiesta, è necessario digitare about:preferences#privacy nella barra degli indirizzi, scorrere fino a trovare la sezione Password, quindi attivare la casella Richiedi conferma dell’accesso al dispositivo per compilare automaticamente e gestire le password.

A questo punto, digitando about:logins quindi cliccando su una credenziale già memorizzata e infine sull’icona raffigurante un piccolo occhio, Firefox non visualizzerà più la password. Invece, il browser chiederà di confermare le credenziali dell’account configurato sulla macchina in uso.

Nell’esempio in figura, ad esempio, si richiede l’inserimento – tramite Windows Hello – del codice PIN usato a protezione di un account Microsoft.

La protezione password di Firefox è davvero efficace?

Volete la risposta breve? No. Ma non è un problema solo di Firefox: è qualcosa che accomuna i gestori password di tutti i principali browser Web. Ed è forse proprio per questo motivo che Mozilla è stata piuttosto riluttante nell’attivare la protezione del suo password manager tramite le credenziali del dispositivo locale.

L’abbiamo sottolineato più volte in passato: i password manager dei browser Web non sono sicuri. Qualunque utente o processo in esecuzione sul sistema può estrarre le credenziali memorizzate all’interno dei browser Web e utilizzate, ad esempio, per l’autocompletamento dei form di login.

Esistono molteplici modi per estrapolare gli elenchi di password memorizzati nei browser Web: basti pensare che un’utilità come WebBrowserPassView, che non necessita neppure dei diritti di amministratore, consente di mostrare in chiaro le credenziali ed eventualmente esportarle sotto forma di file di testo.

Lo abbiamo spiegato nell’articolo su come e dove trovare le password salvate in Windows: basta un semplice doppio clic e le password sono esposte, con buona pace della funzionalità di protezione basata su Windows Hello.

Una soluzione efficace consiste nel salvare le credenziali in un archivio crittografato. Chi fosse “allergico” alle soluzioni cloud, può memorizzare username e password e sincronizzarli in sicurezza usando appositi programmi, in ambito esclusivamente locale.

Credit immagine in apertura: iStock.com – tsingha25