Microsoft combatirá el fraude de autocompletado de Chrome agregando más fricción

Inicio » Noticias

Icono de tiempo de lectura 4 minuto. leer

Icono de calendario Publicado el

by Atiya Davids 

Publicado en

Compartir este artículo

Los lectores ayudan a respaldar a MSpoweruser. Es posible que obtengamos una comisión si compra a través de nuestros enlaces. Icono de información sobre herramientas

Lea nuestra página de divulgación para descubrir cómo puede ayudar a MSPoweruser a sostener el equipo editorial. Leer más

En teoría, usted es el único que puede iniciar sesión en su dispositivo y acceder a sus detalles de autocompletar. En la práctica, esto no siempre es así.

Los usuarios conscientes de que los amigos acceden a sus cuentas a veces optan por no participar en la función de autocompletar, pero su ausencia sin duda se nota cuando tiene que recordar numerosas contraseñas.

Los ingenieros de Microsoft ahora han abordado las preocupaciones expresadas por los usuarios en una publicación en GitHub:

Los usuarios que desean compartir rápidamente sus dispositivos con familiares y amigos han expresado su preocupación por el acceso a sus cuentas sin su permiso debido al comportamiento de autocompletar en el navegador. Por ejemplo, considere un usuario, UsuarioA, que tiene su credencial para social.example guardado en el navegador para facilitar el inicio de sesión. Incluso si UserA cierra la sesión de su social.example cuenta antes de entregar su dispositivo al Usuario B (un amigo o familiar) para que lo tome prestado, el autocompletado aún inyectará automáticamente la credencial guardada del Usuario A en el formulario de inicio de sesión si el Usuario B navega a la social.example página de inicio Esto permite que UserB inicie sesión en la cuenta de UserA con un solo clic. Además, el Usuario B puede revelar trivialmente el texto sin formato de la contraseña inyectada.

La idea de una solución de contraseña maestra se remonta más de 10 años , sin embargo, Microsoft no siguió adelante con la idea porque no estaban seguros "si una función de contraseña maestra que no está respaldada por un cifrado de almacenamiento de credenciales completo o por credencial atrae a los usuarios a una falsa sensación de seguridad porque los atacantes locales generalmente están fuera del modelo de amenaza del navegador."

Avance rápido hasta 2020, Microsoft tiene ahora propuesto una solución que aborde estas preocupaciones. "Basado en la investigación / comentarios de los usuarios", la compañía sugiere que la solución es "un enlace de reautenticación del sistema operativo desactivado de forma predeterminada en la ruta del código de autocompletar de Chromium".

Dicha reautenticación podría implicar volver a ingresar una contraseña de nivel de sistema operativo, pero también puede abarcar soluciones biométricas de menor fricción en dispositivos y sistemas operativos que las admitan. Si los agentes de usuario eligen crear una interfaz de usuario en torno a este enlace de reautenticación y, en caso afirmativo, cómo lo hacen, para asegurarse de que sus usuarios puedan comprender claramente el modelo de amenaza y sus limitaciones, está más allá del alcance de este explicador.

Si el usuario opta por el gancho de reautenticación, Microsoft quiere que el usuario tenga el mayor control posible sobre su UX. Aquí está la propuesta en GitHub:

Este explicador propone la adición de un enlace de reautenticación del sistema operativo desactivado de forma predeterminada en la ruta del código de autocompletado de Chromium. Esto reutilizará la lógica de reautenticación del sistema operativo existente utilizada en el administrador de contraseñas de Chromium al obtener una vista previa o exportar las contraseñas guardadas y agregará una configuración de contenido para configurar cuánto tiempo debe permanecer válida una reautenticación exitosa. De manera predeterminada, esta configuración de contenido se configurará para que nunca requiera autenticación, lo que significa que incluso si el indicador de compilación que controla esta funcionalidad está habilitado, el enlace de reautenticación no funcionará hasta que el agente de usuario ajuste el valor predeterminado (muy probablemente exponiendo UX para esto a los usuarios).

Habilitar este enlace de reautenticación y cambiar su configuración de contenido predeterminada también habilitará el mismo comportamiento controlado por el Indicador de función de selección de cuenta de relleno de Chromium. Esta decisión se tomó para garantizar que a los usuarios no se les solicite la autenticación hasta que indiquen que desean acceder a sus credenciales guardadas.

Por supuesto, el escenario del dispositivo compartido no es el único posible; pero Microsoft dijo que “sienta las bases para futuras mejoras”.

 Estamos abiertos a explorar más inversiones en este espacio con otros implementadores para brindar valor adicional a los usuarios.

Tanto Chrome como Firefox ya han adoptado la autenticación de Windows Hello para autorizar la visualización de contraseñas guardadas en Configuración. Podemos suponer que, en lugar de pedirnos que recordemos otra contraseña, es probable que Microsoft tenga la intención de permitir que los usuarios usen la autenticación biométrica de Windows Hello para autorizar el autocompletado de contraseñas para aquellos que están preocupados por los dispositivos compartidos.

Fuente: Windowsúltimo

Más sobre los temas: cromo, Edge, contraseña maestra, microsoft, gancho de reautenticación, ventanas, ventanas 10

Atiya Davids

Atiya Davids Proteccion

Noticias Reportero

Deje un comentario

Su dirección de correo electrónico no será publicada. Las areas obligatorias están marcadas como requeridas *