NO USEN el gestor de contraseñas de CHROME

Pablo, me parece que el video confunde algunos conceptos.
La clave que Chrome usa para encriptar el password no es la que está en plain text en disco. Esa clave en verdad está encriptada por Windows Data Protection API (línea 26 del script Python al que haces referencia)[1]. Este esquema de encriptación se conoce como envelope encryption[2]. Cuando guardas un password por primera vez, Chrome encripta tu password con una master key (generalmente conocida como Data Encryption Key), la DEK se encripta con Windows DPAPI y el resultado se guarda en disco (sqlite).
De esta manera, la seguridad de tus passwords está atada a la seguridad de loguearte en tu sistema operativo. Esto no es único de Windows, otros OS hacen lo mismo (iOS Keychain, Gnome Secret Service, etc).
Tu script solo funciona si lo ejecutas con el mismo usuario de Windows. Es por esto que el ataque que describis copiando el directorio no funciona.
El threat model de Chrome deja afuera ataques donde un usuario maligno logró loguearse en tu máquina y ejecutar tareas con tu usuario. Podes leer la justificación acá [3]. El TLDR es que la seguridad de tu browser, siempre va a estar atada a la seguridad de tu OS. Un OS comprometido implica un browser comprometido (lo único que varía es la complejidad del ataque).
[1]: learn.microsoft.com/en-us/previous-versions/ms995355(v=msdn.10)#windataprotection-dpapi_topic04
[2]: chromium.googlesource.com/chromium/src/+/master/docs/security/faq.md#does-the-password-manager-store-my-passwords-encrypted-on-disk
[3]: chromium.googlesource.com/chromium/src/+/master/docs/security/faq.md#why-arent-physically_local-attacks-in-chromes-threat-model.

Yo uso keepass para PC y keepass2android en mí teléfono. Tengo sincronizado el archivo que te genera en dropbox y accedo desde todos mis dispositivos a las contraseñas.
Es súper fácil y seguro.
Las características de seguridad que tiene keepass es lo mejor.
Lo recomiendo

En 2022 Google introdujo on-device encryption para el gestor de contraseñas Chrome. A lo mejor sería interesante que hables de ello también.

PD2: Me alegra saber que estás mejor de la espalda, yo estoy en una parecida pero con una cirugía cervical.
PD3: Mientras me daba de alta en Bitwarden, revisando mi celular me di cuenta que el administrador de contraseñas tiene una funcionalidad que se llama On-device encryption que aparentemente cifraa los datos en el dispositov antes de subirlas al Google Password Manager. Estaría genial que hagas un video explicando qué tan seguro es, y si es más o menos igual de vulnerable a lo que mostrás en este video.
PD4 (porque el no hay dos sin tres me quedaba corto): También probé abrir el archivo Login Data y al menos con el antivirus que uso, una ventana emergente sugiere bloquear el acceso a la app que elijo. Aunque, siguiendo tu ejemplo de PC desbloqueada con disco sin cifrar esto es en vano.

El problema va más allá de lo que muestra, y esto por culpa de la sincronización y la costumbre de los usuarios de darle sí a todo.
Cuando abrimos nuestra cuenta de Google en Chrome en una PC nueva, si teníamos activada la sincronización de datos del navegador, entonces nos sale un mensaje que varios ni leen y lo cliquean como si fuera el de "recordar contraseña", al hacer esto nos pasamos todas las contraseñas al ordenador nuevo y estas están sujetas a la seguridad del nuevo ordenador, por lo cuál es una brecha muy grande y que es común de ver en cibercafés y centros de cómputo escolares.

Para fraseando a una máxima de la programación: "se puede comprobar que la web es insegura, no se puede comprobar lo contrario", la primera opción lógica es usar un navegador (y en lo posible, "todo el software") de código abierto, es decir, Firefox o Chromium, ya que al ser su código auditable, es menor el riesgo de que se filtre algo malicioso. El segundo aspecto a tratar es la configuración del navegador. En mi caso, entre otras yerbas, es borrar todo (cookies, historial, etc) al salir, además del uso de extensiones anti rastreo y bloqueadores de ventanas y publicidad. En caso de necesitar mayor privacidad, uso Tor. Respecto de las contraseñas: Bitwarden o LastPass. La regla más importante al navegar: usar el sentido común.

Soy usuario de LinuxMint hace casi 10 años, uso firefox tengo sincronizada mis contras con firefox sync, nunca tuve problemas. ¿Qué opinan? @Pelado Nerd

La mayor intervención de Vaquita en el canal hasta el momento me parece, jaja. Que te mejores de la espalda!! Muy buen video como de costumbre Pela

Aguante vaquita, te consiguio un sub. Abrazo grande y muy buenos videos.

que bueno que estes usando bitwarden, por aca le saco bastante provecho a la funcion de sincronizar con un par de equipos que uso ademas del celular
pd: saludos a vaquita :D

Medio off-topic, pero quería felicitarte por el nivel de producción. Keep it up! ❤

Fuerza pelado espero estes sanito muy pronto y gracias por el contenido que haces!!!

No se necesita sacar el disco duro del equipo. Con un live USB se pueden extraer esos datos. Buen video. Gracias por informar y compartir.

Otro video más impecable donde desplegás magia. Muy bueno. ¡Gracias!
PD: Me gustan los íconos de tu escritorio. ¿Salen unos tiritos? (Soy medio queso, pero tengo momentos de habilidad).

😸😸 amamos A vaquita . Buena recuperación de la espalda pela metele a la rehab! Saludos sos un capo me enseñas cosas que ni sabía que existían !

Una alternativa es usar KeePass en local y sincronizando la bbdd en alguna nube. Esto permite que desde varios dispositivos se acceda.

Pelado, que opinás de KeePass?

Hola sos Sanjuanino? Yo también, te veo y descubrí desde España. Un abrazo. El estilo de tus vídeos, como explicas y toque de humor, son muy buenos!! Muchas gracias por tus vídeos !! 🎉

Pelado Nerd, gracias mil por tu video. Y
❤Gatita preciosa❤
solo te pueden ver las contraseñas si ponen un pendrive o...si tienen acceso fisico a tu duspositivo ???
O en remoto tambien pueden ???
Gracias !!

estaria bien analizar el sistema de guardado de contraseñas de FIREFOX

Me alegro de que estes recuperándote, creo que Vaquita te estaba recordando que debías descansar 😅😅😅

Pelado, que estes bien de tu espalda, yo tambien tengo ciertos problemas, una discopatia y espero no llegar a la operación.
Gracias por el videito y por el script tambien!

Mira, me suscribí tanto por la info pero mas por el gato. Saludos jajajaaja

Justo lo que estaba buscando, excelente video...!

Buen video, gracias!
Y el gestor de Brave es igual de inseguro?
Yo uso Bitwarden para casi todo también.

Excelente video, por cierto no se si ya tienes este contenido pero seria genial que hicieras un o unos videos de tipo tutorial para el uso de Linode..

Me encanto, justo te venia a preguntar como migrar de chrome a otro password manager, gracias por el chivo de bitwarden, hoy veo como implementarlo

4:41 , A eso llamo comunicación. Like y suscrito. Como rayos se le puede dar dislike a un video donde tienes un gato en el hombro.

Mi gata hace lo mismo justo cuando estoy en reuniones del trabajo jajaja, excelente aporte pelado!!

hace 7 meses de este video y me lei el pinned comment pero igual me suscribo, que haces usando windows pelado? jajaja grande

Muy bueno! Y hermoso el michi!!!!

En la empresa donde trabajo usamos 1Password, me gusta mucho esa herramienta. Amé tu gato ❤❤

Grande Pela!
Justo estoy volviendo a Tucumán desde Mendoza mientras veo tu video.
Lavate bien las manos después de usar Windor. Abrazo

Grande Pablo, el SC2 es buenísimo, un saludo!

te extrañaba men hace tiempo no veia recomendaciones de tus videos

Es genial el nivelde parentezco que tenemos,soy pelado, tengo barba, cuando maullo el gato dije en voz alta "Que pasa Camus?" refiriendome a mi gato y automaticamente vino a ponerse de la misma fotma que en el video casi sincronizado.

Muy bueno pelado! ¿Se necesita tener un gato en el hombro para correr el script?

Me da gracia porque me vi el video esperando una explicación mucho más tonta que voy a explicar a continuación:
Si la persona tiene acceso físico al PC, como en el ejemplo del video (donde dice "Me siento seguro porque le pide la password de Windows para ver las otras"), hay una manera muy sencilla de acceder a cualquier contraseña sin necesidad de la clave de Windows:
-Vas al sitio del cual deseas obtner la contraseña
-Dejas que Chrome autocomplete el campo
-Le das al F12, inspeccionar elemento, y seleccionas el campo de contraseña
-donde dice type dira password, lo cambias por text
Listo, hackeaste la CIA

Bueno, entonces tampoco es súper inseguro.
Tiene agujeros de seguridad y para ciertas cosas importantes igual sí que habría que renunciar al gestos de contraseñas del navegador, pero para la mayoría de cosas, es más que suficiente

Esta persona tiene razon, como alguien que sufrio un ransoware de la manera mas estupida siendo que soy informatico una vergüenza lo se, solo pongan contraseñas que no les importen que se filtren porque sino la van a pasar casi tan mal como yo lo pase sus contraseñas son fácilmente robables lo digo por experiencia no están para nada protegidas.

Vas a tener que regrabar la publicidad de Linode porque con 30 kg menos pareces otra persona jaja

Y si en vez de hacer todo eso, logro copiar el .py en la máquina del usuario y modificarlo para que genere un txt en base64 que se ejecute al iniciar windows, esto correría igual con la misma clave del usuario atacado, o sea hay varias formas.

Sabiendo el patron de alguien, desactivas el wifi y te muestra las contraseñas en el celular. La gente hasta guarda las contraseñas del mail... ahora creo q cambio si tratas de verlo te manda a la configuración del mail pero el daño ya esta hecho desactivando el wifi te puede mandar por ultima vez al gestor propio del navegador. Es bastante inseguro q solo pida la contraseña o patron con descubrir una se obtienen todas.

Buen video :D

Uso gnome en linux (arch) y en mi caso los passwords de chrome se almacenan en seahorse (el gestor de passwords de gnome). No he buscado más información sobre el tema así que no sé si en todos los casos gnome+chrome es igual o depende de la distro, empaquetador o similar.

Que tal como estas, una consulta...por que cuando quiero usar una cobtraseña gurdada no me deja copiarla? Alguien sabe? Gracias!

También hay ejecutables para Windows que hacen lo mismo que el script. Los ejecutas nomás y te muestran las contraseñas de los navegadores. Buen video!

para linux y mac tambien existen estos files?

Muy buen video! No tenia idea, pense q no se guardaban localmente ni siquiera...

Nanana Vaquita por lejos lo mejor del video 😂😂 ❤

Gracias Pelado, por este maravilloso video.
Que lindo Vaquita ❤

tremendo!!
probé el script con edge y brave....
... funciona ... (no more comments)

Necestiamos mas personas como tu pelado :) te amo pela

Saludos a vaquita ❤ es adorable. Sigo tu contenido desde hace años

HOLA PABLO, GRACIAS POR LA INFO. COMO SEGURIDAD QUE SE RECOMIENDA, YA QUE SOY UN USUARIO NO MUY TECNOLOGICO Y HE LEIDO COMENTARIOS QUE SI SIRVE Y QUE NO SIRVE UPS, PREGUNTA QUE ME PUEDE RECOMENDAR YA QUE ES TEDIOSO ESTAR GUARDANDO CLAVES Y LLEGADO EL MOMENTO NO TE ACUERDAS O DEJASTE LA LIBRETA EN CASA CON LAS CONTRASEÑAS ETC. EXISTE UN GENERADOR DE CONTRASEÑA SEGURO QUE SIRVA PARA TODAS AL APLICACIONES Y CORREOS ETC SIN QUE HAYA QUE ESTAR CON UNA LIBRETA GUARDANDO CONTRASEÑAS ETC. AYUDA. SALUDOS Y EXITO, ESTAMOS SUSCRITO :)

Muy bueno querido! excelente trabajo

Una pregunta como neofito de linux (aunque tengo usandolo mas de 5 años). En linux es igual de fácil encontrar una carpeta con esa información de las contraseñas de Google? O es mas seguro usar linux? Gracias de antemano

Excelente consejo... Te lo agradezco enormemente... y que pasaria con mac? o con linux?

Eso afecta a todo navegador basado en Chromium como Brave?

Esooo!!! que haces usando Windows Pelado!!! ajajajaja aguante Linux ma que Mac ni Windows... LINUX y en cualquiera de sus sabores!!! Excelente video Pela, como siempre te pasas. Abrazo grande y muchas gracias por tus aportes.

Tengo una duda, que se guarden las contraseñas en chrome no es lo mismo que se guarden en la cuenta de google como tal o si?
He intentado buscar videos que hablen sobre el gestor de contraseñas del propio google y solo me salen hablando de chrome o de app de terceros de pago

pelado cuidate hay alguien de chrome viendo tus videos y sacaron un Gestor de contraseñas de google en Chrome

Bueno, convengamos que si querés acceder a las contraseñas que tenés guardadas offline y sin ingresar otra contraseña no tenés otra alternativa
Osea la única opción sería que antes de completar cada contraseña, el gestor de contraseñas te pida una contraseña maestra (para evitar guardar la clave de cifrado en plano) pero eso volvería al chrome menos usable, supongo que crearon el gestor de contraseñas para evitar que recuerdes la contraseñas y terminarían pidiendote una otra contraseña, incrementaría el problema que intenta eliminar ¿?
Creo que la solución no puede hacerse más segura que la que implentan, osea podes seguir añadiendo capas de cifrado pero al final en algun lugar del disco vas a tener que guardar la clave en plano ya que no tendría sentido pedirle al usuario una contraseña cada vez que querés que se autocomplete la contraseña.
Si lo pensas bien, es más un problema del sistema operativo, donde las apps tienen acceso a los datos de las otras apps, en ese sentido creo que los sistemas operativos móviles son más avanzados y permiten que las aplicaciones hagan estas simples tareas de guardar cosas de forma más segura.

Pero sólo necesitas acceso físico sino que además el usuario tiene que estar logueado...

Yo anteriormente tenía lastpass pero la había hackeado esa Bitwarden sería lo mismo así que uso keepass que es en el propio ordenador.

Hoola un gusto,
PeladoNerd yo solo uso Linux, no hay Winbugs en mi vida..!
Saludotes!

Vas a tener que hacer un video sobre Proton Pass, salió hace poco

yo lo tengo con contraseñas falsas y todo el tiempo me llegan notificaciones que me avisan que tratan de entrar a mi hotmail con una contraseña erronea

Si tienes acceso al navegador, y cualquier gestor de contraseñas... chrome incluido, la escribe en el campo contraseña.... y si vas al inspector de código... y cambias el input type="password" por input type="text".... voila ya la tienes en texto claro....

Una alternativa más ligera a Bitwarden es Vaultwarden. Lo estoy usando en local como contenedor Docker y va muy bien

Y Google no guarda las contraseñas en la cuenta y no en el dispositivo
???

Volvio Vaquita a los videos!!!!! 🥰

Google acaba de anunciar el nuevo método federativo para manejo de usuarios y claves y este debiera tender a desaparecer. Pero muy sorprendente lo que mostrás. Yo uso Chrome mucho. Pero tambien uso Keepass y ahora un server de Passbolt para un cliente.

buena data! gracias

Muy bueno. Gracias

Y con edge pasa lo mismo?

Bueno...no es cierto que no es seguro. Si no hay acceso fisico a PC es seguro. El tema es evitar obviamente logearse con google en PC compartidos.

no solo en Chrome, en todos los navegadores basados en Chromium, para Firefox, cambia casi nada

con Brave pasa lo mismo?

También ocurre lo mismo cuando estás logueado en la cuenta de Google y las contraseñas sincronizadas???

Y pero es logico que pase eso, si no pide una contraseña para la db local era obvio que esto estaba pasando. El problema es que si lo implementan con contraseña local los usuarios no lo verian practico, o usarian una contraseña debil

El pelado usando Windows? Crei que era más difícil peinarlo. Saludos crack

Hola! 😊
Me encantó tu explicación. Supongo que aplica para los celulares tambien.

Supongamos q solo tengo dos dispositivos en donde hago login con lamisma cuenta de google, digamos un notebook y un celular. Y guardo las contraseñas con este sistema de gestor de contraseñas de chrome solo en mi notebook y no en mi celular en donde también he accedido a mi cuenta de google pero sin haber sincronizado desde mi celular. Y sucede que ahora mi notebook no enciende y por tanto no me puedo conectar a internet desde ese notebook, y si quisiera sincronizar activando esta opción desde mi celular, dime: ¿No podría recuperar las contraseñas almacenadas en el gestor de contraseñas de crome desde mi celular ya que mi notebook no está conectado a internet? Te planteo la misma pregunta de otra manera: ¿para que la opción de sincronizar misma cuenta de google en dos o más dispositivos sí o sí el dispositivo donde usé la opción de guardar contraseñas con google crome debe estar conectado a internet?
Por favor, me pueden aclarar esto? Es q yo tenía min cuenta de Amazon guardada de esta forma en google en donde solo hacía login desde mi notebook, y ahora mi notebook se echó a perder y no puedo ingresar a amazon desde mi celular porq no apunté la contraseña ya q me confié de esta opción que te da crome.
Entonces estas contraseñas se guardan solo localmente? Entonces si yo le doy a Sincronizar cuenta desde mi celular, teniendo mi notebook apagado sin poder conectarlo a internet, no podré sincronizar nada en mi celular ya que el notebook no está conectado a internet?

Hay algunas extensiones que envian esta informacion., yo uso un bloqueador de malware, y me muestra conexiones salientes cuando abro la pagina de passwords en chromne, eso se debe a que ellos tratan de enviar la informacion a un servidor remoto, puede ser alguna extension, o lo peor una infeccion por malware, ya me dio ganas de formatear mi pc.

Si quieres una contraseña en específico puedes entrar directamente a la página insertar la contraseña grabada y con f5 buscas el campo del password y envés de paswword le pones texto y la vez. Es fácil saberla si tienes acceso a la compu lo que si me da miedo es caer en un malware y que se lleven esos archivos de chrome

Hola Pablo, lo mismo sucede con los celulares, es decir, hay una carpeta donde se guardan los registros de usuario y contraseña?, Saludos desde México.

Pelado que tal un gusto en realidad o antes de comenzar dejame decirte que sos el mejor y sos un grande y por siguiente ese metodo interviene un script tercero como cualquier otra plataforma es mas lastpass, vault warden y passbolt tambien es vulnerable mediante un script y te devuelve texto plano previamente teniendo acceso de igual forma a un archivo sqlite, aun asi buen aporte siempre es bueno aclarar detalles saludos

En Edge sucede lo mismo?

Pero en una PC en casa no hay tanta bronca pero en el trabajo sí.

porfaa vale la pena guardar claves en samsung pass?

Buenas, consulta xq hace rato el mismo chrome me dice "contraseña hackeadas" pero es mas xq no las cambie nuenca. Y empese a usar "microsoft authenticator" q tal esta app? xq tiene una extencion para el chrome y me esta reemplazando las contraseñas y lo veo bueno. Saludos

y es aqui que todos nos dimos cuenta que el pelado es fiel a papi blizzard, manda el battletag para unos wowcitos

GRACIAS → BROTHER SALUDOS DESDE VENEZUELA

Vaquita es un amor!!!!! ❤

Genial todo suma bro,👍👍👍

Pensar que aprendí esto hace años de un curso de forense digital y aún siguen usando sqlite, que peligro. Saludos Pelado, excelente video como siempre, hermosa vaquita jajaja

Pelado, muy buenos tus videos!
Alguna opinión sobre el nuevo modo que se está impulsando (las passkeys?) No muchos sitios las aceptan al ser muy nuevas, pero si parece una mejor solución (usan criptografía asimétrica y solo se pueden crear en dispositivos con “TPMs” por lo que se deberían almacenar de manera segura).
Y esto del video es con la opción “On-Device Encryption” habilitada, no?

Jajajaa te iba a decir lo de windows! Q bueno q aclaraste!

Ya de una comento que he usado gestores de contraseña. Lastpass me dejó mucho que desear vive caido, con vulnerabilidades, etc. Dashlane me tiene muy contento.