sexta-feira, 3 de maio de 2013

Dá pra confiar suas senhas ao seu navegador?

Deixar seu browser armazenar suas senhas e detalhes do cartão de crédito pode ser conveniente, mas também é um risco à segurança. O tamanho deste risco depende do navegador que você está usando, se você sincroniza informações com outros dispositivos, e se você usa ou não alguns recursos extras de segurança do navegador. Neste artigo mostramos as principais vulnerabilidades dos três navegadores mais populares (Internet Explorer, Google Chrome e Mozilla Firefox) e como você pode se proteger delas.
Ameaças comuns à segurança
O maior problema em deixar um navegador salvar suas senhas são os bisbilhoteiros. Outros usuários que tenham acesso ao seu computador e à sua conta no Windows poderão ver suas senhas e informações pessoais, e um ladrão também poderá se seu computador, smartphone ou tablet for perdido ou roubado. E o mesmo risco se aplica se você não “limpar” corretamente o HD de seu PC ao vendê-lo. Além disso, alguns vírus e malware podem roubar estas informações.
Você já deve ter notado que alguns sites de bancos, além de outros que lidam com informações sensíveis, não deixam seu navegador salvar sua senha. Entretanto, se você comete o erro de usar a mesma senha de um site não seguro em um banco, alguém de posse das senhas salvas poderia facilmente acessar sua conta bancária.
Alguns navegadores permitem que você (ou ladrões em potencial) veja uma lista das credenciais armazenadas, incluindo o nome dos sites, nomes de usuário e senhas. E mesmo naqueles que não permitem isso, estas informações podem ser facilmente obtidas com um utilitário como oWebBrowserPassView. Ele é útil se você esquecer uma senha, mas problemático se um intruso usá-lo em seu computador. Outra forma que você (ou bandidos) pode usar para recuperar senhas é com um utilitário BulletsPassView, que mostra as senhas geralmente “ofuscadas” pelo navegador (mostradas como ****) em formulários na web.
Internet Explorer 9
O IE9 tem o sistema de armazenamento de senhas mais básico entre todos os navegadores que testamos. Sua função de Auto Completar também pode armazenar seu nome, endereço e outros dados que você digitar em formulários ou campos de busca. Não há uma forma de ver, nas configurações do navegador, as senhas salvas. Só é possível fazer alguns ajustes no comportamento deste recurso e apagar o histórico de informações armazenadas.
A impossibilidade de ver uma lista com as senhas salvas pode impedir o acesso casual de um bisbilhoteiro. E mesmo que seja possível fazer login em um site cuja senha tenha sido salva, não é possível, por padrão, ver tal senha. Mas como disse, um hacker determinado pode usar um dos utilitários que já mencionamos para descobrí-la.
O Internet Explorer 9 não tem um recurso nativo de sincronização para manter suas configurações e informações armazenadas em sincronia entre múltiplos computadores ou aparelhos. Mas, do ponto de vista da segurança, este é um risco a menos com o qual se preocupar.
O Internet Explorer 10 no Windows 8 usará um novo método para salvar senhas, mas ainda não está claro se eles estará disponível aos usuários do Windows 7. Quando testei a versão Release Preview do Windows 8 e Internet Explorer 10, descobri que é possível ver e gerenciar as senhas salvas usando uma versão aprimorada do Gerenciador de Credenciais no Painel de Controle. E por razões de segurança, antes de ver uma senha salva é necessário informar a senha de sua conta no Windows, o que deve impedir o acesso de curiosos.
senhanavegador_windows8-350px.jpg
Gerenciamento de senhas no Windows 8
O Windows 8 também irá oferecer um novo recurso que permitirá sincronizar as senhas de aplicativos, favoritos e até configurações e preferências do Windows entre vários computadores e tablets com o sistema. Por razões de segurança, é necessário fazer login em um site da Microsoft e aprovar o acesso de cada aparelho. E se você informar um número de celular à Microsoft, receberá via SMS um código de confirmação que deverá ser digitado em um site antes que a sincronização seja feita. Algo similar àautenticação em duas etapas da Google.
Google Chrome 21
O navegador da Google tem mais recursos para armazenamento de senhas do que o Internet Explorer, além de um sistema de preenchimento automático que pode armazenar números de cartões de crédito. Mas embora eles ajudem a economizar tempo, também apresentam riscos de segurança.
O Chrome permite que você, ou um ladrão, veja uma lista com os nomes de usuário e senhas salvos (mostrada em ordem alfabética, pelo nome do site) ou digite o nome do site em um campo de busca para filtrar a lista. O navegador mascara cada senha com asteriscos, mas você pode clicar em cada item e num botão Mostrar Senha para vê-la.
Também é possível ver uma lista de todos os endereços e dados de cartão de crédito salvos, incluindo o nome no cartão, número da conta e data de expiração. A princípio os números são mascarados com asteriscos, mas como nas senhas basta clicar sobre um número e no botão Editar para vê-lo por inteiro. O único dado que não é salvo é o código de segurança do cartão, que frequentemente, mas nem sempre, é necessário para fazer uma compra.
senhanavegador_chromecartao-360px.jpg
Informações de cartão de crédito armazenadas no Chrome
Infelizmente o Chrome não tem um recurso de “senha mestre” para proteger todas as informações armazenadas, como o Firefox. Ou seja, qualquer pessoa que esteja logada em sua conta do Windows pode ver todas as senhas e informações de cartão de crédito salvas no navegador.
O Chrome tem uma ferramenta que permite manter a maioria de suas configurações e informações salvas (incluindo senhas, mas não os dados do cartão de crédito) sincronizadas entre múltiplos computadores e dispositivos, mas isto cria outra vulnerabilidade. Por padrão, para configurar um novo computador ou aparelho com o qual sincronizar os dados basta a senha de sua conta do Google. Isto é conveniente, mas se sua conta for invadida um malfeitor pode potencialmente acessar uma lista com todas as suas senhas, a não ser que você crie uma “palavra chave” especial para o processo de sincronia.
Normalmente a senha de sua conta no Google é usada para criptografar e decriptografar os dados sincronizados, mas você pode digitar uma outra palavra-chave se quiser, adicionando uma camada extra de segurança. Quando você configurar o Chrome em um novo computador ou dispositivo, precisará da senha do Google e desta palavra-chave para acessar os dados.
Firefox 14
O Firefox tem recursos avançados para armazenamento de senhas, melhores ainda que os do Chrome. E embora o Firefox não suporte, nativamente, o armazenamento de informações de cartões de crédito, ao menos isso é uma coisa a menos com o que se preocupar. E, como no Chrome, nas configurações do navegador você pode consultar e remover senhas salvas.
Em contraste ao Chrome, o Firefox permite que você defina uma senha-mestra para criptografar e proteger as informações. Você precisará desta senha-mestra, uma vez por sessão, na primeira vez em que quiser usar uma senha salva. E também precisará dela se quiser acessar, nas configurações do navegador, a lista de senhas salvas. Este é um ótimo recurso para evitar que curiosos descubram suas senhas, e até impede que alguns utilitários as recuperem.
senhanavegador_firefox-350px.jpg
Definindo uma senha mestre no Firefox
O Firefox também pode sincronizar senhas, configurações e outros dados entre múltiplos computadores e aparelhos. É similar ao que o Chrome oferece, mas por padrão o Firefox criptografa todos os dados sincronizados, em vez de apenas as senhas como no navegador da Google. Além disso, há segurança extra quando você adiciona um novo computador ou aparelho à sua conta no serviço Firefox Sync. Você pode inserir um código fornecido pelo novo aparelho em um que já esteja configurado, ou usar uma chave de recuperação de um aparelho já configurado no novo aparelho após fazer login no Firefox Sync.
Em resumo
O Internet Explorer 9 ajuda a evitar curiosos e bisbilhoteiros. Não há uma lista com as senhas salvas, mas ele não tem nenhum dos avançados recursos de segurança para impedir que alguém com acesso à sua conta no Windows use um utilitário para extrair suas informações.
O Google Chrome 21 permite que qualquer um com acesso à sua conta no Windows veja sua lista de senhas e informações de cartão de crédito salvas, então tenha cuidado com quem usa sua máquina. E se você sincroniza seus dados de navegação entre múltiplas cópias do navegador e múltiplos dispostivos, considere ativar a criptografia de todos os dados e definir uma palavra-chave para ter proteção extra.
O Firefox 14, por padrão, também permite que qualquer um com acesso à sua conta no Windows veja a lista de senhas salvas, mas você pode protegê-la com uma senha mestra. E se você usa o recurso de sincronia entre múltiplas cópias do navegador, ficará feliz em saber que ele faz isso com ótima segurança.
Dos três navegadores que analisamos, eu escolheria o Firefox como o melhor na segurança de senhas por causa do recurso de senha-mestra, mas também estou ansioso por ver a versão final do Internet Explorer 10 no Windows 7 ou 8.
Fonte: PCW

Nenhum comentário: