Asier Paz González

T 7.2 Tarea optativa. Los navegadores (como Firefox o MsExplorer) permiten

el almacenamiento de contraseñas para facilitar el acceso recurrente a sitios
web que exigen identificación. Dar una respuesta por escrito a la siguiente
secuencia de cuestiones:

¿Dónde y cómo se almacenan esas contraseñas?

Analizaremos por ejemplo los dos navegadores propuestos en el enunciado:

Internet Explorer 7.00 - 8.00

Las nuevas versiones de Internet Explorer almacenan las contraseñas en 2 lugares
diferentes.
Las contraseñas que se usan para Autocompletar están almacenadas en el Registro bajo
HKEY_CURRENT_USER \ Software \ Microsoft \ Internet Explorer \ IntelliForms \ Storage2.
Las contraseñas de autenticación HTTP se almacenan en el archivo de Verificación,
en Documents and Settings \ Application Data \ Microsoft \ Credentials, junto con las
contraseñas de acceso de LAN y otros equipos las contraseñas.

Firefox
Las contraseñas se almacenan en uno de los siguientes archivos: signons.txt, signons2.txt, y
signons3.txt (depende de la versión Firefox)
Estos archivos se encuentran en el interior de la carpeta de perfil de Firefox, en el [Perfil de
Windows] \ Datos de programa \ Mozilla \ Firefox \ Profiles \ [Nombre de perfil]
Además, key3.db, ubicado en la misma carpeta, se utiliza para el cifrado / descripción de las
contraseñas.

En general se almacenan en una carpeta y el registro del sistema operativo.

Fuente: “http://foro.code-makers.net”

¿Cuál es el proceso por el que el navegador envía la contraseña?

Al ser una pregunta ambigua responderemos a ambas cuestiones:

Navegador-> Web: El navegador teniendo ya almacenadas las contraseñas
detecta si la web a la que se accede corresponde con alguna de las que tiene
almacenadas. De ser así busca los formularios con el mismo nombre y
dirección que guardo y los rellena con la información que tiene guardada.
Una vez hecho esto se envía la información con un GET o POST.

Web-> Navegador: Al pulsar el botón de recordar contraseña el navegador

añade a su información de almacenamiento de contraseñas la dirección web
completa y la información de los formularios de dicha página.

¿Bajo qué condiciones y a través de qué proceso es posible recuperar las

passwords almacenadas?
Las condiciones para que estos procesos puedan ser ejecutados son diversas
pero bastaría con tener acceso al navegador para poder realizar este tipo de
ataques o recuperación de claves.
Los passwords almacenados por los navegadores son relativamente fáciles de
recuperar. Por ejemplo en Firefox tan solo con irnos a
Herramientas/Opciones/Seguridad disponemos de una pestaña en la que
podemos consultar los usuarios y passwords que se han guardado para cada
página web.
En el caso de IE IE PassView se puede utilizar para recuperar las contraseñas que
este almacena.

¿Qué implicaciones de seguridad conlleva el uso de esta facilidad de

almacenamiento?

El hecho de usar esta facilidad de almacenamiento implica no poder dejar el

ordenador accesible a cualquier otro usuario pues este podría en un tiempo
muy corto recuperar todas las contraseñas que hemos guardado. El uso de un
password maestro para el acceso al navegador o al almacenamiento de
contraseñas es muy recomendable así como el uso de un protector de pantalla
con contraseña. En mi opinión no es un buen hábito ni una buena práctica el
uso de estos sistemas de almacenamiento para cuentas criticas pues la
seguridad de estas queda reducida a la seguridad del navegador.