Nunca armazene senhas no browser! | WeLiveSecurity

E-mails, redes sociais, serviços de streaming, web drives, todos eles exigem que seus utilizadores tenham um usuário e senha únicos para acesso às plataformas.

Para trazer mais facilidade a seus usuários, os navegadores oferecem a opção de memorizar as credenciais de acesso de cada um dos sites para que, quando um site com usuário e senha armazenados for acessado, os dados de autenticação já estejam preenchidos, sendo apenas necessário pressionar o botão de login para efetivar o acesso.

Acredito que a facilidade que esse recurso traz seja bem evidente, o problema são os pontos negativos que nem sempre ficam claros.

Riscos de armazenamento de senhas

O primeiro e muito subestimado pela maioria dos usuários é que qualquer pessoa com acesso físico ao seu dispositivo terá todas as suas senhas, visto que é apenas necessário acessar as configurações do browser para ter acesso a elas sem nenhum tipo de proteção. Este fator é amplamente subestimado pois a maioria das pessoas pensam: “ah, mas eu não deixo ninguém acessar meu computador, então não tem problema”. Essa afirmação pode até ser verdade, mas pessoas mal intencionadas esperam pequenas oportunidades para praticar ações danosas aos usuários, e o fato de ser o único a usar um computador pode criar hábitos que são prejudiciais como, por exemplo, deixar o computador desbloqueado. Em casa, isso costuma não ser tanto um problema, mas na empresa ou em algum lugar colaborativo, onde você deixa seu computador sem supervisão por poucos instantes, já pode te trazer sérios problemas.

O segundo deles e o que mais me chama a atenção: se você usa um dos browsers mais famosos como Chrome, Firefox ou Edge/IE provavelmente esteja exposto aos problemas que citarei logo a seguir. Isso porque eles utilizam uma lógica de armazenamento dessas informações muito parecida. Caso não use nenhum desses browsers, fique alerta e pesquise como seu navegador se comporta ao armazenar senhas, alguns deles podem ter um armazenamento ainda menos protegido.

Imagem 1. Chromepass – Listagem de senhas armazenadas.

Os browsers que citei armazenam as senhas no computador de forma criptografada, e o terceiro ponto negativo é relacionado a essa forma de armazenamento. Uma das características de uma criptografia feita de forma adequada exige que o dado criptografado seja protegido por uma chave que apenas o proprietário conheça, para que assim apenas ele possa reverter essa criptografia. Os browsers não solicitam nenhum tipo de chave para o usuário, gerando essa criptografia unicamente baseada em parâmetros que eles já possuem, isso significa que, mesmo criptografada a informação pode ser acessada por alguém que refaça os mesmos passos usados pelo browser para criptografar.

Em caso de ataques, é muito simples para o criminoso se passar pela vítima e recuperar essas senhas. Os exemplos que mostrei nas imagens acima são dois softwares conhecidos que fazem a leitura dessas informações sem qualquer dificuldade, mas é muito simples para cibercriminosos escreverem o próprio programa de extração de senhas ainda mais compacto e eficiente que os mostrados nas imagens. Por isso, afirmo que é uma péssima ideia deixar senhas salvas em navegadores, sejam eles quais forem.

Imagem 2. Lazagne – Extraindo senhas do Firefox.

Certo, não posso usar a facilidade do armazenamento de senhas via browser, então o que eu uso para ter algo tão prático quanto possível?

Cofre de senhas: será essa uma solução?

A solução mais adequada para armazenar senhas de forma segura é guardá-la em um cofre de senhas, também conhecido como gerenciar de senhas.

O cofre de senhas é um concentrador de senhas onde você pode armazenar senhas de quaisquer produtos e serviços que possua de forma criptografada, e precisará apenas lembrar de uma única senha, a do cofre, e não de todas as outras como seria necessário sem ele. Alguns destes cofres oferecem facilidades como abertura do site e preenchimento dos campos de autenticação de forma automática. Basta pesquisar um cofre de senhas que melhor se adeque ao que você necessita e começar a usá-lo.

Para quem ainda não tem o conceito de como funciona um cofre de senhas, ele é um arquivo com estrutura interna similar a um banco de dados, com todo conteúdo criptografado. Isso impede que, caso alguém tenha acesso ao arquivo, mas não tenha acesos a chave, as informações possam ser lidas já que todos os dados internos estarão alterados devido a criptografia, que varia de acordo com o software de cofre de senhas que você optou por utilizar.

E ainda assim, mesmo sendo um software de proteção de senhas, é necessário tomar alguns cuidados para que ele exerça adequadamente sua função:

É necessário proteger o acesso ao cofre de senhas adequadamente com uma senha complexa e difícil de ser adivinhada. Vale lembrar que mesmo cofres de senhas estarão sujeitos a ataques de brute force caso criminosos tenham acesso a eles, sendo assim quanto mais complexa e extensa for a senha, mais difícil será o processo de cracking.

Agora que você não precisará mais memorizar todas as suas senhas, transforme-as em chaves praticamente impossíveis de serem quebradas, deixando-as com mais de 20 caracteres, incluindo letras, números e caracteres especiais, afinal, é o seu cofre que irá “se lembrar” dela. Muitos softwares de cofre possuem um assistente de criação de senhas onde o usuário escolhe os parâmetros que a senha deverá conter e o cofre dá sugestões de senhas que poderão ser usadas.

Imagem 3. Keepass – Geração de senhas.

Imagem 4. Keepass – Geração de senhas.

Mesmo tendo senhas complexas, longas e de difícil adivinhação, os criminosos dispões de diversos meios para conseguir acesso a elas, fazendo com que o usuário perca o controle de determinado software/serviço. Sendo assim, uma excelente forma de reforçar ainda mais a segurança é habilitar o duplo fator de autenticação. Mesmo nos casos em que os cibercriminosos conseguem obter a senha, eles não terão acesso ao token que será enviado por mensagem/e-mail/sms/ligação, e isso inviabilizará o acesso àquele determinado serviço.

Esse ponto não se refere apenas a não armazenar senhas em browsers, refere-se a não armazená-las em qualquer tipo de local não seguro. Não anote senhas em papéis/post-its, cadernos, documentos não protegidos como word, excel, notepad, wordpad e por aí vai, e principalmente, não as anote atrás do seu teclado.

Agora que seu cofre é seu local seguro de armazenamento de senhas, é uma péssima ideia perdê-lo, já que só ele conseguirá te dar acesso ao seu mundo digital. Sendo assim, faça backups periódicos do arquivo do cofre se possível em mais de um lugar. Já tive problemas na minha mídia de backup, perdi meu cofre e acreditem… é desesperador! Graças a algumas habilidades consegui recuperá-lo e desde então deixo ele salvo em mais de um local. Por isso realize backups e os salve em locais diferentes!

 

Leia também:
Cofre de senhas: os dados da sua empresa estão protegidos?
Você sabe o que é cofre de senhas?