Pablo, me parece que el video confunde algunos conceptos. La clave que Chrome usa para encriptar el password no es la que está en plain text en disco. Esa clave en verdad está encriptada por Windows Data Protection API (línea 26 del script Python al que haces referencia)[1]. Este esquema de encriptación se conoce como envelope encryption[2]. Cuando guardas un password por primera vez, Chrome encripta tu password con una master key (generalmente conocida como Data Encryption Key), la DEK se encripta con Windows DPAPI y el resultado se guarda en disco (sqlite). De esta manera, la seguridad de tus passwords está atada a la seguridad de loguearte en tu sistema operativo. Esto no es único de Windows, otros OS hacen lo mismo (iOS Keychain, Gnome Secret Service, etc). Tu script solo funciona si lo ejecutas con el mismo usuario de Windows. Es por esto que el ataque que describis copiando el directorio no funciona. El threat model de Chrome deja afuera ataques donde un usuario maligno logró loguearse en tu máquina y ejecutar tareas con tu usuario. Podes leer la justificación acá [3]. El TLDR es que la seguridad de tu browser, siempre va a estar atada a la seguridad de tu OS. Un OS comprometido implica un browser comprometido (lo único que varía es la complejidad del ataque). [1]: learn.microsoft.com/en-us/previous-versions/ms995355(v=msdn.10)#windataprotection-dpapi_topic04 [2]: chromium.googlesource.com/chromium/src/+/master/docs/security/faq.md#does-the-password-manager-store-my-passwords-encrypted-on-disk [3]: chromium.googlesource.com/chromium/src/+/master/docs/security/faq.md#why-arent-physically_local-attacks-in-chromes-threat-model.
Gracias Julián por tu aclaración. Estaba equivocado con la parte de poder copiar ese directorio a otra máquina y poder acceder a las contraseñas. El atacante tendría que tener control de la PC estando logueada. Igualmente me parece que Chrome da una sensación de falsa seguridad cuando te pide tu contraseña para mostrar las contraseñas, yo personalmente pensaba que en ese momento estaba desbloqueando la bóveda pero no, simplemente es una barrera para que alguien no pueda ver tus contraseñas tan fácilmente. Aunque es posible verlas con el script.
@@PeladoNerd Es verdad, no es muy seguro que cualquier aplicacion corriendo con los privilegios normales del usuario pueda desencriptar el archivo. Cómo se entiende que Chrome necesite abrir un dialogo de login para acceder al archivo, pero ejecutando un script no pregunte nada? O es deficiencia de Chrome, o directamente de Windows. Me quedo con bitwarden, porque el archivo siempre está encriptado, y otras aplicaciones no pueden leerlo. Igual te pueden cagar si te instalan un keylogger, y obtienen así la clave del vault de BW, pero calculo que en cualquier sistema operativo decentemente hecho instalar un keylogger requiere privilegios altos.
Yo uso keepass para PC y keepass2android en mí teléfono. Tengo sincronizado el archivo que te genera en dropbox y accedo desde todos mis dispositivos a las contraseñas. Es súper fácil y seguro. Las características de seguridad que tiene keepass es lo mejor. Lo recomiendo
PD2: Me alegra saber que estás mejor de la espalda, yo estoy en una parecida pero con una cirugía cervical. PD3: Mientras me daba de alta en Bitwarden, revisando mi celular me di cuenta que el administrador de contraseñas tiene una funcionalidad que se llama On-device encryption que aparentemente cifraa los datos en el dispositov antes de subirlas al Google Password Manager. Estaría genial que hagas un video explicando qué tan seguro es, y si es más o menos igual de vulnerable a lo que mostrás en este video. PD4 (porque el no hay dos sin tres me quedaba corto): También probé abrir el archivo Login Data y al menos con el antivirus que uso, una ventana emergente sugiere bloquear el acceso a la app que elijo. Aunque, siguiendo tu ejemplo de PC desbloqueada con disco sin cifrar esto es en vano.
que bueno que estes usando bitwarden, por aca le saco bastante provecho a la funcion de sincronizar con un par de equipos que uso ademas del celular pd: saludos a vaquita :D
El problema va más allá de lo que muestra, y esto por culpa de la sincronización y la costumbre de los usuarios de darle sí a todo. Cuando abrimos nuestra cuenta de Google en Chrome en una PC nueva, si teníamos activada la sincronización de datos del navegador, entonces nos sale un mensaje que varios ni leen y lo cliquean como si fuera el de "recordar contraseña", al hacer esto nos pasamos todas las contraseñas al ordenador nuevo y estas están sujetas a la seguridad del nuevo ordenador, por lo cuál es una brecha muy grande y que es común de ver en cibercafés y centros de cómputo escolares.
Siempre y cuando no hayas activado la encriptación del disco de Windows, sino no sacarás nada con un live USB. Consejos.... 1- cifrar el disco siempre (y guardar en sitio seguro la clave de BitLocker). 2- desactivar el arranque por USB en la BIOS 3- Poner password a la BIOS. 4- Usar contraseñas seguras y opcionalmente biometría, nunca un pin de 4 dígitos.
Otro video más impecable donde desplegás magia. Muy bueno. ¡Gracias! PD: Me gustan los íconos de tu escritorio. ¿Salen unos tiritos? (Soy medio queso, pero tengo momentos de habilidad).
Hola sos Sanjuanino? Yo también, te veo y descubrí desde España. Un abrazo. El estilo de tus vídeos, como explicas y toque de humor, son muy buenos!! Muchas gracias por tus vídeos !! 🎉
Para fraseando a una máxima de la programación: "se puede comprobar que la web es insegura, no se puede comprobar lo contrario", la primera opción lógica es usar un navegador (y en lo posible, "todo el software") de código abierto, es decir, Firefox o Chromium, ya que al ser su código auditable, es menor el riesgo de que se filtre algo malicioso. El segundo aspecto a tratar es la configuración del navegador. En mi caso, entre otras yerbas, es borrar todo (cookies, historial, etc) al salir, además del uso de extensiones anti rastreo y bloqueadores de ventanas y publicidad. En caso de necesitar mayor privacidad, uso Tor. Respecto de las contraseñas: Bitwarden o LastPass. La regla más importante al navegar: usar el sentido común.
Pelado Nerd, gracias mil por tu video. Y ❤Gatita preciosa❤ solo te pueden ver las contraseñas si ponen un pendrive o...si tienen acceso fisico a tu duspositivo ??? O en remoto tambien pueden ??? Gracias !!
Esta persona tiene razon, como alguien que sufrio un ransoware de la manera mas estupida siendo que soy informatico una vergüenza lo se, solo pongan contraseñas que no les importen que se filtren porque sino la van a pasar casi tan mal como yo lo pase sus contraseñas son fácilmente robables lo digo por experiencia no están para nada protegidas.
Pelado, que estes bien de tu espalda, yo tambien tengo ciertos problemas, una discopatia y espero no llegar a la operación. Gracias por el videito y por el script tambien!
Esooo!!! que haces usando Windows Pelado!!! ajajajaja aguante Linux ma que Mac ni Windows... LINUX y en cualquiera de sus sabores!!! Excelente video Pela, como siempre te pasas. Abrazo grande y muchas gracias por tus aportes.
Soy usuario de LinuxMint hace casi 10 años, uso firefox tengo sincronizada mis contras con firefox sync, nunca tuve problemas. ¿Qué opinan? @Pelado Nerd
También hay ejecutables para Windows que hacen lo mismo que el script. Los ejecutas nomás y te muestran las contraseñas de los navegadores. Buen video!
Pensar que aprendí esto hace años de un curso de forense digital y aún siguen usando sqlite, que peligro. Saludos Pelado, excelente video como siempre, hermosa vaquita jajaja
HOLA PABLO, GRACIAS POR LA INFO. COMO SEGURIDAD QUE SE RECOMIENDA, YA QUE SOY UN USUARIO NO MUY TECNOLOGICO Y HE LEIDO COMENTARIOS QUE SI SIRVE Y QUE NO SIRVE UPS, PREGUNTA QUE ME PUEDE RECOMENDAR YA QUE ES TEDIOSO ESTAR GUARDANDO CLAVES Y LLEGADO EL MOMENTO NO TE ACUERDAS O DEJASTE LA LIBRETA EN CASA CON LAS CONTRASEÑAS ETC. EXISTE UN GENERADOR DE CONTRASEÑA SEGURO QUE SIRVA PARA TODAS AL APLICACIONES Y CORREOS ETC SIN QUE HAYA QUE ESTAR CON UNA LIBRETA GUARDANDO CONTRASEÑAS ETC. AYUDA. SALUDOS Y EXITO, ESTAMOS SUSCRITO :)
Es genial el nivelde parentezco que tenemos,soy pelado, tengo barba, cuando maullo el gato dije en voz alta "Que pasa Camus?" refiriendome a mi gato y automaticamente vino a ponerse de la misma fotma que en el video casi sincronizado.
Me da gracia porque me vi el video esperando una explicación mucho más tonta que voy a explicar a continuación: Si la persona tiene acceso físico al PC, como en el ejemplo del video (donde dice "Me siento seguro porque le pide la password de Windows para ver las otras"), hay una manera muy sencilla de acceder a cualquier contraseña sin necesidad de la clave de Windows: -Vas al sitio del cual deseas obtner la contraseña -Dejas que Chrome autocomplete el campo -Le das al F12, inspeccionar elemento, y seleccionas el campo de contraseña -donde dice type dira password, lo cambias por text Listo, hackeaste la CIA
Y tú no tienes hambre ? Trabajas para ganar sustento no? Esperas tu pago ansiosamente no? Todos en el planeta están hambriados, por eso se levantan día a día a buscar el pan. Tu estás estudiando para ganar más no muchacho?
yo lo tengo con contraseñas falsas y todo el tiempo me llegan notificaciones que me avisan que tratan de entrar a mi hotmail con una contraseña erronea
Y si en vez de hacer todo eso, logro copiar el .py en la máquina del usuario y modificarlo para que genere un txt en base64 que se ejecute al iniciar windows, esto correría igual con la misma clave del usuario atacado, o sea hay varias formas.
Google acaba de anunciar el nuevo método federativo para manejo de usuarios y claves y este debiera tender a desaparecer. Pero muy sorprendente lo que mostrás. Yo uso Chrome mucho. Pero tambien uso Keepass y ahora un server de Passbolt para un cliente.
Pelado que tal un gusto en realidad o antes de comenzar dejame decirte que sos el mejor y sos un grande y por siguiente ese metodo interviene un script tercero como cualquier otra plataforma es mas lastpass, vault warden y passbolt tambien es vulnerable mediante un script y te devuelve texto plano previamente teniendo acceso de igual forma a un archivo sqlite, aun asi buen aporte siempre es bueno aclarar detalles saludos
Supongamos q solo tengo dos dispositivos en donde hago login con lamisma cuenta de google, digamos un notebook y un celular. Y guardo las contraseñas con este sistema de gestor de contraseñas de chrome solo en mi notebook y no en mi celular en donde también he accedido a mi cuenta de google pero sin haber sincronizado desde mi celular. Y sucede que ahora mi notebook no enciende y por tanto no me puedo conectar a internet desde ese notebook, y si quisiera sincronizar activando esta opción desde mi celular, dime: ¿No podría recuperar las contraseñas almacenadas en el gestor de contraseñas de crome desde mi celular ya que mi notebook no está conectado a internet? Te planteo la misma pregunta de otra manera: ¿para que la opción de sincronizar misma cuenta de google en dos o más dispositivos sí o sí el dispositivo donde usé la opción de guardar contraseñas con google crome debe estar conectado a internet? Por favor, me pueden aclarar esto? Es q yo tenía min cuenta de Amazon guardada de esta forma en google en donde solo hacía login desde mi notebook, y ahora mi notebook se echó a perder y no puedo ingresar a amazon desde mi celular porq no apunté la contraseña ya q me confié de esta opción que te da crome. Entonces estas contraseñas se guardan solo localmente? Entonces si yo le doy a Sincronizar cuenta desde mi celular, teniendo mi notebook apagado sin poder conectarlo a internet, no podré sincronizar nada en mi celular ya que el notebook no está conectado a internet?
Una pregunta como neofito de linux (aunque tengo usandolo mas de 5 años). En linux es igual de fácil encontrar una carpeta con esa información de las contraseñas de Google? O es mas seguro usar linux? Gracias de antemano
Hay algunas extensiones que envian esta informacion., yo uso un bloqueador de malware, y me muestra conexiones salientes cuando abro la pagina de passwords en chromne, eso se debe a que ellos tratan de enviar la informacion a un servidor remoto, puede ser alguna extension, o lo peor una infeccion por malware, ya me dio ganas de formatear mi pc.
Hola Pablo, lo mismo sucede con los celulares, es decir, hay una carpeta donde se guardan los registros de usuario y contraseña?, Saludos desde México.
Buenas, consulta xq hace rato el mismo chrome me dice "contraseña hackeadas" pero es mas xq no las cambie nuenca. Y empese a usar "microsoft authenticator" q tal esta app? xq tiene una extencion para el chrome y me esta reemplazando las contraseñas y lo veo bueno. Saludos
Tengo una duda, que se guarden las contraseñas en chrome no es lo mismo que se guarden en la cuenta de google como tal o si? He intentado buscar videos que hablen sobre el gestor de contraseñas del propio google y solo me salen hablando de chrome o de app de terceros de pago
Sabiendo el patron de alguien, desactivas el wifi y te muestra las contraseñas en el celular. La gente hasta guarda las contraseñas del mail... ahora creo q cambio si tratas de verlo te manda a la configuración del mail pero el daño ya esta hecho desactivando el wifi te puede mandar por ultima vez al gestor propio del navegador. Es bastante inseguro q solo pida la contraseña o patron con descubrir una se obtienen todas.
Uso gnome en linux (arch) y en mi caso los passwords de chrome se almacenan en seahorse (el gestor de passwords de gnome). No he buscado más información sobre el tema así que no sé si en todos los casos gnome+chrome es igual o depende de la distro, empaquetador o similar.
lo más fácil y cómodo es bitwarden (multiplataforma y sincronizado), yo tengo que se cierre el vault cada 15m, pero podes poner que se cierre cada vez que cerras el browser si te es molesto.
hola gracias por la información tienes algun video de cifrado de disco duro para tener un poco mas de seguridad para los que usamos Windows y manito arriba
Si tienes acceso al navegador, y cualquier gestor de contraseñas... chrome incluido, la escribe en el campo contraseña.... y si vas al inspector de código... y cambias el input type="password" por input type="text".... voila ya la tienes en texto claro....
Pablo, me parece que el video confunde algunos conceptos.
La clave que Chrome usa para encriptar el password no es la que está en plain text en disco. Esa clave en verdad está encriptada por Windows Data Protection API (línea 26 del script Python al que haces referencia)[1]. Este esquema de encriptación se conoce como envelope encryption[2]. Cuando guardas un password por primera vez, Chrome encripta tu password con una master key (generalmente conocida como Data Encryption Key), la DEK se encripta con Windows DPAPI y el resultado se guarda en disco (sqlite).
De esta manera, la seguridad de tus passwords está atada a la seguridad de loguearte en tu sistema operativo. Esto no es único de Windows, otros OS hacen lo mismo (iOS Keychain, Gnome Secret Service, etc).
Tu script solo funciona si lo ejecutas con el mismo usuario de Windows. Es por esto que el ataque que describis copiando el directorio no funciona.
El threat model de Chrome deja afuera ataques donde un usuario maligno logró loguearse en tu máquina y ejecutar tareas con tu usuario. Podes leer la justificación acá [3]. El TLDR es que la seguridad de tu browser, siempre va a estar atada a la seguridad de tu OS. Un OS comprometido implica un browser comprometido (lo único que varía es la complejidad del ataque).
[1]: learn.microsoft.com/en-us/previous-versions/ms995355(v=msdn.10)#windataprotection-dpapi_topic04
[2]: chromium.googlesource.com/chromium/src/+/master/docs/security/faq.md#does-the-password-manager-store-my-passwords-encrypted-on-disk
[3]: chromium.googlesource.com/chromium/src/+/master/docs/security/faq.md#why-arent-physically_local-attacks-in-chromes-threat-model.
¡Muy buen dato! Al final del día no es bueno usar el navegador para guardar contraseñas ya que, como decis, está sujeto al OS.
Gracias Julián por tu aclaración.
Estaba equivocado con la parte de poder copiar ese directorio a otra máquina y poder acceder a las contraseñas.
El atacante tendría que tener control de la PC estando logueada.
Igualmente me parece que Chrome da una sensación de falsa seguridad cuando te pide tu contraseña para mostrar las contraseñas, yo personalmente pensaba que en ese momento estaba desbloqueando la bóveda pero no, simplemente es una barrera para que alguien no pueda ver tus contraseñas tan fácilmente. Aunque es posible verlas con el script.
@@PeladoNerd iba a comentar algo parecido pero llegué tarde, de igual forma muy interesante tu contenido. Subscrito
@@PeladoNerdenhorabuena por el video y enhorabuena por aceptar las aclaraciones nueno sub 🎉
@@PeladoNerd Es verdad, no es muy seguro que cualquier aplicacion corriendo con los privilegios normales del usuario pueda desencriptar el archivo. Cómo se entiende que Chrome necesite abrir un dialogo de login para acceder al archivo, pero ejecutando un script no pregunte nada? O es deficiencia de Chrome, o directamente de Windows.
Me quedo con bitwarden, porque el archivo siempre está encriptado, y otras aplicaciones no pueden leerlo. Igual te pueden cagar si te instalan un keylogger, y obtienen así la clave del vault de BW, pero calculo que en cualquier sistema operativo decentemente hecho instalar un keylogger requiere privilegios altos.
Yo uso keepass para PC y keepass2android en mí teléfono. Tengo sincronizado el archivo que te genera en dropbox y accedo desde todos mis dispositivos a las contraseñas.
Es súper fácil y seguro.
Las características de seguridad que tiene keepass es lo mejor.
Lo recomiendo
PD2: Me alegra saber que estás mejor de la espalda, yo estoy en una parecida pero con una cirugía cervical.
PD3: Mientras me daba de alta en Bitwarden, revisando mi celular me di cuenta que el administrador de contraseñas tiene una funcionalidad que se llama On-device encryption que aparentemente cifraa los datos en el dispositov antes de subirlas al Google Password Manager. Estaría genial que hagas un video explicando qué tan seguro es, y si es más o menos igual de vulnerable a lo que mostrás en este video.
PD4 (porque el no hay dos sin tres me quedaba corto): También probé abrir el archivo Login Data y al menos con el antivirus que uso, una ventana emergente sugiere bloquear el acceso a la app que elijo. Aunque, siguiendo tu ejemplo de PC desbloqueada con disco sin cifrar esto es en vano.
Aguante vaquita, te consiguio un sub. Abrazo grande y muy buenos videos.
que bueno que estes usando bitwarden, por aca le saco bastante provecho a la funcion de sincronizar con un par de equipos que uso ademas del celular
pd: saludos a vaquita :D
Medio off-topic, pero quería felicitarte por el nivel de producción. Keep it up! ❤
El problema va más allá de lo que muestra, y esto por culpa de la sincronización y la costumbre de los usuarios de darle sí a todo.
Cuando abrimos nuestra cuenta de Google en Chrome en una PC nueva, si teníamos activada la sincronización de datos del navegador, entonces nos sale un mensaje que varios ni leen y lo cliquean como si fuera el de "recordar contraseña", al hacer esto nos pasamos todas las contraseñas al ordenador nuevo y estas están sujetas a la seguridad del nuevo ordenador, por lo cuál es una brecha muy grande y que es común de ver en cibercafés y centros de cómputo escolares.
😸😸 amamos A vaquita . Buena recuperación de la espalda pela metele a la rehab! Saludos sos un capo me enseñas cosas que ni sabía que existían !
En 2022 Google introdujo on-device encryption para el gestor de contraseñas Chrome. A lo mejor sería interesante que hables de ello también.
No se necesita sacar el disco duro del equipo. Con un live USB se pueden extraer esos datos. Buen video. Gracias por informar y compartir.
Siempre y cuando no hayas activado la encriptación del disco de Windows, sino no sacarás nada con un live USB. Consejos....
1- cifrar el disco siempre (y guardar en sitio seguro la clave de BitLocker).
2- desactivar el arranque por USB en la BIOS
3- Poner password a la BIOS.
4- Usar contraseñas seguras y opcionalmente biometría, nunca un pin de 4 dígitos.
Otro video más impecable donde desplegás magia. Muy bueno. ¡Gracias!
PD: Me gustan los íconos de tu escritorio. ¿Salen unos tiritos? (Soy medio queso, pero tengo momentos de habilidad).
Me encanto, justo te venia a preguntar como migrar de chrome a otro password manager, gracias por el chivo de bitwarden, hoy veo como implementarlo
Pelado, que opinás de KeePass?
Es lo mejor
te extrañaba men hace tiempo no veia recomendaciones de tus videos
Hola sos Sanjuanino? Yo también, te veo y descubrí desde España. Un abrazo. El estilo de tus vídeos, como explicas y toque de humor, son muy buenos!! Muchas gracias por tus vídeos !! 🎉
La mayor intervención de Vaquita en el canal hasta el momento me parece, jaja. Que te mejores de la espalda!! Muy buen video como de costumbre Pela
Me alegro de que estes recuperándote, creo que Vaquita te estaba recordando que debías descansar 😅😅😅
Para fraseando a una máxima de la programación: "se puede comprobar que la web es insegura, no se puede comprobar lo contrario", la primera opción lógica es usar un navegador (y en lo posible, "todo el software") de código abierto, es decir, Firefox o Chromium, ya que al ser su código auditable, es menor el riesgo de que se filtre algo malicioso. El segundo aspecto a tratar es la configuración del navegador. En mi caso, entre otras yerbas, es borrar todo (cookies, historial, etc) al salir, además del uso de extensiones anti rastreo y bloqueadores de ventanas y publicidad. En caso de necesitar mayor privacidad, uso Tor. Respecto de las contraseñas: Bitwarden o LastPass. La regla más importante al navegar: usar el sentido común.
Justo lo que estaba buscando, excelente video...!
siendo 6 de enero del 2024 funciona perfectamente...!
Fuerza pelado espero estes sanito muy pronto y gracias por el contenido que haces!!!
Muy bueno querido! excelente trabajo
Pelado Nerd, gracias mil por tu video. Y
❤Gatita preciosa❤
solo te pueden ver las contraseñas si ponen un pendrive o...si tienen acceso fisico a tu duspositivo ???
O en remoto tambien pueden ???
Gracias !!
tremendo!!
probé el script con edge y brave....
... funciona ... (no more comments)
Necestiamos mas personas como tu pelado :) te amo pela
Nanana Vaquita por lejos lo mejor del video 😂😂 ❤
Mi gata hace lo mismo justo cuando estoy en reuniones del trabajo jajaja, excelente aporte pelado!!
Excelente gracias. Y como se pone la contraseña en el gestor de contraseñas? para que no vean otros las contraseñas, anque no sea muy seguro, gracias
4:41 , A eso llamo comunicación. Like y suscrito. Como rayos se le puede dar dislike a un video donde tienes un gato en el hombro.
*_Videazo!_*
PD: A todo esto, te aflojó el trabajo? Xq andás re-flaco 🤭😊
Esta persona tiene razon, como alguien que sufrio un ransoware de la manera mas estupida siendo que soy informatico una vergüenza lo se, solo pongan contraseñas que no les importen que se filtren porque sino la van a pasar casi tan mal como yo lo pase sus contraseñas son fácilmente robables lo digo por experiencia no están para nada protegidas.
Genial todo suma bro,👍👍👍
Gracias Pelado, por este maravilloso video.
Que lindo Vaquita ❤
Pablo que opinas de KeePass ? será bueno usarlo ?
Hola! 😊
Me encantó tu explicación. Supongo que aplica para los celulares tambien.
Grande Pablo, el SC2 es buenísimo, un saludo!
GRACIAS → BROTHER SALUDOS DESDE VENEZUELA
Excelente video, por cierto no se si ya tienes este contenido pero seria genial que hicieras un o unos videos de tipo tutorial para el uso de Linode..
hace 7 meses de este video y me lei el pinned comment pero igual me suscribo, que haces usando windows pelado? jajaja grande
En la empresa donde trabajo usamos 1Password, me gusta mucho esa herramienta. Amé tu gato ❤❤
Pelado, que estes bien de tu espalda, yo tambien tengo ciertos problemas, una discopatia y espero no llegar a la operación.
Gracias por el videito y por el script tambien!
Mira, me suscribí tanto por la info pero mas por el gato. Saludos jajajaaja
Grande Pela!
Justo estoy volviendo a Tucumán desde Mendoza mientras veo tu video.
Lavate bien las manos después de usar Windor. Abrazo
Volvio Vaquita a los videos!!!!! 🥰
Una alternativa es usar KeePass en local y sincronizando la bbdd en alguna nube. Esto permite que desde varios dispositivos se acceda.
@LegendaryVenomhola estimado! Si no es molestia podrías indicarme donde leer para utilizarlo? Muchas gracias! Saludos
Muy buen video! No tenia idea, pense q no se guardaban localmente ni siquiera...
Saludos a vaquita ❤ es adorable. Sigo tu contenido desde hace años
Jajajajajaja, que haces usando windows pelado? :'O Muy buen video che!
Muy bueno pelado! ¿Se necesita tener un gato en el hombro para correr el script?
buena sponsor de linode? 💟 muy bueno el video
Esooo!!! que haces usando Windows Pelado!!! ajajajaja aguante Linux ma que Mac ni Windows... LINUX y en cualquiera de sus sabores!!! Excelente video Pela, como siempre te pasas. Abrazo grande y muchas gracias por tus aportes.
buena data. iniciar con credenciales es mas seguro creo. Saludos
gracias crack!!! saludos desde jujuy!
Soy usuario de LinuxMint hace casi 10 años, uso firefox tengo sincronizada mis contras con firefox sync, nunca tuve problemas. ¿Qué opinan? @Pelado Nerd
yo tambien tengo todas mis contraseñas en firefox y sincronizadas con Firefox Sync
Buen video, gracias!
Y el gestor de Brave es igual de inseguro?
Yo uso Bitwarden para casi todo también.
También hay ejecutables para Windows que hacen lo mismo que el script. Los ejecutas nomás y te muestran las contraseñas de los navegadores. Buen video!
Pensar que aprendí esto hace años de un curso de forense digital y aún siguen usando sqlite, que peligro. Saludos Pelado, excelente video como siempre, hermosa vaquita jajaja
HOLA PABLO, GRACIAS POR LA INFO. COMO SEGURIDAD QUE SE RECOMIENDA, YA QUE SOY UN USUARIO NO MUY TECNOLOGICO Y HE LEIDO COMENTARIOS QUE SI SIRVE Y QUE NO SIRVE UPS, PREGUNTA QUE ME PUEDE RECOMENDAR YA QUE ES TEDIOSO ESTAR GUARDANDO CLAVES Y LLEGADO EL MOMENTO NO TE ACUERDAS O DEJASTE LA LIBRETA EN CASA CON LAS CONTRASEÑAS ETC. EXISTE UN GENERADOR DE CONTRASEÑA SEGURO QUE SIRVA PARA TODAS AL APLICACIONES Y CORREOS ETC SIN QUE HAYA QUE ESTAR CON UNA LIBRETA GUARDANDO CONTRASEÑAS ETC. AYUDA. SALUDOS Y EXITO, ESTAMOS SUSCRITO :)
Es genial el nivelde parentezco que tenemos,soy pelado, tengo barba, cuando maullo el gato dije en voz alta "Que pasa Camus?" refiriendome a mi gato y automaticamente vino a ponerse de la misma fotma que en el video casi sincronizado.
Muy bueno! Y hermoso el michi!!!!
Vaquita es un amor!!!!! ❤
Me da gracia porque me vi el video esperando una explicación mucho más tonta que voy a explicar a continuación:
Si la persona tiene acceso físico al PC, como en el ejemplo del video (donde dice "Me siento seguro porque le pide la password de Windows para ver las otras"), hay una manera muy sencilla de acceder a cualquier contraseña sin necesidad de la clave de Windows:
-Vas al sitio del cual deseas obtner la contraseña
-Dejas que Chrome autocomplete el campo
-Le das al F12, inspeccionar elemento, y seleccionas el campo de contraseña
-donde dice type dira password, lo cambias por text
Listo, hackeaste la CIA
Estás poniéndote grosso, Pelado! 💪💪💪💪💪💪
Excelente consejo... Te lo agradezco enormemente... y que pasaria con mac? o con linux?
Buen video pelado! Passbolt es otra alternativa a Bitwarden.
buena data! gracias
Gracias por el video, en MAC ocurrirá lo mismo?
Vas a tener que regrabar la publicidad de Linode porque con 30 kg menos pareces otra persona jaja
Y tú no tienes hambre ?
Trabajas para ganar sustento no?
Esperas tu pago ansiosamente no?
Todos en el planeta están hambriados, por eso se levantan día a día a buscar el pan. Tu estás estudiando para ganar más no muchacho?
También ocurre lo mismo cuando estás logueado en la cuenta de Google y las contraseñas sincronizadas???
Hoola un gusto,
PeladoNerd yo solo uso Linux, no hay Winbugs en mi vida..!
Saludotes!
yo lo tengo con contraseñas falsas y todo el tiempo me llegan notificaciones que me avisan que tratan de entrar a mi hotmail con una contraseña erronea
Y si en vez de hacer todo eso, logro copiar el .py en la máquina del usuario y modificarlo para que genere un txt en base64 que se ejecute al iniciar windows, esto correría igual con la misma clave del usuario atacado, o sea hay varias formas.
para linux y mac tambien existen estos files?
Google acaba de anunciar el nuevo método federativo para manejo de usuarios y claves y este debiera tender a desaparecer. Pero muy sorprendente lo que mostrás. Yo uso Chrome mucho. Pero tambien uso Keepass y ahora un server de Passbolt para un cliente.
Que tal como estas, una consulta...por que cuando quiero usar una cobtraseña gurdada no me deja copiarla? Alguien sabe? Gracias!
Una pregunta, es la misma situacion con guardar contraseñas de Apple?
Pelado que tal un gusto en realidad o antes de comenzar dejame decirte que sos el mejor y sos un grande y por siguiente ese metodo interviene un script tercero como cualquier otra plataforma es mas lastpass, vault warden y passbolt tambien es vulnerable mediante un script y te devuelve texto plano previamente teniendo acceso de igual forma a un archivo sqlite, aun asi buen aporte siempre es bueno aclarar detalles saludos
Muy bueno. Gracias
1ro cuando vi el vídeo lo hice desde ubuntu y te doy un Like por Vaquita 😂, 2do francia.. Saludos pelado..
Jajajaa te iba a decir lo de windows! Q bueno q aclaraste!
Supongamos q solo tengo dos dispositivos en donde hago login con lamisma cuenta de google, digamos un notebook y un celular. Y guardo las contraseñas con este sistema de gestor de contraseñas de chrome solo en mi notebook y no en mi celular en donde también he accedido a mi cuenta de google pero sin haber sincronizado desde mi celular. Y sucede que ahora mi notebook no enciende y por tanto no me puedo conectar a internet desde ese notebook, y si quisiera sincronizar activando esta opción desde mi celular, dime: ¿No podría recuperar las contraseñas almacenadas en el gestor de contraseñas de crome desde mi celular ya que mi notebook no está conectado a internet? Te planteo la misma pregunta de otra manera: ¿para que la opción de sincronizar misma cuenta de google en dos o más dispositivos sí o sí el dispositivo donde usé la opción de guardar contraseñas con google crome debe estar conectado a internet?
Por favor, me pueden aclarar esto? Es q yo tenía min cuenta de Amazon guardada de esta forma en google en donde solo hacía login desde mi notebook, y ahora mi notebook se echó a perder y no puedo ingresar a amazon desde mi celular porq no apunté la contraseña ya q me confié de esta opción que te da crome.
Entonces estas contraseñas se guardan solo localmente? Entonces si yo le doy a Sincronizar cuenta desde mi celular, teniendo mi notebook apagado sin poder conectarlo a internet, no podré sincronizar nada en mi celular ya que el notebook no está conectado a internet?
Eso afecta a todo navegador basado en Chromium como Brave?
Muy interesante, y esa vaquita se lleva mi like saludos 😂
Una pregunta como neofito de linux (aunque tengo usandolo mas de 5 años). En linux es igual de fácil encontrar una carpeta con esa información de las contraseñas de Google? O es mas seguro usar linux? Gracias de antemano
Hay algunas extensiones que envian esta informacion., yo uso un bloqueador de malware, y me muestra conexiones salientes cuando abro la pagina de passwords en chromne, eso se debe a que ellos tratan de enviar la informacion a un servidor remoto, puede ser alguna extension, o lo peor una infeccion por malware, ya me dio ganas de formatear mi pc.
pelado cuidate hay alguien de chrome viendo tus videos y sacaron un Gestor de contraseñas de google en Chrome
Hola Pablo, lo mismo sucede con los celulares, es decir, hay una carpeta donde se guardan los registros de usuario y contraseña?, Saludos desde México.
Buenas, consulta xq hace rato el mismo chrome me dice "contraseña hackeadas" pero es mas xq no las cambie nuenca. Y empese a usar "microsoft authenticator" q tal esta app? xq tiene una extencion para el chrome y me esta reemplazando las contraseñas y lo veo bueno. Saludos
estaria bien analizar el sistema de guardado de contraseñas de FIREFOX
Firefox tenía un gestor de claves , pero lo dieron de baja, así que el esquema actual debe ser similar,donde depende de la seguridad del OS
tremendo video!! 😲
Tengo una duda, que se guarden las contraseñas en chrome no es lo mismo que se guarden en la cuenta de google como tal o si?
He intentado buscar videos que hablen sobre el gestor de contraseñas del propio google y solo me salen hablando de chrome o de app de terceros de pago
Yo anteriormente tenía lastpass pero la había hackeado esa Bitwarden sería lo mismo así que uso keepass que es en el propio ordenador.
Vas a tener que hacer un video sobre Proton Pass, salió hace poco
Hola capo. Acabo de ver el archivo login data pero no tiene url visibles, menos contraseñas cifradas
Sabiendo el patron de alguien, desactivas el wifi y te muestra las contraseñas en el celular. La gente hasta guarda las contraseñas del mail... ahora creo q cambio si tratas de verlo te manda a la configuración del mail pero el daño ya esta hecho desactivando el wifi te puede mandar por ultima vez al gestor propio del navegador. Es bastante inseguro q solo pida la contraseña o patron con descubrir una se obtienen todas.
Yo uso kali en ambas pcs y buen video y lindo gato
Uso gnome en linux (arch) y en mi caso los passwords de chrome se almacenan en seahorse (el gestor de passwords de gnome). No he buscado más información sobre el tema así que no sé si en todos los casos gnome+chrome es igual o depende de la distro, empaquetador o similar.
lo más fácil y cómodo es bitwarden (multiplataforma y sincronizado), yo tengo que se cierre el vault cada 15m, pero podes poner que se cierre cada vez que cerras el browser si te es molesto.
Que haces usando windows pelado ?
hola gracias por la información tienes algun video de cifrado de disco duro para tener un poco mas de seguridad para los que usamos Windows y manito arriba
Si tienes acceso al navegador, y cualquier gestor de contraseñas... chrome incluido, la escribe en el campo contraseña.... y si vas al inspector de código... y cambias el input type="password" por input type="text".... voila ya la tienes en texto claro....
Y Google no guarda las contraseñas en la cuenta y no en el dispositivo
???