Sei in viaggio, il telefono non prende e devi rifare in fretta una prenotazione d'albergo. Alla reception c'è il PC del business center, il browser è già aperto, e una receptionist gentile ti invita a «fare login tranquillo». Esiti un attimo, ti tornano in mente due thread di Reddit inquietanti letti chissà quando, e digiti comunque la tua password di Gmail. Una settimana dopo scopri che il tuo account è stato bucato proprio all'ora in cui eri davanti a quel chiosco.
I computer condivisi non sono per forza malevoli, ma non sono tuoi. Non sai cosa gira in background, se le password vengono salvate da qualche parte, se qualcuno di fianco sta sbirciando, se lo store del browser ospita un keylogger travestito da estensione. Il rischio è reale, i consigli pratici di solito sono vaghi. Questo articolo mette in fila cosa succede davvero e mostra una configurazione che aggira il problema.
Cosa catturano davvero i dispositivi condivisi
Battiture. Su un dispositivo compromesso basta un piccolo keylogger per intercettare ogni password che digiti. I keylogger hardware fra tastiera e porta USB sono solo una variante; quelli software si camuffano da servizio di sistema e per gli utenti senza privilegi di amministratore restano invisibili.
Password salvate e autofill. Quando il browser ti chiede se salvare la password e per sbaglio clicchi «sì», finisce nell'archivio locale ed è recuperabile da chiunque la usi dopo di te. A proteggerla c'è di solito soltanto la password del sistema operativo, che tu conosci, ma che conoscono anche il proprietario del PC e la sua famiglia.
Cronologia del browser e cookie. Anche dopo un logout fatto bene, URL e cookie di sessione restano spesso a un clic di distanza, alla voce «Cronologia». L'incognito aiuta, ma solo se ti ricordi di usarlo, e solo contro le tracce locali, non contro keylogger o registrazione dello schermo.
Appunti di sistema. Copi una password da un gestore e resta negli appunti finché qualcos'altro non la sovrascrive. Molti clipboard manager registrano in silenzio tutto quello che ci passa.
Tre scenari, tre rischi
Il chiosco dell'albergo o della biblioteca. Il PC è pubblico, gestito da qualcuno che non è del mestiere, gira spesso su software obsoleto e fra un utente e l'altro non viene quasi mai ripulito. Il rischio di base è un keylogger che qualcuno ha installato prima di te. La probabilità non è altissima, ma nel peggiore dei casi ci lasci un account intero.
Il computer di un amico. Il dispositivo è personale e probabilmente non malevolo, ma non sai in che stato sia. Un amico in buona fede può aver installato un'estensione che registra ogni campo password. Peggio ancora: se per errore clicchi su «Salva», la tua password finisce dritta nel suo archivio password del browser.
Il laptop aziendale di un collega. Qui entra in scena anche l'IT. I laptop aziendali spesso hanno un endpoint monitoring che registra battiture e traffico del browser. Non c'è cattiveria, ma la tua password personale finisce comunque nei log di un datore di lavoro che non ti ha nemmeno assunto.
Le precauzioni classiche, valutate onestamente
| Misura | Ferma i keylogger | Ferma il furto di cookie | Pratica |
|---|---|---|---|
| Modalità incognito | No | Parziale | Sì |
| Password manager + autofill | No | No | Solo se installato |
| Logout a fine sessione | No | Sì | Sì |
| Cancellare cronologia del browser | No | Parziale | Sì |
| Chiave hardware (FIDO2) | No | Sì | Solo se preparata |
| Cloud browser | Sì | Sì | Sì |
Incognito e logout risolvono il problema dei cookie, non quello dei keylogger. Una chiave hardware protegge il momento del login, ma non la sessione che viene dopo: se l'attaccante ha un infostealer sulla macchina, ti porta via la sessione subito dopo che ti sei autenticato. Più dettagli su questo attacco in Session Hijacking.
L'unica misura davvero efficace contro tutti gli attacchi che contano sui dispositivi condivisi è non far avvenire il login sul dispositivo, e basta.
Perché un cloud browser scioglie il problema
Un cloud browser è un browser che gira su infrastruttura esterna e ti manda in streaming soltanto la sua immagine. Lo vedi in una scheda del browser locale, ma l'elaborazione vera avviene in una VM usa e getta dentro un datacenter. Quando digiti la password succede questo: i caratteri viaggiano come pacchetto cifrato fino alla sessione remota, che li inserisce nel proprio form del browser e poi spedisce il risultato cifrato al servizio che ti autentica. Niente di tutto questo passa attraverso la macchina locale a un livello che un keylogger riesca a intercettare, perché la password sulla macchina locale non è mai esistita come password, ma solo come stream cifrato.
Allo stesso tempo, sul dispositivo condiviso non resta nessun cookie di sessione: il cookie vive nel container cloud, che alla fine viene distrutto. Autofill e archivio password in locale non partono neppure. Nella cronologia del browser trovi solo l'URL del cloud browser stesso, non i siti che ci hai visitato dentro.
In breve: la macchina locale non fa più parte del percorso di login. È solo uno schermo e un proxy della tastiera che si limita a inoltrare eventi cifrati.
Un flusso di lavoro concreto
Per le rare volte in cui devi davvero lavorare sul dispositivo di qualcun altro, questo flusso basta.
- 1
Non aprire il browser locale, apri un cloud browser
L'installazione locale di Chrome o Edge resta com'è. Avvii una sessione cloud in una scheda nuova. - 2
Accedi al vault del password manager una sola volta
Fallo dentro al cloud browser. Da lì in poi è l'autofill a occuparsi degli altri login. L'unico segreto che digiti davvero sulla tastiera del PC che hai in prestito è la master password. - 3
Usa una 2FA usa e getta per gli account ad alto rischio
Se hai con te una chiave hardware, inseriscila solo per il tempo del login. Per il TOTP basta un codice dal telefono. - 4
Chiudi la sessione cloud in modo consapevole
Non solo la scheda, la sessione. Un clic su «Termina sessione» smonta il container cloud. Sul dispositivo locale resta una cronologia di scheda con il solo URL del servizio cloud, nient'altro.
Vuoi un vero desktop su qualunque dispositivo?
Prova Browser.lol gratis: la potenza di un PC, anche dal telefono.
Avvia il tuo desktop nel browserNiente download • Funziona ovunque
