Como armazenar senhas com segurança

Onde armazenar suas credenciais: no navegador ou com um gerenciador de senhas? A última opção, é claro. Descubra por quê.

As senhas armazenadas no navegador evitam que você precise digitá-las novamente, o que é uma economia de tempo real. Mas isso é seguro? Este artigo explora três motivos pelos quais você não deve armazenar senhas no seu navegador e por que usar um método de armazenamento muito mais seguro: um gerenciador de senhas.

1. Ladrões de senhas

O principal problema de armazenar senhas em navegadores é que eles sacrificam a segurança em favor da usabilidade. Isso vale para pelo menos três navegadores mais populares: Google Chrome, Mozilla Firefox e Microsoft Edge, todos armazenam senhas de usuário de uma forma altamente insegura.

O motivo é que todos os navegadores armazenam senhas em um local bastante previsível, em uma pasta cujo caminho não é segredo para ninguém. E embora as senhas sejam criptografadas, a chave de criptografia é armazenada por perto e facilmente acessível. Munido dessa chave, um invasor pode descriptografar e roubar suas senhas. Uma situação comum: a porta parece estar trancada com segurança, mas a chave está sob o capacho, e o mundo inteiro sabe disso.

Na verdade, os navegadores usam um cenário assim para competir entre si: para facilitar a troca, eles geralmente oferecem a importação de todos os dados salvos do navegador antigo, incluindo senhas armazenadas.

Algum palpite de quem mais está usando esse recurso? Isso mesmo. Existe uma categoria inteira de malware (apropriadamente chamado de ladrões de senha) dedicado ao roubo de credenciais. Esse malware vasculha pastas conhecidas por conter senhas armazenadas no navegador, encontra a chave sob o capacho, descriptografa as senhas e carrega o fruto do roubo para o servidor dos cibercriminosos. Mais tarde, essas senhas geralmente são armazenadas em bancos de dados e vendidas em massa na dark web para outros criminosos que as usam para sequestrar contas (a especialização restrita tem sido a norma no mundo do crime cibernético).

Para entender como é fácil roubar senhas armazenadas num navegador, recomendamos assistir a um vídeo de demonstração que mostra claramente como extrair rapidamente senhas do Chrome, Firefox e Edge usando nada mais do que um script Python.

Extraindo senhas do Google Chrome, Mozilla Firefox e Microsoft Edge

Demonstração de como extrair senhas armazenadas no Google Chrome, Mozilla Firefox e Microsoft Edge.(Fonte)

2. Acesso físico ao computador

Não é apenas um malware especialmente treinado que pode fazer esse tipo de estrago, mas qualquer pessoa com acesso físico ao seu computador. E não é preciso ter habilidades de hackers sofisticadas. Os scripts para exfiltrar senhas armazenadas no navegador estão prontamente disponíveis online. Tudo o que é necessário é executá-los.

Até mesmo um parente ou colega de trabalho muito curioso pode fazer isso, se você deixar o computador desbloqueado. Ou um hacker visitando seu escritório numa missão de reconhecimento. Basicamente, qualquer pessoa. O ponto importante é que todas as suas senhas armazenadas no navegador acabarão em mãos potencialmente hostis.

E mesmo que o invasor não tenha o script correto para extrair senhas do arquivo salvo pelo navegador, ele pode vasculhar as configurações da lista de sites para os quais as senhas estão armazenadas e, em seguida, efetuar login em um deles para ler sua correspondência, por exemplo, ou descobrir outros segredos sobre você.

O navegador mais popular do mundo (Google Chrome, se você não sabia) nem sequer tem um mecanismo básico para impedir tais ações. E embora os desenvolvedores do Firefox tenham sido bons o suficiente para permitir que os usuários protejam senhas salvas com uma senha principal, eles deixaram esta opção desativada por padrão. A senha principal deve ser explicitamente ativada e configurada, e é improvável que muitos usuários do Firefox saibam que ela existe.

3. Sequestro de conta do navegador

O seguinte problema é comum a todos os navegadores que permitem aos usuários, para sua conveniência, criar uma conta para sincronizar navegadores em dispositivos diferentes. Isso significa que os favoritos, sessões do navegador, extensões, configurações e senhas salvas, todos esses dados são sincronizados e armazenados na nuvem. E se um hacker entrar na sua conta do navegador, tudo o que precisará fazer é efetuar login em outro computador usando a mesma conta. Em seguida, todas as suas contas cujas senhas estão armazenadas no navegador – de redes sociais a bancos on-line – estão disponíveis.

Por que um gerenciador de senhas é melhor que um navegador

Assim como os navegadores, Kaspersky Password Manager lembra suas credenciais e permite que você as preencha automaticamente ao fazer login em sites. Mas, diferentemente dos desenvolvedores de navegadores, não comprometemos a segurança. Em nosso gerenciador de senhas, a senha principal é usada por padrão e não pode ser desativada. Todas as suas senhas salvas estão sempre protegidas. Portanto, mesmo que alguém obtenha acesso físico ao seu computador, não poderá simplesmente fazer login em sites usando as credenciais armazenadas no gerenciador. Para isso, os invasores precisariam da senha principal, que ninguém além de você conhece (a menos que você a tenha colado na tela usando um post-it).

Outra vantagem do Kaspersky Password Manager é, obviamente, que todas as senhas são armazenadas apenas na forma criptografada. E o mais imporante: não mantemos a chave de descriptografia “debaixo de um capacho”. A chave de criptografia é gerada dinamicamente usando o algoritmo AES-256 com base na senha principal, o que nos permite não armazená-la. Em nenhum lugar. Nunca. Portanto, mesmo que um ladrão consiga entrar no seu computador, não poderá roubar nada. Todas as suas senhas são criptografadas com segurança. Aliás, se você usar o Kaspersky Password Manager como parte do Kaspersky Premium, não deixaremos nem mesmo malware entrar.

E mais uma coisa. Claro que usamos a nuvem para sincronizar senhas entre dispositivos. Todas as suas senhas são vinculadas à sua conta My Kaspersky. Mas mesmo que um invasor de alguma forma obtivesse acesso a esta conta, suas senhas armazenadas no Kaspersky Password Manager ainda estariam completamente seguras. Isso porque na nuvem elas são armazenadas exclusivamente na forma criptografada, e a chave de descriptografia é gerada com base na senha principal, que somente você conhece e sem a qual os invasores viram mosquinhas inofensíveis.

Também atualizamos recentemente o Kaspersky Password Manager para ser compatível com os navegadores Opera e Opera GX, que continuam a conquistar novos usuários. Isso significa que agora oferecemos compatibilidade com todos os navegadores mais populares: Chrome (e navegadores baseados no Chrome), Safari, Firefox, Edge e Opera.

Dicas