Quão seguro é o gerenciador de senhas nos navegadores?

13

Por exemplo, o Opera possui um recurso "varinha" que lembra os nomes de usuário e a senha digitados em vários sites.

Digamos que você obtenha um cavalo de Troia, que rouba dados do seu PC. O Trojan pode descriptografar senhas armazenadas pelos navegadores e usá-las?

Alex
fonte

Respostas:

4

Os pontos mencionados na resposta de Bob são todos válidos, então não vou me incomodar em repeti-los; no entanto, achei que algumas informações adicionais também podem ser úteis para alguns, pois sua pergunta é uma preocupação válida.

  • O recurso Varinha do Opera permite que você especifique com que frequência solicita sua senha mestra em Preferences > Advanced > Security > Ask for passwordseleções como "Uma vez por sessão" (que, como Bob indica corretamente, limita sua segurança), "A cada x minutos / horas" (se você não lembre-se de mexer nos .iniarquivos, você pode personalizar sua própria frequência) e "Sempre que necessário" (obviamente a opção mais segura, pois sua senha não será armazenada na memória durante a sessão de navegação). Não uso o Firefox, mas posso imaginar que exista uma extensão semelhante disponível em algum lugar.

  • Os dados do Wand são armazenados em um arquivo chamado, aguarde, wand.datem um formato que possa ser decifrado com relativamente pouco esforço se nenhuma senha mestra for usada; Se você faz uso de uma senha mestre, que é criptografada usando um componente aleatório e sua senha master com um algoritmo que atualmente me escapa (deve ser fácil de olhar para cima embora).

  • Se você usar uma senha para um site cuja segurança é mais importante para você do que o login médio, você pode simplesmente optar por não salvar a senha .

  • Guias particulares no Opera (ou o equivalente em outros navegadores) permitem armazenar os dados da sessão dessa guia separadamente daqueles nas guias "normais", o que pode adicionar outra camada de segurança.

  • O modelo de segurança usado no Chrome e seus derivados (ou seja, colocar em sandbox cada guia em um thread separado) oferece uma segurança ainda maior.

  • Você pode se proteger contra keyloggers e outros regularmente:

    • atualizar seu software antivírus e firewall; e
    • alterando suas senhas.

Resumindo:

  • O nível de segurança do seu navegador e o de seus logins depende de você em grande parte.

  • Se alguém fosse muito habilidoso e engenhoso, provavelmente poderia acessar seus dados, apesar de todas as precauções acima, mas isso tornaria os dados do navegador muito mais seguros e aumentaria o nível de sofisticação necessário para decifrá-los significativamente.

Amos M. Carpenter
fonte
22
  • Se você possui malware no seu computador, nenhuma senha inserida ou armazenada nele pode ser considerada verdadeiramente segura. Mesmo senhas criptografadas, como bancos de dados KeyPass, assim que você digita os detalhes necessários para descriptografá-lo, o invasor pode recuperar suas senhas.

  • Os navegadores normalmente não prestam muita atenção à segurança das senhas salvas, pelo menos não nas configurações padrão.


Digamos que você obtenha um cavalo de Troia, que rouba dados do seu PC. O Trojan pode descriptografar senhas armazenadas pelos navegadores e usá-las?

Em uma palavra: sim. Os navegadores normalmente não criptografam senhas lembradas, para que possam ser lidas com esforço trivial. De qualquer forma, a criptografia com uma chave armazenada é inútil: se o navegador conseguir descriptografá-la, outros programas executados no mesmo computador poderão fazer o mesmo.

Eu estou mais familiarizado com o Firefox, então eu vou com isso.

O Firefox permite que você defina uma 'senha mestra'. Se o fizer, criptografa as senhas armazenadas com a senha mestra. No entanto, por uma questão de conveniência, você só precisa fazer login usando essa senha mestra uma vez por sessão. Após o login, as informações necessárias para descriptografar senhas salvas são armazenadas na memória e podem ser acessadas. Uma abordagem mais segura e complicada seria exigir que a senha mestre fosse digitada toda vez que o Firefox precisasse procurar uma senha salva.

Mesmo que as senhas salvas sejam perfeitamente criptografadas e completamente inacessíveis, elas devem ser descriptografadas e inseridas em formulários da Web em algum momento. O que significa manter as senhas, não criptografadas, na memória. Na verdade, existem muitos programas de ' revelador de asteriscos ' projetados para extrair essas senhas da memória e, assim, revelá-las. O malware poderia, teoricamente, fazer o mesmo.

E o malware também pode causar um keylogger, permitindo que o invasor recupere qualquer senha digitada.


Há um estudo muito aprofundado da segurança de senhas nos principais navegadores (IE, Chrome, FF) aqui . Para resumir, o Chrome e o IE10 contam com as rotinas de criptografia do Windows, consideradas fortes. No entanto, eles não protegem contra outros programas executados no mesmo usuário , ou seja, são inúteis contra malware. Novamente, qualquer programa em execução (como Administrador) pode obter informações da memória ou registrar as chaves de qualquer maneira.

O método de criptografia é mais importante quando você considera a possibilidade de roubo de seus dados salvos para análises posteriores, por exemplo, alguém entrando e copiando seu computador ou roubando-o. Em geral, todos os navegadores modernos fazem um trabalho decente de proteção contra essa forma de ataque. O Firefox com uma senha boa e forte é novamente preferido, pois os dados criptografados do Windows podem ser recuperados efetuando login na conta de usuário do Windows, e a senha do Windows não é mais totalmente segura. Observe que nada disso irá parar um invasor muito determinado.

Prumo
fonte
Vale a pena notar que, se você usar um autenticador, as opções de um invasor mal-intencionado para roubar suas senhas serão bastante reduzidas.
o0 '.
1

O NirSoft fornece uma ferramenta chamada "IEPassView" que pode descriptografar o Internet Explorer 8 e com senhas. Informações do sistema para Windows podem fazer o mesmo; basta clicar na chave na parte superior.

O NirSoft fornece ferramentas de "recuperação de senha" para muitos navegadores populares ( http://www.nirsoft.net/password_recovery_tools.html ) - essas são uma boa "prova de conceito" para mostrar que o armazenamento interno de senhas não é seguro .

Chris
fonte
Uhm ... isso é um pouco enganador, na verdade. Você não mencionou que ferramentas como essas não funcionam em logins protegidos por uma senha mestra ou precisam da senha mestra para "descriptografar" os detalhes do logon. Pelo menos isso vale para o Opera / Chrome / Firefox, não sei o que o IE faz, você pode estar lá.
Amos M. Carpenter
1

Lastpass e software como ele são boas respostas convenientes. Embora eles não ofereçam segurança total (você ainda precisa fazer o básico, como firewall, antivírus, etc.), é uma boa maneira de gerenciar suas senhas. Também devido ao fato de estar armazenado na nuvem mágica, você pode acessá-los de qualquer lugar (ao contrário de alguns softwares locais em que é necessário armazenar na sua máquina para acessá-la).

Griffin
fonte
1
Eu observaria, novamente, que isso não protegeria contra malware executado localmente. Primeiro, o malware pode interceptar sua senha mestre do Lastpass. A autenticação de dois fatores pode proteger contra isso, mas você pode vazar as senhas no processo de digitá-las na página de destino. O fato é que, se o malware estiver sendo executado (elevado) em sua máquina, seus dados não criptografados serão danificados. E seus dados criptografados são danificados assim que você tenta acessá-los.
18713 Bob
(Ainda é uma boa sugestão [Eu pessoalmente uso Keepass, nada disso lixo cloud], mas devo abordar a questão levantada na pergunta.)
Bob
@Bob também existe o problema de que, mesmo na máquina local, o malware pode fazer a mesma coisa interceptando senhas. Copiar e colar também podem ser rastreados, assim como você usa uma senha que é rastreada. Não existe uma boa maneira, a autenticação de dois fatores é MUITO difícil de superar.
Griffin
Sim, não estou dizendo que o Keepass é mais seguro contra malware executado localmente.
19413 Bob