Chrome: nessuna protezione per le password salvate, tutti possono averne il libero accesso

Come vi sentireste se qualsiasi utente che ha l'accesso al vostro computer venisse a conoscenza di tutte le password salvate su Google Chrome? È lo scenario che dipinge il web designer Elliot Kember mettendo in discussione le metodiche di sicurezza adoperate dal browser di Mountain View: in sostanza, immettendo un semplice URL un qualsiasi utente con accesso fisico al personal computer può visualizzare tutte le credenziali archiviate.

Chrome è progettato per chiedere agli utenti se vogliono memorizzare le proprie password online di volta in volta, rendendo più semplice l'accesso futuro ai propri siti più frequentati. Se l'opzione è selezionata, Chrome salva l'elenco di credenziali all'interno delle proprie impostazioni, che possono essere visualizzate in chiaro su schermo grazie ad uno strumento che ha fornito da molti anni.

Kember fa notare nel suo blog che se un utente digita chrome://settings/passwords su Chrome viene mostrata una lista contenente tutte le credenziali salvate al suo interno. Basta premere sul tasto Mostra a destra per visualizzarle in chiaro senza inserire alcun codice per il riconoscimento dell'utente.

Non è tardata ad arrivare la risposta di Justin Schuh, responsabile della sicurezza di Google Chrome, che ha chiarito il motivo per cui Google ha preferito non rendere sicure le password salvate sul proprio browser: "Non vogliamo fornire agli utenti un falso senso di sicurezza incoraggiando comportamenti rischiosi." Secondo Schuh infatti se un ipotetico hacker avesse accesso ad un PC "la partita sarebbe già persa", dal momento che sarebbero tantissimi i metodi per giungere alle password salvate.

Questo non tiene conto però della situazione reale in cui la stragrande maggioranza degli utenti non utilizza password per accedere al PC e al sistema operativo in uso e addirittura condivide il proprio sistema con altri utenti. Questi non sanno che chiunque può accedere alle proprie password salvate e conoscere tutti i dettagli per il log-in dei propri siti preferiti.

I browser concorrenti utilizzano un approccio più cauto sull'argomento. Firefox e Safari permettono agli utenti di visualizzare le proprie password ma forniscono strumenti di sicurezza più affidabili per proteggerle. Mozilla raccomanda l'utilizzo di una Master Password se si condivide il sistema con altre persone e sia Safari che Internet Explorer - rispettivamente di Apple e Microsoft - richiedono che l'utente effettui una procedura di identificazione usando una password di sistema. Chrome non utilizza né consiglia misure di protezione di alcun tipo.

Schuh spiega che Google ha trascorso letteralmente anni valutando misure di sicurezza in tal senso, senza riuscire a trovare qualcosa di concreto. Le risposte di Kember e dell'inventore del World Wide Web, Tim Berners-Lee, sono state schiaccianti nei confronti di Google: "La risposta del team di Chrome è stata decisamente deludente, eccovi il metodo per conoscere tutte le password di vostra sorella!", avrebbe confermato quest'ultimo su Twitter.

Al momento Google si trova di fronte ad un bivio. Chrome non è più uno strumento utilizzato solamente da sviluppatori ed utenti esperti, ma un'applicazione che ha un incredibile successo in tutto il mondo. Gli utenti che lo utilizzano non hanno il benché minimo sospetto che le proprie password siano liberamente accessibili a tutti gli utenti che utilizzano lo stesso personal computer. Google deve decidere al più presto se vuole implementare o meno soluzioni simili a quelle dei rivali, decisione che potrebbe invogliare gli utenti anche a guardarsi altrove per l'importante scelta del browser da utilizzare.