El servicio de gestión de contraseñas de código abierto Bitwarden ha introducido un nuevo menú de autocompletado en línea que aborda el riesgo de robo de credenciales de usuario a través de campos de formulario maliciosos.
El problema se puso de manifiesto hace casi un año cuando los analistas de Flashpoint demostraron que era posible que los atacantes inyectaran iframes maliciosos en sitios o subdominios legítimos vulnerables susceptibles de secuestro.
La respuesta de Bitwarden al riesgo en ese momento fue que la función de autocompletado de iframe debería permanecer disponible para servir escenarios de uso legítimos, como para icloud.com o apple.com, pero seguirá estando deshabilitada de forma predeterminada.
Los usuarios que quisieran habilitarlo recibirían una advertencia visible sobre el riesgo de activar la opción en el menú de la extensión.
Unos días más tarde, el equipo de Bitwarden anunció que agregaría otra capa de seguridad, permitiendo que los autocompletados de iframe solo se realicen en sitios y subdominios confiables del dominio de origen.
Hoy, el administrador de contraseñas presentó un sistema que incorpora lecciones aprendidas de desafíos de seguridad pasados, lo que permite a los usuarios completar las credenciales de inicio de sesión sin arriesgarse a perder sus datos confidenciales a manos de actores de phishing.
En concreto, las siguientes medidas de seguridad garantizan ahora la seguridad del sistema de autocompletar:
- Bitwarden solo completará las credenciales cuando un usuario seleccione un campo de formulario, lo que mitiga el riesgo de que se completen automáticamente las credenciales en sitios web maliciosos o iframes sin que el usuario lo sepa.
- Los usuarios tienen la opción de proteger la información de inicio de sesión con contraseña, lo que agrega otra capa de seguridad cuando se usa el autocompletar.
- Se llevaron a cabo extensas pruebas de penetración de terceros para identificar y cerrar las brechas de seguridad, presumiblemente incluidas las relacionadas con iframes y subdominios.
En cuanto a la experiencia del usuario, la nueva función de autocompletado en línea fue diseñada para mantener el autocompletado como un proceso fácil al mantener el menú encima de todos los demás elementos visibles, reposicionarlo según el tamaño de la página y la posición de desplazamiento, permitir la navegación con el teclado y solo mostrar los resultados si el usuario ha iniciado sesión en la extensión.
De forma predeterminada, la función está desactivada, pero los usuarios pueden habilitarla desde el icono de extensión de Bitwarden en ‘Configuración’ → ‘Autocompletar’, donde pueden configurar las opciones desplegables ‘Mostrar menú de autocompletar en los campos del formulario’.
Para evitar conflictos, se recomienda desactivar las funciones de autocompletado en su navegador web si está habilitado en la extensión Bitwarden.
El administrador de contraseñas cuenta con múltiples opciones de autocompletado que incluyen atajos de teclado, un menú contextual dedicado, autocompletado al cargar la página y autocompletado manual.
Los usuarios también pueden establecer parámetros específicos para las URL de confianza que desean que Bitwarden proporcione la opción de autocompletar.
