Então, se você é um usuário do IE e responde “sim” para permitir que o navegador lembre sua senha, quão segura é essa informação?
Onde eles estão salvos?
A partir do Internet Explorer 7, as senhas são armazenadas no registro do sistema (Explorador IntelliForms Storage2 KEY_CURRENT_USER Software Microsoft Internet) e codificadas contra a senha de login do usuário do Windows usando a API de Proteção de Dados, que utiliza criptografia Triple DES.
Quão seguros são esses dados?
No momento da redação deste artigo, o Triple DES é praticamente inquebrável através de métodos de força bruta. No entanto, não é necessário usar a criptografia bruta quando você estiver conectado à conta do Windows em que os dados da senha são armazenados, pois o Windows supõe que, uma vez conectado, é seguro para os aplicativos acessarem esses dados. Como resultado do IE não utilizar uma senha mestra (como o que o Firefox oferece) para proteger suas senhas salvas, a respectiva senha da conta do Windows é a chave de descriptografia Triple DES.
Simplificando, se você pode fazer login no Windows com a conta e senha, você pode ver as senhas do navegador salvo. Usando um utilitário disponível gratuitamente, como o IE PassView da NirSoft, você pode visualizar e exportar todas as senhas salvas do IE.
Então, o malware pode acessar isso?
Depois de ver como é fácil obter esses dados, a próxima questão lógica é que o malware pode chegar facilmente a esses dados. Não sou um desenvolvedor de malware, mas não vejo nenhum motivo que não seja. Se eu examinar o utilitário IE PassView usando o Virus Total, você poderá ver que 55% dos scanners que eles usam detectam que é um malware (um dos quais é o Security Essentials).
E se meu computador for roubado?
A resposta simples é que esses dados são tão seguros quanto a senha da sua conta do Windows. Como mostramos acima, quando você faz login na conta usando a senha apropriada, todos esses dados ficam facilmente acessíveis. Se você não usa senha, você não tem proteção.
Para levar isso um passo adiante, fiz uma redefinição da senha da conta para ver o que aconteceria quando a senha fosse alterada com força fora do Windows. Após a redefinição, salvei uma nova senha de endereço do Gmail (blah @) e executei o IE PassView. Consegui ver o nome de usuário anterior (myemail @) que foi salvo antes da redefinição da senha, mas como as senhas da conta (ou seja, “senha mestra”) usadas para salvar os dados são diferentes, não foi possível descriptografar o IE senha salva com a senha anterior da conta do Windows. Isso é definitivamente uma coisa boa.
Conclusão
No final do dia, a segurança de suas senhas salvas do IE depende totalmente do usuário:
-
Use uma senha de conta do Windows muito forte. Tenha em mente que existem utilitários que podem decifrar as senhas do Windows. Se alguém obtiver sua senha da conta do Windows, ela terá acesso às suas senhas salvas do IE.
- Proteja-se contra malware. Se os serviços públicos puderem acessar facilmente suas senhas salvas, por que não podem ter malware?
-
Salve suas senhas em um sistema de gerenciamento de senhas como o KeePass. Claro, você perde a conveniência de ter o navegador preenchendo suas senhas automaticamente.
- Use um utilitário de terceiros que se integra com o IE e usa uma senha mestra para gerenciar suas senhas.
- Criptografe todo o seu disco rígido usando TrueCrypt. Isso é completamente opcional e para a ultra protetora, mas se alguém não puder descriptografar seu disco, certamente poderá obter algo dele.
Claro que ambos vão sem dizer, mas isso apenas reforça a importância de tomar medidas para manter seu sistema seguro.
Baixe o IE PassView da NirSoft
