Os desenvolvedores do Chrome e do Firefox acham que não há problema, já que você deve estar impedindo as pessoas de acessarem seu computador, mas isso provavelmente será uma surpresa para muitas pessoas.
Como qualquer pessoa com acesso ao seu computador pode ver suas senhas
Supondo que você deixe seu computador conectado e outra pessoa o use, ele poderá abrir a página de configurações do Chrome, acessar a seção Senhas e visualizar facilmente todas as senhas salvas.
Você pode conectar chrome: // settings / passwords na barra de endereços do Chrome para facilitar o acesso a esta página. Clique em um campo de senha e clique no botão Mostrar. Você pode ver qualquer senha salva no Chrome sem prompts adicionais.
O Firefox permite que você defina uma "senha mestra" que deve ser inserida antes de poder visualizar ou usar senhas salvas, mas ela está desativada por padrão e o Firefox não solicita que os usuários definam uma.
Oque esta acontecendo aqui? Esta é uma vulnerabilidade de segurança?
Houve um debate entre os geeks sobre se isso é realmente uma vulnerabilidade de segurança. Os desenvolvedores do Chrome (e os desenvolvedores de outros navegadores, como o Internet Explorer e até mesmo o Firefox com suas configurações padrão) devem alterar esse comportamento? Os usuários foram traídos pelos desenvolvedores, já que os navegadores não avisam os usuários sobre esse comportamento?
Por um lado, existem alguns bons argumentos para o comportamento atual.
- O Chrome e o Internet Explorer protegem suas senhas salvas com sua senha de conta de usuário do Windows. Se você não estiver logado, suas senhas estarão inacessíveis. Se um invasor alterar sua senha da conta do Windows, suas senhas ficarão inacessíveis. Supondo que você use uma senha forte do Windows e bloqueie seu computador quando não o estiver usando, você é teoricamente seguro.
- Se um invasor tiver acesso físico ao seu computador ou um programa mal-intencionado estiver sendo executado em segundo plano, ele poderá registrar seus toques de tecla e obter qualquer “senha mestra” usada para proteger suas senhas no Firefox ou um gerenciador de senhas dedicado como o LastPass. Uma senha mestra no Chrome forneceria uma falsa sensação de segurança.
- Uma senha mestra é um método de segurança adicional que incomodaria os usuários comuns, que optariam por desativá-la de qualquer maneira. Os usuários não precisariam digitar uma senha mestre antes de usar as senhas salvas.
- Se o seu navegador já estiver conectado a uma conta em um site, o invasor poderá acessar sua conta nesse site se tiver acesso ao seu navegador.
Por outro lado, os usuários não seguem práticas de segurança perfeitas no mundo real:
- Muitas pessoas compartilham contas de usuários do Windows, configuram seus computadores para fazer logon automaticamente ou permitem que os hóspedes usem seus computadores sem olhar por cima do ombro o tempo todo. Isso torna o acesso a senhas salvas trivial. Qualquer um, mesmo remotamente curioso, poderia olhar as senhas.
- Uma senha mestra permitiria que os usuários protegessem ainda mais seu banco de dados de senhas, permitindo que eles salvassem senhas sem se preocupar com o uso do computador pelos clientes e sendo tentados a vê-los.
- Muitas senhas de contas de usuários do Windows são extremamente fracas, portanto, as senhas teriam pouca proteção. Muitas pessoas também não bloqueiam seus computadores toda vez que se afastam.
- O Chrome fornece vários perfis de usuário, incentivando os usuários a compartilhar perfis do Chrome em uma única conta de usuário, mas não fornece nenhum método de isolamento desses perfis e impede que outros perfis de usuário do Chrome acessem outras senhas de conta
- Se um invasor tiver acesso a um site já conectado, mas não tiver sua senha, ele não poderá alterar sua senha nem excluir sua conta.
- Os usuários médios provavelmente esperam que suas senhas sejam mais difíceis de visualizar. Não há aviso informando que qualquer pessoa com acesso a seus computadores pode visualizar suas senhas salvas ou que devem definir uma senha forte do Windows e bloquear seus computadores quando se afastarem deles.
Então, qual lado está certo? Bem, o Chrome protege sua senha se você seguir os procedimentos ideais de segurança. Dito isso, o Chrome (e o IE e o Firefox, em sua configuração padrão) também não fornecem informações suficientes aos usuários sobre o que está fazendo. No mundo real, uma senha mestra pode ser útil para muitas pessoas.
Como proteger suas senhas salvas
Se você está preocupado com suas senhas salvas, veja algumas dicas que podem ser usadas para protegê-las de olhares indiscretos:
Use um gerenciador de senhas dedicado, como o LastPass. Esses gerenciadores de senhas funcionam com todos os navegadores e fornecem uma senha mestra que bloqueia o acesso às suas senhas quando você está desconectado. Os desenvolvedores do Chrome podem não querer fornecer o recurso de senha mestra, mas você mesmo pode adicioná-lo usando o LastPass no lugar do gerenciador de senhas padrão do Chrome. É uma opção mais completa, assim como outros gerenciadores de senhas, como o KeePass.
Se você usa o Firefox, ative o recurso de senha mestra. Isso fica desativado por padrão porque os desenvolvedores do Firefox não gostam da experiência do usuário, mas uma senha mestra permite que você "bloqueie" seu banco de dados de senhas com uma única senha principal. Você pode compartilhar sua conta de usuário com outras pessoas e elas não poderão ver suas senhas. Claro, eles podem instalar um keylogger enquanto você não está procurando, mas muitas pessoas que podem se sentir tentadas a dar uma olhada nas suas senhas não querem ir até o fim com um keylogger. É por isso que trancamos nossas portas - as fechaduras não são perfeitas, mas mantêm as pessoas honestas honestas.
Se você usa o Chrome ou o Internet Explorer e deseja continuar usando o gerenciador de senhas incorporado, certifique-se de que exerce boas práticas de segurança. Defina uma senha forte de conta de usuário do Windows e bloqueie seu computador sempre que se afastar dele. Alguém que tenha acesso ao seu computador enquanto estiver conectado pode ver rapidamente suas senhas, especialmente com o Google Chrome.
Quer informações mais detalhadas sobre a segurança das suas senhas salvas no navegador que você usa? Confira nossas análises detalhadas sobre a segurança de senha do Chrome e a segurança de senha do Internet Explorer.