El servicio de administración de contraseñas de código abierto Bitwarden ha introducido un nuevo menú de autocompletar en línea que aborda el riesgo de robo de credenciales de usuario a través de campos de formulario maliciosos.
El problema se destacó hace casi un año cuando los analistas de Flashpoint demostraron que era posible que los atacantes inyectaran iframes no autorizados en sitios legítimos vulnerables o subdominios susceptibles de secuestro.
La respuesta de Bitwarden al riesgo en ese momento fue que la función de autocompletar de iframe debería permanecer disponible para servir en escenarios de uso legítimo, como icloud.com o apple.com, pero seguirá deshabilitada de forma predeterminada.
Los usuarios que quisieran habilitarla recibirían una advertencia visible sobre el riesgo de activar la opción en el menú de la extensión.
Unos días más tarde, el equipo de Bitwarden anunció que agregaría otra capa de seguridad, permitiendo el autocompletado de iframe solo en sitios y subdominios confiables del dominio de origen.
Hoy, el administrador de contraseñas presentó un sistema que incorpora lecciones aprendidas de desafíos de seguridad pasados, lo que permite a los usuarios completar las credenciales de inicio de sesión sin correr el riesgo de perder sus datos confidenciales a manos de actores de phishing.
Específicamente, las siguientes salvaguardas ahora garantizan la seguridad del sistema de autocompletar:
- Bitwarden solo completará las credenciales cuando un usuario seleccione un campo de formulario, mitigando el riesgo de completar automáticamente las credenciales en sitios web maliciosos o iframes sin que el usuario lo sepa.
- Los usuarios tienen la opción de proteger con contraseña la información de inicio de sesión, lo que agrega otra capa de seguridad al usar el autocompletar.
- Se llevaron a cabo extensas pruebas de penetración de terceros para identificar y cerrar brechas de seguridad, presumiblemente incluidas aquellas relacionadas con iframes y subdominios.
En términos de la experiencia del usuario, la nueva función de autocompletar en línea fue diseñada para que el autocompletar sea un proceso sencillo al mantener el menú encima de todos los demás elementos visibles, reubicarlo según el tamaño de la página y la posición de desplazamiento, lo que permite la navegación con el teclado. y solo muestra resultados si el usuario ha iniciado sesión en la extensión.
De forma predeterminada, la función está desactivada, pero los usuarios pueden habilitarla desde el ícono de extensión de Bitwarden en ‘Configuración’ → ‘Autocompletar’, donde pueden configurar las opciones desplegables ‘Mostrar menú de autocompletar en campos de formulario’.
Para evitar conflictos, se recomienda desactivar las funciones de autocompletar en su navegador web si está habilitada en la extensión Bitwarden.
El administrador de contraseñas presenta múltiples opciones de autocompletar que incluyen atajos de teclado, un menú contextual dedicado, autocompletar al cargar la página y autocompletar manual.
Los usuarios también pueden establecer parámetros específicos para las URL confiables que desean que Bitwarden proporcione la opción de autocompletar.