Dos investigadores de la Universidad de Virginia han estado trabajando en un nuevo prototipo de gestor de contraseñas que funciona de una manera muy distinta a los clientes de gestores de contraseñas existentes. Lo han denominado Horcrux y está diseñado para los paranoicos de la seguridad, debido a sus características, privacidad y un diseño único utilizado para manejar contraseñas de usuarios.
Principalmente cuenta con dos diferencias importantes respecto a los gestores normales y que se encuentran actualmente disponibles:
El formulario de Horcrux
La primera es cómo Horcrux inserta credenciales de usuario dentro de las páginas web. Los administradores de contraseñas generales realizan este proceso mediante el rellenado de un formulario de inicio de sesión con los datos del usuario.
Para Hannah Li y David Evans, los dos investigadores que han creado Horcrux, este método anteriormente comentado puede ser peligroso ya que los administradores de contraseñas insertan credenciales de usuario dentro del DOM de una página. Esto hace que las credenciales estén expuestas a scripts maliciosos.
Con Horcrux incluyen unas credenciales falsas dentro del campo de inicio de sesión. Cuando el usuario envía el formulario, las credenciales ficticias siguen ahí, pero Horcrux interceptará la operación de envío de formularios (solicitud HTTP POST) y reemplazará estas credenciales ficticias por el nombre de usuario real y su contraseña.
Aunque no se trata de una idea nueva, ya que otros investigadores la han propuesto en el pasado, nunca fue adoptada por los desarrolladores de gestores de contraseñas por problemas de compatibilidad y usabilidad.
Las pruebas realizadas sobre sitios de Alexa Top (el primer millón) han sido positivas, ya que el 98% de los formularios de estas páginas son compatibles con su sistema de intercambio de credenciales ficticias.
Servidores múltiples
La segunda diferencia que resalta frente a otros gestores de contraseñas es la manera en la que almacena las credenciales de usuarios.
A diferencia de las soluciones clásicas, Horcrux no confía en guardar la contraseña en un único almacén, sino que distribuye las credenciales de los usuarios a través de varios servidores. Esto significa que si un atacante logra acceder a uno de estos servidores, no obtendrá acceso a todas las contraseñas del usuario y limita así el posible daño causado.
Además, las credenciales almacenadas a través de estos múltiples servidores se comparten en secreto utilizando un algoritmo complejo. Esto garantiza que el atacante tenga más dificultades.
De momento el nuevo gestor de contraseñas Horcrux se encuentra únicamente disponible como complemento de Firefox. La desventaja es que los usuarios tienen que alojar sus propios servidores de almacenamiento de contraseñas para poder usar este gestor, algo que muchos usuarios no pueden permitirse.
Este gestor de contraseñas está orientado a aquellos usuarios paranoicos con la seguridad y que quieren tener controlado en todo momento sus credenciales. Precisamente así lo han denominado sus creadores, quienes destacan que es una contraseña “para paranoicos, debido a sus características”.
Como hemos visto en las dos principales diferencias respecto a los gestores tradicionales, Horcrux es un sistema que cuida enormemente las contraseñas de los usuarios y hace que corran el mínimo riesgo posible.