Actualizado el 17/03/23: Bitwarden dice que publicará cambios la próxima semana en su comportamiento de autocompletar, que describimos al final de este artículo junto con recomendaciones revisadas sobre los pasos que puede seguir para mantener sus contraseñas seguras en línea. Sin embargo, hasta que esa actualización se publique, nuestro informe original y nuestro consejo permanecerán.
Los administradores de contraseñas han ofrecido durante mucho tiempo el autocompletado: la capacidad para que el servicio o la aplicación llene automáticamente los formularios de inicio de sesión con su ID de usuario y contraseña en los sitios web guardados. Pero la función conlleva riesgos, y para el popular servicio Bitwarden, el peligro es lo suficientemente alto como para evitar el autocompletado por completo.
En general, los expertos en seguridad recomiendan desactivar la versión más proactiva de autocompletar, donde sus credenciales se completan automáticamente en los sitios guardados. Si un sitio web está comprometido, un actor malicioso puede capturar su información de inicio de sesión antes de que confirme visualmente que la página se ve normal.
Pero como detalló la firma de seguridad Flashpoint.io en una publicación de blog la semana pasada, el autocompletado de Bitwarden tiene una vulnerabilidad más profunda que otros servicios. En los sitios web que usan iframes, donde una página carga elementos HTML de una página web diferente, los formularios de inicio de sesión alojados en un sitio web externo aún se completan con la información de ID de usuario y contraseña del sitio guardado. Si alguno de esos elementos HTML externos se ve comprometido (como la publicidad, un vector conocido de vulnerabilidades), el resultado podría ser el robo de datos de inicio de sesión.
Esta permisividad no es por accidente, sino por diseño: en la documentación de la empresa sobre el problema, que se publicó a fines de 2018, Bitwarden afirma que su objetivo es fomentar una mejor adaptación a un administrador de contraseñas. La empresa da el ejemplo de iCloud como un sitio web importante que todavía usa iframes para conectarse a apple.com para iniciar sesión.
Esta vulnerabilidad existe ya sea que Bitwarden llene formularios de inicio de sesión de forma preventiva o si activa manualmente el autocompletado; Las pruebas de Flashpoint mostraron que el uso de autocompletar conlleva el mismo riesgo. Bitwarden tampoco advierte a los usuarios cuando están completando un formulario alojado en una página o sitio diferente, y también otorga un pase gratuito a los subdominios de un sitio web. Mientras tanto, otros administradores de contraseñas parecen opciones más seguras, ya que siguen siendo más estrictos con sus políticas de autocompletar. Durante la verificación puntual de los rivales de Flashpoint, solo se completaron automáticamente para el sitio guardado en la entrada de la bóveda, o al menos mostraron una advertencia si un iframe extraía un formulario externo.
Como usuario del administrador de contraseñas, puede tomar dos medidas importantes para protegerse de este tipo de vulnerabilidad. (Y no, la respuesta no es nunca usar un administrador de contraseñas).
- Deje desactivado el autocompletado preventivo. Los buenos servicios y aplicaciones tienen esto deshabilitado de manera predeterminada; déjelo así para mayor seguridad.
- Utilice un servicio o una aplicación que no complete automáticamente los formularios alojados en sitios externos o, al menos, le advierta que está a punto de hacerlo.
Si decide quedarse con Bitwarden, que es un servicio confiable y nuestro administrador de contraseñas gratuito favorito, también debe omitir el autocompletado preventivo. Y hasta la próxima semana (ver “Actualización: 17 de marzo de 2023” a continuación), también debe tomar esta precaución:
- Solo use el autocompletado activado manualmente en sitios en los que pueda confiar razonablemente. Por ejemplo, Apple debería tener los recursos para protegerse contra elementos HTML comprometidos. (Si no logran proteger a los usuarios contra este tipo de vulnerabilidad, todos tendrán problemas mucho mayores).
Dominik Tomaszewski / Fundición
Desafortunadamente, los usuarios de Bitwarden no parecen poder eludir este problema de autocompletar al copiar y pegar la información de inicio de sesión del administrador de contraseñas en un formulario. Si un formulario alojado externamente está comprometido, está comprometido. Entonces, hasta que la actualización de Bitwarden se publique la próxima semana [ed: see the 3/17/23 update note below], no importa cómo ingrese sus datos de inicio de sesión. No sabrá si se trata de un formulario alojado interna o externamente, y ese es el problema.
En cuanto a los sitios web oficiales que están comprometidos, todavía nada puede proteger contra esa situación. Es por eso que las contraseñas aleatorias para todos y cada uno de los sitios, servicios y aplicaciones son tan importantes: mantienen el daño limitado a ese único lugar. Y nos guste o no, la mejor manera de realizar un seguimiento de decenas (si no cientos) de credenciales es un administrador de contraseñas. Elija (y use) uno juiciosamente, y evitará la mayoría de los problemas.
Actualización: 17 de marzo de 2023
Bitwarden dice que lanzará una actualización la próxima semana que cambia el comportamiento de autocompletar en páginas con elementos iframe. Según Gary Orenstein, director de atención al cliente de Bitwarden, el servicio distinguirá entre dominios “confiables” (cualquier URL guardada por el usuario en una entrada de bóveda de contraseñas o parte de la lista predeterminada de sitios legítimos conocidos de Bitwarden) y “no confiables”. dominios (direcciones web que no coinciden con la información guardada en su bóveda de contraseñas o la lista predeterminada de sitios legítimos de Bitwarden).
Para los dominios de confianza, cuando abre una página con un formulario de inicio de sesión de iframe, el autocompletado funcionará como antes: las credenciales de usuario se completan automáticamente. Esto sucederá inmediatamente después de cargar la página si tiene activada la función “Autocompletar al cargar la página” (que He llamado “autocompletar preventivo” arriba y permanece desactivado de manera predeterminada), o si activa manualmente el autocompletar.
Para dominios que no son de confianza, Bitwarden reaccionará de una de dos maneras. Si ha habilitado la función “Autocompletar al cargar la página” (que he llamado “autocompletar preventivo” anteriormente), el formulario no se completará automáticamente. Si activa manualmente el autocompletado, Bitwarden mostrará una advertencia con la URL y pregunte si continuar o cancelar. Estas alertas siempre se activarán a menos que un usuario agregue la URL a la entrada de la bóveda de contraseñas. Los sitios no seguros (http) relacionados con un dominio de confianza también harán que aparezca una advertencia.
Sin embargo, Bitwarden mantiene las mismas reglas de coincidencia predeterminadas que antes de esta actualización: cualquier URL que coincida con un dominio base (por ejemplo, www.google.com y keep.google.com) guardada en su bóveda de contraseñas o en la lista de coincidencias predeterminada de Bitwarden considerarse de confianza. Eso significa que los subdominios para dominios de confianza aún obtienen un pase.
Con esta renovación, Bitwarden está a la par con otros servicios de administración de contraseñas que advierten a los usuarios antes de que completen los formularios de inicio de sesión de iframe. Sin embargo, si desea ejercer más control sobre cómo funciona la coincidencia, puede ajustar las reglas de coincidencia de dominio desde la configuración de Bitwarden: ya sea en toda su bóveda (Configuración > Autocompletar > Detección de coincidencia de URI predeterminada dentro de la extensión del navegador) o por entrada. En realidad, puede agregar más de una URL a una entrada de la bóveda de contraseñas y también establecer diferentes reglas de coincidencia para cada una. Si prefiere controles de seguridad más estrictos, es posible que desee cambiar sus reglas de coincidencia de “dominio base” a “exacto”. También puede cambiarlo a “nunca” para deshabilitar el autocompletado por completo. Visite las páginas de ayuda de Bitwarden para obtener más detalles sobre cómo funciona cada opción (por ejemplo, dominio base, host, expresión regular, etc.).