Reventando contraseñas guardadas con Google Chrome

Contraseñas con Chrome

Contraseñas con Chrome

Mira que a mí nunca me ha gustado eso de marcar la casillita de verificación para almacenar nombres de usuario y contraseñas en local, y parece que el tiempo me da la razón. Es una opción muy típica de sitios web en los que tienes que hacer login para acceder a tu cuenta de usuario y, además, en la mayor parte de ellos suele venir activada por defecto. Me refiero, claro está, a ese tick que contienen los formularios que dice algo así como “recordar mis datos”, “guardar datos de acceso” o algo parecido.

Afortunadamente, cada vez menos sitios web incluyen la verificación de marras en sus formularios de inicio de sesión, sin embargo, desafortunadamente, no hace falta que lo hagan, porque son los navegadores, de manera predeterminada, los que se encargan de preguntarnos a ver si deseamos almacenar los datos para que, en futuros accesos, no tengamos que volverlos a escribir. Es el caso del famoso autocompletado para nombres de usuario y contraseña en Internet Explorer o del guardado automático de contraseñas en Google Chrome.

Y en este último nos vamos a centrar; primero porque trae ese almacenado automático activado de serie en forma de pregunta cada vez que hacemos login en un formulario de acceso y, segundo, porque dispone de una característica denominada “Inspeccionar elemento” que es una herramienta para desarrolladores que permite depurar el código de una página web en tiempo de ejecución.

La ventana Herramientas para desarrolladores que despliega Chrome en la zona inferior al utilizar dicha opción es un potente utensilio que permite trabajar con un tipo específico de información sobre una página o una aplicación, incluidos elementos DOM, recursos y secuencias de comandos. Admite auditorías en tiempo real, análisis de código JavaScript, detección de solicitudes HTTP, tiempos de gestión y hasta tiene una consola JavaScript para interactuar con la página de forma automática.

Lo que a nosotros nos interesa es únicamente el panel de elementos, que es el que nos deja ver la página web como la ve el navegador, es decir, el lenguaje HTML y los estilos CSS sin formato, así como el Modelo de Objetos de Documentos (DOM), manipulándolo todo on the fly (sobre la marcha, vaya).

Haremos una prueba muy sencillita para ver cómo se puede acceder a una contraseña almacenada de forma fácil y hasta divertida. Voy a entrar en mi cuenta de Facebook con Google Chrome.

Paso 1

Paso 1

Una vez he hecho login, Chrome me pregunta (en una barra superior) a ver si quiero que guarde la contraseña en una cookie para que no tenga que andar escribiéndola posteriormente. Le digo que sí, que la almacene, que soy un vago y no quiero volvérsela a meter.

Paso 2

Paso 2

Ahora cierro la sesión, me salgo y cierro también Chrome. Vuelvo a abrir una nueva instancia y accedo a la URL de Facebook. ¡Magia! Chrome ha reconocido el sitio y me ha colocado automáticamente nombre de usuario, en este caso la dirección de e-mail, y contraseña en sus respectivas cajas de texto, coloreándolas en amarillo para que yo sepa que son datos guardados por él.

Paso 3

Paso 3

Lo único que tendría que hacer en este momento es darle al botón Entrar y listo. Pero no lo voy a hacer, porque ahora es cuando viene lo mejor: el password crack. Me coloco sobre la caja de contraseña y hago clic con el botón derecho, seleccionando Inspeccionar elemento. En la zona inferior del navegador se despliegan los paneles de herramientas para desarrolladores. Automáticamente me habrá colocado en el panel Elements (el primero) y estaré viendo el código HTML de la página de inicio de Facebook.

Paso 4

Paso 4

Además, la línea automáticamente seleccionada (con sombra gris) es el HTML correspondiente al elemento en el que yo había hecho clic derecho, es decir, la caja de texto para la contraseña.

Paso 5

Paso 5

Como podemos observar, es, lógicamente, una etiqueta <input> del tipo password, esto es, un cuadro de introducción de caracteres en el que, al escribir, aparecen asteriscos o puntos, ocultando lo tecleado. Pues bien, si ahora hago clic derecho justo encima de password y selecciono la opción Edit attribute del menú contextual correspondiente, la herramienta me permite cambiar al valor del atributo type.

Paso 6

Paso 6

Sólo tengo que borrar password y escribir text, es decir, un valor de atributo que convierte la caja de texto en una caja normal y corriente, sin características de contraseña ni nada por el estilo. ¡Magia otra vez! Ahora estaré viendo en el cuadro de la contraseña mi fabulosa clave de acceso en todo su esplendor. ¿Cómo se te queda el cuerpo?

Paso 7

Paso 7

Evidentemente nadie quiere reventar su propia cuenta de Facebook, pero es cuestión de acceder a un cibercafé, a cualquier otro lugar donde haya ordenadores compartidos o al equipo de tu ex novia para conseguir robar, en cuestión de minutos, los datos de los facebookes, twitteres, googlepluses, yahooes y demás sitios con contraseña.

Mi recomendación es la de siempre: desactivad todos los autocompletados de datos importantes de vuestros navegadores. No cuesta nada escribir una dirección de correo, un nombre de usuario o una contraseña cada vez que se acceda. Y, por supuesto, los “no cerrar sesión” esos que veréis en el 99% de los formularios de acceso tampoco los activéis. Si vamos con prisa y cerramos la ventana del navegador sin haber matado la sesión, cualquiera que venga detrás tendrá las puertas abiertas a un mundo de fantasía sin igual.

Precaución, precaución y precaución. En Internet siempre precaución. Y una última notita aclaratoria, la contraseña de la última imagen de esta entrada no es, evidentemente, mi clave de acceso a Facebook, así que dejad ya de intentar entrar en mi cuenta cual malandrines.

35 comentarios a “Reventando contraseñas guardadas con Google Chrome”

Escribe tu comentario

Sigue teknoPLOF! vía…
 
RSS
Twitter
Facebook
Google
 
Ready Set Click!