Pablo, me parece que el video confunde algunos conceptos. La clave que Chrome usa para encriptar el password no es la que está en plain text en disco. Esa clave en verdad está encriptada por Windows Data Protection API (línea 26 del script Python al que haces referencia)[1]. Este esquema de encriptación se conoce como envelope encryption[2]. Cuando guardas un password por primera vez, Chrome encripta tu password con una master key (generalmente conocida como Data Encryption Key), la DEK se encripta con Windows DPAPI y el resultado se guarda en disco (sqlite). De esta manera, la seguridad de tus passwords está atada a la seguridad de loguearte en tu sistema operativo. Esto no es único de Windows, otros OS hacen lo mismo (iOS Keychain, Gnome Secret Service, etc). Tu script solo funciona si lo ejecutas con el mismo usuario de Windows. Es por esto que el ataque que describis copiando el directorio no funciona. El threat model de Chrome deja afuera ataques donde un usuario maligno logró loguearse en tu máquina y ejecutar tareas con tu usuario. Podes leer la justificación acá [3]. El TLDR es que la seguridad de tu browser, siempre va a estar atada a la seguridad de tu OS. Un OS comprometido implica un browser comprometido (lo único que varía es la complejidad del ataque). [1]: learn.microsoft.com/en-us/previous-versions/ms995355(v=msdn.10)#windataprotection-dpapi_topic04 [2]: chromium.googlesource.com/chromium/src/+/master/docs/security/faq.md#does-the-password-manager-store-my-passwords-encrypted-on-disk [3]: chromium.googlesource.com/chromium/src/+/master/docs/security/faq.md#why-arent-physically_local-attacks-in-chromes-threat-model.

En 2022 Google introdujo on-device encryption para el gestor de contraseñas Chrome. A lo mejor sería interesante que hables de ello también.

Yo uso keepass para PC y keepass2android en mí teléfono. Tengo sincronizado el archivo que te genera en dropbox y accedo desde todos mis dispositivos a las contraseñas. Es súper fácil y seguro. Las características de seguridad que tiene keepass es lo mejor. Lo recomiendo

Vas a tener que regrabar la publicidad de Linode porque con 30 kg menos pareces otra persona jaja

PD2: Me alegra saber que estás mejor de la espalda, yo estoy en una parecida pero con una cirugía cervical. PD3: Mientras me daba de alta en Bitwarden, revisando mi celular me di cuenta que el administrador de contraseñas tiene una funcionalidad que se llama On-device encryption que aparentemente cifraa los datos en el dispositov antes de subirlas al Google Password Manager. Estaría genial que hagas un video explicando qué tan seguro es, y si es más o menos igual de vulnerable a lo que mostrás en este video. PD4 (porque el no hay dos sin tres me quedaba corto): También probé abrir el archivo Login Data y al menos con el antivirus que uso, una ventana emergente sugiere bloquear el acceso a la app que elijo. Aunque, siguiendo tu ejemplo de PC desbloqueada con disco sin cifrar esto es en vano.

El problema va más allá de lo que muestra, y esto por culpa de la sincronización y la costumbre de los usuarios de darle sí a todo. Cuando abrimos nuestra cuenta de Google en Chrome en una PC nueva, si teníamos activada la sincronización de datos del navegador, entonces nos sale un mensaje que varios ni leen y lo cliquean como si fuera el de "recordar contraseña", al hacer esto nos pasamos todas las contraseñas al ordenador nuevo y estas están sujetas a la seguridad del nuevo ordenador, por lo cuál es una brecha muy grande y que es común de ver en cibercafés y centros de cómputo escolares.

Medio off-topic, pero quería felicitarte por el nivel de producción. Keep it up! ❤

Soy usuario de LinuxMint hace casi 10 años, uso firefox tengo sincronizada mis contras con firefox sync, nunca tuve problemas. ¿Qué opinan? @Pelado Nerd

Para fraseando a una máxima de la programación: "se puede comprobar que la web es insegura, no se puede comprobar lo contrario", la primera opción lógica es usar un navegador (y en lo posible, "todo el software") de código abierto, es decir, Firefox o Chromium, ya que al ser su código auditable, es menor el riesgo de que se filtre algo malicioso. El segundo aspecto a tratar es la configuración del navegador. En mi caso, entre otras yerbas, es borrar todo (cookies, historial, etc) al salir, además del uso de extensiones anti rastreo y bloqueadores de ventanas y publicidad. En caso de necesitar mayor privacidad, uso Tor. Respecto de las contraseñas: Bitwarden o LastPass. La regla más importante al navegar: usar el sentido común.

subí más videos con vaquita y nubecita o me desuscribo

Pelado, que opinás de KeePass?

Una alternativa es usar KeePass en local y sincronizando la bbdd en alguna nube. Esto permite que desde varios dispositivos se acceda.

😸😸 amamos A vaquita . Buena recuperación de la espalda pela metele a la rehab! Saludos sos un capo me enseñas cosas que ni sabía que existían !

La mayor intervención de Vaquita en el canal hasta el momento me parece, jaja. Que te mejores de la espalda!! Muy buen video como de costumbre Pela

Me da gracia porque me vi el video esperando una explicación mucho más tonta que voy a explicar a continuación: Si la persona tiene acceso físico al PC, como en el ejemplo del video (donde dice "Me siento seguro porque le pide la password de Windows para ver las otras"), hay una manera muy sencilla de acceder a cualquier contraseña sin necesidad de la clave de Windows: -Vas al sitio del cual deseas obtner la contraseña -Dejas que Chrome autocomplete el campo -Le das al F12, inspeccionar elemento, y seleccionas el campo de contraseña -donde dice type dira password, lo cambias por text Listo, hackeaste la CIA

Aguante vaquita, te consiguio un sub. Abrazo grande y muy buenos videos.

Otro video más impecable donde desplegás magia. Muy bueno. ¡Gracias! PD: Me gustan los íconos de tu escritorio. ¿Salen unos tiritos? (Soy medio queso, pero tengo momentos de habilidad).

que bueno que estes usando bitwarden, por aca le saco bastante provecho a la funcion de sincronizar con un par de equipos que uso ademas del celular pd: saludos a vaquita :D

No se necesita sacar el disco duro del equipo. Con un live USB se pueden extraer esos datos. Buen video. Gracias por informar y compartir.

4:41 , A eso llamo comunicación. Like y suscrito. Como rayos se le puede dar dislike a un video donde tienes un gato en el hombro.

Y pero es logico que pase eso, si no pide una contraseña para la db local era obvio que esto estaba pasando. El problema es que si lo implementan con contraseña local los usuarios no lo verian practico, o usarian una contraseña debil

Hoola un gusto, PeladoNerd yo solo uso Linux, no hay Winbugs en mi vida..! Saludotes!

estaria bien analizar el sistema de guardado de contraseñas de FIREFOX

Esooo!!! que haces usando Windows Pelado!!! ajajajaja aguante Linux ma que Mac ni Windows... LINUX y en cualquiera de sus sabores!!! Excelente video Pela, como siempre te pasas. Abrazo grande y muchas gracias por tus aportes.

Pelado....... muy bueno el video! pero.... Que haces usando Windows??? jajajja :D

Y falta decir que LAS EXTENSIONES también tienen acceso a Chrome

Gestor de contraseñas con dispositivos ilimitados en el plan free????? DONDE FIRMO???? Que pena que no esté auspiciado, volví al video solo para buscar el link de referidos. F

Ninguna persona con dos dedos de frente usaría el gestor de contraseñas de CHROME. Mejor dicho, usaría CHROME.

El vídeo creo que demuestras más lo vulnerable que es MS Windows y por qué hay más virus, malware, ransomware y demás en éste "OS" que en cualquier otro, En GNU/Linux, MacOS o incluso ChromeOS sería más difícil llegar a éste punto que muestra en el vídeo, al final parece más un comercial de Bitwarden más que otra cosa, pero, gracias por desinformar a los menos entendidos con ésta presentación.

Quien se cree tan importante como para q le importe esto? Jajajaj mientras q tengas la computadora bloqueada esta todo bien. La mayoría de la gente ni siquiera la saca de la casa. Y si te la roban, lo ultimo que van a hacer es querer hackearte la contraseña del Facebook. Esta bueno saberlo como información, yo que se. Pero la herramienta de chrome yo siempre la vi como una ayuda, algo q te facilita la navegación. No sabía como se almacenaban las claves, pero hasta te digo q prefiero esto a q estén en la “nube”, o sea un servidor centralizado en el q cualquier hacker ruso se levanta un día y decide robar 10 millones de claves.

Si tienes acceso al navegador, y cualquier gestor de contraseñas... chrome incluido, la escribe en el campo contraseña.... y si vas al inspector de código... y cambias el input type="password" por input type="text".... voila ya la tienes en texto claro....

Pelado Nerd, gracias mil por tu video. Y ❤Gatita preciosa❤ solo te pueden ver las contraseñas si ponen un pendrive o...si tienen acceso fisico a tu duspositivo ??? O en remoto tambien pueden ??? Gracias !!

Como si tuviera información que fuera valiosa para el gobierno

buenas, no, estoy usando linux :) :) :) :), ajajaj asique soy indestructible como burns ajjaja kzbin.info/www/bejne/pJa3fXmcr7eiaKs muy bueno voy a chusmiar lo de bitwarden, venía usando keepass. gracias por la data

Alguien ya hizo el comentario de lo que queria decir sobre como se guarda la cadena del cypher es a nivel del sistema operativo y no la del archivo ... en todo caso para que eso funcione (que otro logre descifrar tus contraseñas) ya debe tener control de tu PC y haber instalado troyanos en tu cuenta para hacer eso. Si es una persona fisica corriendo ese script que se le va a hacer? Mi recomendación es que se utilice un gestor de password de terceros que lo puedes instalar en Chrome, Edge, Firefox, Safari tanto en PC de escritorio como en telefonos .. Lo bueno es que centralizas las contraseñas de manera mas segura. Pero debea colocar una mega contraseña master en esos gestores... algo como "S0y3lMas-ch1ng0n-d3l-1nt3rn3t" 😂😂

1ro cuando vi el vídeo lo hice desde ubuntu y te doy un Like por Vaquita 😂, 2do francia.. Saludos pelado..

Claramente lo mejor del video fue la gata. El próximo video simplemente poné la gata 10 minutos y listo. Explota en likes.

Vas a tener que hacer un video sobre Proton Pass, salió hace poco

Fuerza pelado espero estes sanito muy pronto y gracias por el contenido que haces!!!

Que tal como estas, una consulta...por que cuando quiero usar una cobtraseña gurdada no me deja copiarla? Alguien sabe? Gracias!

¿me pregunto por que le puso "vaquita" a su gato? 😹😹😹 Yo he sabido que los gatos pueden crear buenas contraseñas, sólo los dejas en el teclado y hasta descubren agujeros de internet

Bueno, convengamos que si querés acceder a las contraseñas que tenés guardadas offline y sin ingresar otra contraseña no tenés otra alternativa Osea la única opción sería que antes de completar cada contraseña, el gestor de contraseñas te pida una contraseña maestra (para evitar guardar la clave de cifrado en plano) pero eso volvería al chrome menos usable, supongo que crearon el gestor de contraseñas para evitar que recuerdes la contraseñas y terminarían pidiendote una otra contraseña, incrementaría el problema que intenta eliminar ¿? Creo que la solución no puede hacerse más segura que la que implentan, osea podes seguir añadiendo capas de cifrado pero al final en algun lugar del disco vas a tener que guardar la clave en plano ya que no tendría sentido pedirle al usuario una contraseña cada vez que querés que se autocomplete la contraseña. Si lo pensas bien, es más un problema del sistema operativo, donde las apps tienen acceso a los datos de las otras apps, en ese sentido creo que los sistemas operativos móviles son más avanzados y permiten que las aplicaciones hagan estas simples tareas de guardar cosas de forma más segura.

Perfecto... Gran comentario. Ahora a recibir contraseñas 😅 un gusano se dará gusto

*_Videazo!_* PD: A todo esto, te aflojó el trabajo? Xq andás re-flaco 🤭😊

Y si en vez de hacer todo eso, logro copiar el .py en la máquina del usuario y modificarlo para que genere un txt en base64 que se ejecute al iniciar windows, esto correría igual con la misma clave del usuario atacado, o sea hay varias formas.

... interesante, aunqje yo uso el doble factor para autenticarme con google, usando yubikey si en windowos todo es asi.. pero para abrir nis contraseñas me pide un certificado que solo puede sbrirse con mi huella digital 🤣 un desastre

Es genial el nivelde parentezco que tenemos,soy pelado, tengo barba, cuando maullo el gato dije en voz alta "Que pasa Camus?" refiriendome a mi gato y automaticamente vino a ponerse de la misma fotma que en el video casi sincronizado.

Bueno, entonces tampoco es súper inseguro. Tiene agujeros de seguridad y para ciertas cosas importantes igual sí que habría que renunciar al gestos de contraseñas del navegador, pero para la mayoría de cosas, es más que suficiente

pelado usando Notepad.... :::emoticon pulgar abajo:::

Necestiamos mas personas como tu pelado :) te amo pela

Gracias Pelado, por este maravilloso video. Que lindo Vaquita ❤

No me preocupo por eso, no tengo nada que ocultar, lo que me molesta mucho más bien es que me pidan autorización por cookies y tonterías ,si me van a dar alguna noticia ya les di mis datos,nosé para que me piden tantas veces autorización, total no les voy a comprar nada.es como comprar un diario y que te digan esta noticia necesita un permiso para leerla. 😂😂😂😂

Me hackearon hace poco por que llevaron todas mis contraseñas al querer instalar photoshop, termine con una deuda de 100$ en facebook busines, fue claro que fue por culpa de chrome por que cavalmente cuando paso el navegador se cerro

Sabiendo el patron de alguien, desactivas el wifi y te muestra las contraseñas en el celular. La gente hasta guarda las contraseñas del mail... ahora creo q cambio si tratas de verlo te manda a la configuración del mail pero el daño ya esta hecho desactivando el wifi te puede mandar por ultima vez al gestor propio del navegador. Es bastante inseguro q solo pida la contraseña o patron con descubrir una se obtienen todas.

gran video, tocayo. yo uso 1Password y no hay vuelta atrás para mi. vale cada centavo. 30kg menos entre “dale” y la promo de linode. excelente trabajo con todo. 🤝

Este método junto con ingeniería social , es como les roban los canales a los youtubers y después los reemplazan con videos de Elon musk pidiendo cryptomonedas

HOLA PABLO, GRACIAS POR LA INFO. COMO SEGURIDAD QUE SE RECOMIENDA, YA QUE SOY UN USUARIO NO MUY TECNOLOGICO Y HE LEIDO COMENTARIOS QUE SI SIRVE Y QUE NO SIRVE UPS, PREGUNTA QUE ME PUEDE RECOMENDAR YA QUE ES TEDIOSO ESTAR GUARDANDO CLAVES Y LLEGADO EL MOMENTO NO TE ACUERDAS O DEJASTE LA LIBRETA EN CASA CON LAS CONTRASEÑAS ETC. EXISTE UN GENERADOR DE CONTRASEÑA SEGURO QUE SIRVA PARA TODAS AL APLICACIONES Y CORREOS ETC SIN QUE HAYA QUE ESTAR CON UNA LIBRETA GUARDANDO CONTRASEÑAS ETC. AYUDA. SALUDOS Y EXITO, ESTAMOS SUSCRITO :)

Que haces usando Windows pelado?!!! Se me cayó un ídolo 😢😅

a mi me robaron todas mis contrasenas de google y me hackearon un monton de cuentas pase dias recuperando las cuentas... abri un ejectuable y puffff... en seguida las tomos y chao

Por eso escribo mis contraseñas en papelitos que luego me como con salsa BBQ.🤣🤪🤣🤪

Vaquita usa Linux y el único comando que sabe usar es cat. Bueno, sí, ya me voy. Si, se por donde es la salida

Hay algunas extensiones que envian esta informacion., yo uso un bloqueador de malware, y me muestra conexiones salientes cuando abro la pagina de passwords en chromne, eso se debe a que ellos tratan de enviar la informacion a un servidor remoto, puede ser alguna extension, o lo peor una infeccion por malware, ya me dio ganas de formatear mi pc.

que tengo q hacer si aprendí que los gatos también pueden comportarse como loros o pajaritos, que se posan sobre los hombros del dueño jajaja

Naaa... Quién va a tener acceso al disco de mi computadora, sacarlo, instalerlo en otro lado, acceder a mí user de alguna forma y después correr script o lo que sea para tener mis password... Ni que yo fuera tan importante y estuviera rodeado de ratas

no solo en Chrome, en todos los navegadores basados en Chromium, para Firefox, cambia casi nada

solo le doy me gusta por el gato, pero no es tan asi como pones aca, es largo de explicar pero basicamente si te lo llevas a otra PC no funciona, eso solo funciona si lo ejecutas con el mismo usuario, una manera de probar lo que te digo para que veas que no es chamuyo es ejecutar el script con otro usuario en la misma PC, espero que te sirva la info. Abrazo!

Excelente consejo... Te lo agradezco enormemente... y que pasaria con mac? o con linux?

Click derecho inspecciones campo y cambiar de type password a text.

Y podrías hacer un vídeo de cómo pasar las contraseñas de el gestor de Google a bit warden??

😂 windows 😂 todos lo usamos por eso hice video en windows 👍 buen video

Grande Pablo, el SC2 es buenísimo, un saludo!

pelado cuidate hay alguien de chrome viendo tus videos y sacaron un Gestor de contraseñas de google en Chrome

Al final el metodo mas seguro es el tradicional, escribirlas en un papel 😂😂😂

¿Qué haces usando Windows pelado? :b

bueno igual, tiene que tener mucho tiempo, y conocimiento para que me saque la contraseña... para el usuario corriente es super seguro, para tipos que entienden de tecnologia no tanto

para linux y mac tambien existen estos files?

El pelado usando Windows? Crei que era más difícil peinarlo. Saludos crack

No entiendo cuál es el problema, si yo tengo mis contraseñas en un .txt :)

y es aqui que todos nos dimos cuenta que el pelado es fiel a papi blizzard, manda el battletag para unos wowcitos

Bueno...no es cierto que no es seguro. Si no hay acceso fisico a PC es seguro. El tema es evitar obviamente logearse con google en PC compartidos.

Pero sólo necesitas acceso físico sino que además el usuario tiene que estar logueado...

Nanana Vaquita por lejos lo mejor del video 😂😂 ❤

Tengo una duda, que se guarden las contraseñas en chrome no es lo mismo que se guarden en la cuenta de google como tal o si? He intentado buscar videos que hablen sobre el gestor de contraseñas del propio google y solo me salen hablando de chrome o de app de terceros de pago

Yo uso KeepPass para las "importantes"... el resto meh Esta mas flaco el pelado!

Es amarillismo cuando dices que se guarda en texto plano, no es así, que onda con esos baits...

Yo anteriormente tenía lastpass pero la había hackeado esa Bitwarden sería lo mismo así que uso keepass que es en el propio ordenador.

muy malo el gestos. asi me robaron mis password. Accedieron a todas mis cuentas que tenian la misma contrañera

Intenté crearme una cuenta en Linode, por algún motivo rechazó la creación de mi cuenta "A recently created account with this email address was canceled by our automated systems. This was due to activity or patterns associated with fraudulent behavior. Additional attempts to sign up may also be rejected." 🤷‍♂

En casa pagamos licencia de Norton para la familia, yo en lo personal uso el administrado de contraseñas de norton auque no estoy seguro si es gratis.

Pablo te estas quedando en los huesos ... que entrenamiento y dieta haces?

Lo de google chrome es irrisorio, ese navegador se quedo atrapado y estancado en el tiempo no mejora, lo mas sabio es usar otras alternativas tal vez al perder cuota de mercado reaccionen.

Muy bueno pelado! ¿Se necesita tener un gato en el hombro para correr el script?

¿Qué haces usando windows pelado? jijijiji

Gracias por la buena data. Consulta Pablo, podés recomendar alguna forma de resguardar las keys dentro de un servidor, en un archivo que no sea texto plano? Por ejemplo, tengo un script en Python que consulta unas APIs pero no quiero que queden expuestas las claves en el script mismo. Si pudiera configurar el script para que consulte esas claves en un Vault o algo así que no sea tan fácilmente descifrable. Desde ya muchas gracias, que tú espalda quedé tuneada 0km joya nunca taxi

Si tiene windows con un pendrive linux podes ver todos los archivos

pero hay un software opensource con el que se puede ver facil la contraseña

Cuentanos de otros navegadores como Firefox

Eso afecta a todo navegador basado en Chromium como Brave?

seguro todos los navegadores basados en chromium guardan las contraseñas de igual manera

a mi me han robado el canal de youtube y me han robado varias veces la cuenta del fb y me di cuenta que era por google chrome