Los navegadores modernos son ya aplicaciones con multitud de funcionalidades, una de ellas es a la vez algo útil y una fuente de problemas en cuanto a seguridad, sobre todo en entornos empresariales, hablamos de sus gestores de contraseñas integrados. Vamos a ver cómo podemos gestionar o prevenir su uso a través de GPO.

manage browser password managers

Buena parte de los usuarios desconocen que detrás de la típica opción que se nos ofrece de guardar contraseñas, existe en los principales navegadores un completo gestor de contraseñas que puede equipararse en muchas de sus funcionalidades a softwares dedicados para la misma función.

En un entorno de empresa se presentan diversos problemas. Para empezar normalmente en usuario hace un uso mixto del navegador, mezclando sus webs de trabajo con otras personales con lo que en el gestor de contraseñas acabamos teniendo una mezcla de credenciales almacenadas. Por otra parte como decíamos el usuario no suele ser consciente de esto, por lo que despreocupadamente va almacenando más y más credenciales y no es consciente de que las mismas pueden ser vistas en texto plano por otro usuario usando su sesión en un determinado momento, para lo cual tampoco suelen ser demasiado recelosos..
Por último, aunque la función de gestor de contraseñas sea mayoritariamente desconocida, los usuarios si tienden a abrir sesión en los propios navegadores con usuarios personales y a sincronizar datos, lo cual implica que credenciales empresariales viajen a dispositivos personales.

Afortunadamente podemos, a través de GPO, definir el uso que permitiremos de los mismos en la empresa. Vamos a ver las funcionalidades de los tres principales navegadores en este sentido. Como veremos Edge es el que permite un mejor control, seguido de Firefox y por último siendo Chrome el que nos permite menores capacidades.

Configurar gestores de passwords en Edge, Chrome y Firefox con GPO

Edge

Las políticas respectivas al gestor de contraseñas de Edge las podemos encontrar en la siguiente ruta de GPO.

Policies > Administrative Templates > Microsoft Edge > Password manager and protection

Como veréis las opciones de GPO, en Edge son las más extensas y granulares. Vamos a ver algunos ejemplos útiles.

  • Enable saving passwords to the password manager - Para desactivar el gestor completamente
  • Configure the list of domains for which the password manager UI (Save and Fill) will be disabled - Alternativamente tenemos la opción de especificar dominios para las que el gestor no almacene esas credenciales, mientras que seguimos permitiendo al usuario el uso del gestor.
  • Configure the list of enterprise login URLs where the password protection service should capture the salted hashes of a password - En este caso especificaremos aquellos dominios para los que sus credenciales hayan de ser guardadas en formato hash+salt.
  • Enable AutoFill for payment instruments - Otro de los puntos que suele preocupar es que se guarde información de tarjetas de crédito o débito podemos evitar que el navegador autocomplete esta información con este parámetro.
  • Disable synchronization of data using Microsoft sync services - Finalmente podemos permitir el gestor de contraseñas pero bloquear su sincronización con otros dispositivos.

Chrome

En el caso de Chrome las funcionalidades que podemos controlar son muy escasas. Las GPO correspondientes las podemos encontrar en

Policies > Administrative Templates > Google > Google Chrome > Password Manager

Allí solo nos encontramos estos parámetros:

  • Enable saving passwords to the password manager - Esto permite deshabilitar completamente la memorización de contraseñas.
  • Disable synchronization of data with Google - Para evitar la sincronización de las contraseñas locales contra la cuenta en uso
  • Enable AutoFill for addresses - permite evitar el autocompletado de datos en formularios.
  • Enable AutoFill for credit cards - permite evitar el autocompletado de información de tarjetas de crédito.

Por el contrario si lo que queremos es mantener una lista de dominios para los cuales no se pueda guardar info solo lo podemos hacer directamente en el navegador y no por GPO..

Firefox

En el caso de Firefox podemos encontrar las políticas en la ruta

Policies > Administrative Templates > Mozilla > Firefox

Allí podemos encontrar entre otras las siguientes

  • Offer to save logins - Permite deshabilitar el gestor de contraseñas. Ojo! Ya que existe una segunda con el nombre de "Offer to save logins (default)" que hace lo mismo pero que permite al usuario habilitarlo de nuevo.
  • Password Manager Exceptions - Este parámetro nos permite especificar una lista negra de dominios.
  • Disable Firefox accounts - Para evitar la sincronización, deshabilitaremos el uso de las cuentas en el navegador.

En el caso de Firefox no existe lamentablemente una configuración para evitar el relleno automático de información en formularios o tarjetas de crédito.

Conclusión

Como hemos visto en mayor o menor medida todos los principales navegadores nos permiten un cierto control de estos gestores de contraseñas. Pero es vital que implementemos las medidas para evitar que a través de ellos se fuguen credenciales a otros dispositivos sobre los que no tenemos control. Está muy bien la mejor seguridad a nivel de empresa pero no sirve de nada si esas mismas credenciales que tanto protegemos acaban estando sincronizados en texto plano en un Windows 7 en casa de no sé quién… Además de ser importante revisar nuevas políticas disponibles en cada versión.

Espero que os sea de utilidad..