I gestori di password, tramite l’opzione di autofill, offrono da tempo la possibilità di riempire automaticamente i moduli di login con il vostro ID utente e la vostra password sui siti web salvati. Tuttavia, questa funzione comporta dei rischi e per il popolare servizio Bitwarden il pericolo è talmente elevato che dovreste evitare del tutto l’autofill.

In generale, gli esperti di sicurezza consigliano di disattivare la versione più proattiva dell’autofill, quella in cui le vostre credenziali vengono inserite automaticamente nei siti salvati. Se un sito web è compromesso, un attore malintenzionato può catturare le vostre informazioni di accesso prima che confermiate visivamente che la pagina è normale.

Ma come ha spiegato la società di sicurezza Flashpoint.io in un post della scorsa settimana, l’autofill di Bitwarden presenta una vulnerabilità più profonda rispetto ad altri servizi. Sui siti web che utilizzano gli iframe (dove una pagina carica elementi HTML da un’altra pagina web), i moduli di login ospitati su un sito web esterno vengono comunque compilati con le informazioni relative all’ID utente e alla password del sito salvato. Se uno di questi elementi HTML esterni viene compromesso (come nel caso della pubblicità, un noto vettore di exploit), il risultato potrebbe essere il furto dei dati di login.

Questa permissività non è casuale, ma è stata progettata. Nella documentazione dell’azienda a riguardo, pubblicata alla fine del 2018, Bitwarden afferma infatti che il suo obiettivo è quello di incoraggiare un migliore adattamento a un gestore di password. L’azienda fa l’esempio di iCloud come sito web principale che utilizza ancora gli iframe per collegarsi ad apple.com per il login.

Questa vulnerabilità esiste sia che Bitwarden compili preventivamente i moduli di login, sia che voi attiviate manualmente l’autofill; i test di Flashpoint hanno dimostrato che entrambi gli usi dell’autofill comportano lo stesso rischio. Inoltre, Bitwarden non avvisa gli utenti quando stanno compilando un modulo ospitato su una pagina o un sito diverso e dà via libera anche ai sottodomini di un sito web. Altri gestori di password adottano in genere opzioni più sicure, in quanto sono più severi con le loro policy di autofill. Durante il controllo effettuato da Flashpoint sugli altri password manager, questi hanno effettuato l’autofill solo per il sito salvato nella voce del vault, o almeno hanno visualizzato un avviso se un iframe richiamava un modulo esterno.

Good-passwords-to-use

Come utenti di un gestore di password, potete adottare due importanti misure per proteggervi da questo tipo di vulnerabilità.

  • Lasciare disattivato l’autofill preventivo. I servizi e le app migliori hanno questa funzione disabilitata di default: lasciatela così per una maggiore sicurezza.
  • Utilizzare un servizio o un’app che non compili automaticamente i moduli ospitati su siti esterni o che, per lo meno, vi avverta che state per farlo.

Se decidete di utilizzare Bitwarden, che è sicuramente un servizio affidabile, dovreste disattivare l’autofill preventivo, oltre a prendere come ulteriore precauzione l’utilizzo dell’autofill manuale solo sui siti di cui potete ragionevolmente fidarvi. 

Purtroppo gli utenti di Bitwarden non sembrano in grado di aggirare il problema dell’autofill quando copiano e incollano le informazioni di login dal gestore di password in un modulo. Se un modulo ospitato esternamente è compromesso, è compromesso. Quindi, indipendentemente dal modo in cui inserite i vostri dati di accesso, non saprete se si tratta di un modulo ospitato internamente o esternamente e questo è il problema.

Per quanto riguarda i siti web ufficiali che vengono compromessi, nulla può ancora proteggere da questa situazione. Ecco perché le password casuali per ogni singolo sito, servizio e app sono così importanti: permettono di limitare i danni a quell’unico luogo. E che vi piaccia o no, il modo migliore per tenere traccia di decine (se non centinaia) di credenziali è un gestore di password. Se ne scegliete (e usate) uno con criterio, eviterete la maggior parte dei problemi.