Postagem em destaque

Como iniciar a sua carreira de Segurança da Informação?

Planejamento para se tornar um Analista de Segurança da Informação. Monte o Seu. Após um pouco de pesquisa sobre o tema e conversad...

Qual a segurança de uma senha armazenada no navegador web?

Você sabia que as senhas armazenadas com esses recursos, ou mesmo a função de “lembrar”, podem ser facilmente acessadas por quem tiver acesso ao seu computador e navegador – e que isso não é um problema?

Quando preenchemos um formulário de login na web, o navegador questiona se queremos armazenar a combinação de usuário e senha para não termos de preencher isso no futuro. Em muitos casos, os próprios sites também oferecem o recurso “lembrar de mim” para que o login não precise ser feito novamente. Você sabia que as senhas armazenadas com esses recursos, ou mesmo a função de “lembrar”, podem ser facilmente acessadas por quem tiver acesso ao seu computador e navegador – e que isso não é um problema?

Muitos internautas ficaram surpresos com uma revelação recente de que o Google Chrome possui um botão para mostrar todas as senhas armazenadas. Mas o Firefox também possui o mesmo botão. E os navegadores que não possuem esse recurso apenas escondem as senhas, mas elas ainda estão lá e podem ser facilmente resgatadas com as ferramentas certas.

O recurso “lembrar de mim” também funciona da mesma forma. Quando ele é usado, o site cria um identificador permanente, que é armazenado pelo navegador e reenviado quando a página for acessada. Nesse momento, o site saberá imediatamente qual é o usuário que está entrando no site. Mas nada impede que esse mesmo identificador presente no PC seja copiado e usado em outro computador no lugar da senha de acesso. Esse ataque é conhecido como “roubo de cookie”.


O detalhe é que nada disso deveria ser surpreendente. Pense da seguinte forma: se você entra em seu Facebook, deixa o navegador aberto e abandona o computador, é óbvio que a pessoa que usá-lo em seguida poderá ver a página que foi deixada aberta. O roubo das senhas e dos identificadores de acesso é apenas uma extensão permanente dessa situação: o acesso já foi dado quando a pessoa usou o navegador.

Embora existam alguns recursos de “segurança” para dificultar o acesso aos dados, como o uso de uma senha-mestra no Firefox, eles não eliminam a essência do problema. Ainda é perfeitamente possível roubar os identificadores de acesso ou mesmo as senhas, uma vez que a senha-mestra já tenha sido digitada e, claro, acessar os sites que já estiverem “logados”.

Na prática, esse não é um problema que o navegador de internet precisa ou mesmo pode resolver. Esse é um problema do sistema operacional. E é por isso que todos os sistemas possuem um recurso de “bloqueio de tela”, que impede o uso do computador sem que a senha de login seja digitada.

No Windows, a tela de bloqueio pode ser facilmente ativada com a combinação tecla Windows+L. Caso a tela esteja bloqueada, quem for acessar o computador ainda pode usar o recurso de “trocar usuário” e escolher um usuário diferente. É por esse motivo que o Windows possui uma conta de “usuário convidado”, configurada no Painel de Controle.

Tentar proteger as senhas ou o navegador de alguém que já está com acesso ao sistema é uma batalha perdida, embora o impacto – que alguém possa ler todas as suas senhas e acessar todos os sites em qual seu navegador está autorizado – pareça um pouco extremo. No entanto, é preciso criar o hábito de bloquear a tela e compreender que sistemas dispõem de diversos usuários porque os próprios aplicativos dependem dessa separação para fornecer com segurança os recursos que possuem – inclusive, aí, o armazenamento das senhas.

Ou seja, o navegador faz parte de um ambiente maior (o sistema) e sua segurança precisa ser pensada nesse ambiente. O mesmo vale para celulares: se você não está usando um código de bloqueio, é natural que qualquer um que pegue seu celular possa acessar tudo que nele estiver armazenado ou configurado.

O uso de senhas de bloqueio e de usuários distintos quando o computador for usado por mais de uma pessoa são importantíssimos – a segurança dos softwares é pensada a partir desse ponto de partida. Se você não fizer uso desses recursos, lembrar qualquer senha ou acesso, em qualquer lugar, é extremamente perigoso.