Come Estrarre le Password Salvate di Chrome - Quando Non Conosci la Password dell'Account PC

873parole ·5min
https://it.andytips.com/security/chrome-password-extraction-without-pc-password/
Indice

Questa è la Parte 3 della Serie sull’Hacking delle Password di Chrome.

Nell’articolo precedente, abbiamo visto come le password memorizzate possono essere perse
quando l’attaccante conosce la password dell’account PC.

In questo post, esamineremo uno scenario diverso:
anche senza conoscere la password dell’account PC,
le password di Chrome possono ancora essere estratte se il computer viene lasciato sbloccato per un momento.

Non si tratta di hacking remoto.
È un’altra forma di attacco locale, effettuato da qualcuno con breve accesso fisico alla tua macchina.

Un’Altra Vulnerabilità nel Completamento Automatico di Chrome

Il completamento automatico delle password di Chrome facilita la navigazione quotidiana.
Tuttavia, la sua struttura interna crea una vulnerabilità aggiuntiva:
se lo schermo è sbloccato, i valori delle password memorizzate esistono già in testo semplice all’interno del browser.

Ciò significa che qualcuno che non conosce la password dell’account PC
può comunque recuperare le password memorizzate in Chrome
semplicemente accedendo alla macchina mentre sei assente per un momento.

Prima di esaminare i metodi, consideriamo una situazione che può verificarsi facilmente nell’uso quotidiano.

Il Rischio degli Attacchi Locali

La maggior parte degli utenti ha l’intenzione di bloccare i propri schermi quando lascia le scrivanie.
Ma brevi momenti:
una telefonata, uscire rapidamente per un caffè o essere occupati con il lavoro,
possono facilmente portare a dimenticare di bloccare lo schermo.

Il blocco automatico di Windows è tipicamente impostato su 5 o 10 minuti,
il che lascia una finestra di opportunità piuttosto generosa.

Gli attacchi locali sfruttano precisamente tali momenti.
Se lo schermo del PC è acceso e il browser è aperto,
un attaccante può recuperare le password salvate senza credenziali aggiuntive.

Come Vengono Memorizzate le Password del Completamento Automatico

I campi password compilati tramite il completamento automatico di Chrome mostrano caratteri mascherati (••••),
ma all’interno del browser, la password è già memorizzata in testo semplice.

L’elemento HTML <input type="password"> nasconde solo la password visivamente.
La password effettiva è memorizzata nell’attributo value dell’elemento,
a cui si può accedere tramite strumenti per sviluppatori o script.

Questa struttura è ciò che rende possibili i seguenti attacchi.

Metodo 1: Utilizzare gli Strumenti per Sviluppatori

L’utilizzo degli Strumenti per Sviluppatori ti consente di leggere direttamente la password completata automaticamente.
Non hai bisogno di conoscenze JavaScript per seguire i passaggi.

  1. Apri una pagina di accesso in cui la password è stata completata automaticamente.

  2. Conferma che il campo password contiene caratteri mascherati (••••).

  3. Fai clic destro sul campo di input della password.

  4. Seleziona Ispeziona.

  5. Gli Strumenti per Sviluppatori si apriranno ed evidenzieranno l’elemento HTML rilevante.

  6. Trova l’elemento <input type="password" ...>.

  7. Annota il valore del suo attributo id o name.

  8. Apri la scheda Console.

  9. Inserisci il seguente comando (cambia 'password' con l’ID effettivo):

    console.log(document.getElementById('password').value);

  10. Premi Invio e la password apparirà in testo semplice.

Una volta familiarizzato con i passaggi,
l’intero processo richiede meno di 30 secondi.

Metodo 2: Utilizzare Firefox

La funzione integrata di Firefox Importa dati da un altro browser
può copiare le password salvate di Chrome senza chiedere la password dell’account PC.
Questo processo è semplice e richiede quasi nessuna conoscenza tecnica.

  1. Scarica e installa Firefox.

  2. Al primo avvio, appare la finestra Importa dati da un altro browser.

  3. Seleziona Chrome.

  4. Seleziona l’elemento Password.

  5. Fai clic su Avanti per importare le password di Chrome.

  6. Apri Password (about:logins) dal menu di Firefox.

  7. Tutti i nomi utente e le password appariranno in testo semplice.

  8. Seleziona Esporta password per salvare tutto come file CSV.

Firefox non richiede la password dell’account PC per visualizzare o esportare queste password.
Inoltre, le password salvate di Chrome possono essere trasferite con pochi clic,
rendendo questo un metodo estremamente efficace quando il PC di destinazione viene lasciato sbloccato.

Rischi Strutturali Creati dalle Funzioni di Comodità

Entrambi i metodi funzionano senza alcuno strumento di hacking o competenze avanzate.
Si basano completamente su funzioni standard del browser.

L’unico requisito è che lo schermo del PC sia sbloccato.
In ambienti PC condivisi, configurazioni d’ufficio o computer familiari,
questo tipo di esposizione può verificarsi molto più facilmente di quanto la gente si aspetti.

La funzione di completamento automatico di Chrome è comoda,
ma non dovrebbe essere confusa con un meccanismo sicuro di archiviazione delle password.

Nel prossimo articolo, vedremo come evitare questi rischi
e gestire le password in modo sicuro utilizzando un gestore di password dedicato come KeePassXC.

Elenco della Serie:

💡 Articolo correlato

Il Completamento Automatico delle Password di Chrome è Davvero Sicuro? I Rischi Reali delle Password Salvate

La funzione di completamento automatico di Chrome è comoda, ma le password salvate possono essere esposte più facilmente di quanto pensi.
Questo articolo spiega la struttura del completamento automatico e le vulnerabilità di sicurezza, mentre il prossimo articolo descrive in dettaglio il processo di perdita reale passo dopo passo.

💡 Articolo correlato

Come Estrarre le Password Salvate di Chrome - Se Conosci la Password dell'Account PC

Chiunque conosca la password del tuo account PC può visualizzare ed esportare tutte le password salvate in Chrome in pochi minuti.
Ecco una guida passo passo del processo reale.

💡 Articolo correlato

Gestione delle Password con KeePassXC - Un Modo Molto Più Sicuro per Gestire le Password

Utilizzare KeePassXC ti consente di utilizzare il completamento automatico delle password dei siti web in modo molto più sicuro.
Imposta una password master per gestire in modo sicuro tutte le tue password.