Proponha uma correção, faça uma sugestão
Guarda palavras-passe num browser? Saiba por que não o deve fazer
Poucos cumprem as regras comuns de definição de palavras-passe, o que é compreensível. Afinal, quem é que vai lembrar-se de todas palavras-passe que cria? Parece muito mais conveniente guardá-las algures, como num browser, por exemplo. Mas essa não é uma ideia muito boa...
Toda a gente já deve saber como é importante utilizar palavras-passe fortes. O ideal é ter uma palavra-passe diferente para cada conta, e todas elas devem ser longas, e conter números e caracteres especiais. Mas decorar tantas palavras-passe torna-se difícil e, por isso, o Chrome, Edge ou outro browser, dão-lhe a opção de "guardar palavra-passe". Contudo, eis por que razão não o deve fazer e o que deve fazer em vez disso.
Armazenar as suas palavras-passe num browser é uma má ideia
Hoje em dia, a maioria dos browsers apresenta um pop-up "guardar palavra-passe" sempre que se regista num site. Assim, se clicar em "guardar" quando esse pop-up aparece, o browser armazena as suas credenciais e não tem de as introduzir da próxima vez que iniciar sessão nesse mesmo website.
Esta funcionalidade chama-se preenchimento automático e permite que os browsers preencham automaticamente formulários e campos de início de sessão com informações que vão desde palavras-passe e nomes de utilizador a detalhes de faturação e até números de cartões de crédito. Definitivamente prático, mas também um pouco como um pesadelo de cibersegurança - muita coisa pode correr mal se permitir que um browser guarde as suas credenciais.
Um exemplo óbvio: e se partilhar o seu dispositivo com outras pessoas? Armazenar as suas palavras-passe e nomes de utilizador no browser de um computador do trabalho é pedir para ter problemas. Mesmo que esteja confiante de que os seus colegas de trabalho ou familiares nunca violariam a sua privacidade, não há necessidade de correr tantos riscos por um pouco de conveniência.
Além disso, há também o facto de a maioria dos browsers não ter capacidades de autenticação de dois ou vários fatores incorporadas. Isto significa que tudo o que um intruso teria de fazer era aceder ao seu dispositivo. Não lhe seria pedido que passasse por nenhum obstáculo adicional, ou seja, que introduzisse um código de verificação único, que digitalizasse o seu rosto ou que deixasse uma impressão digital.
Acrescente a isto uma miríade de outras ameaças à cibersegurança, como malware e phishing, e torna-se óbvio porque é que armazenar as suas palavras-passe num browser não é recomendado.
Como remover as palavras-passe guardadas num browser
Se já tem várias palavras-passe armazenadas no seu browser, não precisa de entrar em pânico. Pode removê-las todas de forma rápida e fácil, com apenas alguns cliques.
Se estiver a utilizar o Chrome (ou outros navegadores baseados no Chromium, como o Brave), clique nos três pequenos pontos ou barras no canto superior direito e, em seguida, vá até às "Definições" no menu que aparece. À esquerda, surge uma lista de separadores, vá a "Preenchimento automático e palavras-passe". Abra esse separador e remova as palavras-passe.
Pode fazer o mesmo no Firefox. Vá a "Definições" > "Privacidade e Segurança" > "Credenciais guardadas".
Caso utilize o Safari do Mac, pode ver como aceder às palavras-passe aqui, e removê-las. O processo é praticamente idêntico nos smartphones. Quer tenha um iPhone ou um Android, deverá conseguir remover palavras-passe e outras credenciais em questão de segundos.
Onde posso guardar as minhas palavras-passe?
A maioria das pessoas tem algumas dezenas de contas em toda a Web e acede a elas diariamente. Se seguisse as regras de segurança elementares, teria uma palavra-passe diferente para cada conta e alterá-la-ia periodicamente. Isto resultaria inevitavelmente em "fadiga" de palavras-passe, porque teria de se lembrar de demasiadas credenciais.
A conclusão é a seguinte: não deve armazenar palavras-passe no seu browser, mas também deve utilizar palavras-passe únicas para cada conta que possui. Por outro lado, não é realista lembrar-se de tantas frases complexas, a maioria das quais inclui dígitos e outros caracteres especiais. Então, qual é a solução? Utilizar um gestor de palavras-passe.
Os gestores de palavras-passe são aplicações especializadas que armazenam e gerem as credenciais do utilizador. Com os estes gestores, tudo o que precisa de fazer é lembrar-se de uma frase, chamada "senha mestra". E, por vezes, nem isso, porque alguns softwares utilizam dados biométricos (ou seja, a sua impressão digital ou rosto).
A sua segurança é tão grande quanto a sua senha
Alguns afirmam que a biometria substituirá completamente as palavras-passe num futuro próximo. Até que isso aconteça, estas continuarão a ser um mecanismo de controlo de acesso excecionalmente eficiente, o que significa que também continuarão a ser um alvo privilegiado para hackers.
Armazenar as suas palavras-passe de forma segura e protegida é uma necessidade absoluta, e é por isso que deve considerar obter um gestor de palavras-passe. E até que o faça, familiarize-se com os truques mais comuns que os criminosos utilizam para piratear as palavras-passe.
Leia também...
Este artigo tem mais de um ano
Loading ...
LOL
As palavras passe do chrome estão protegidas pela password de administrador, o ficheiro onde elas estão também e no firefox podes meter uma password mestre para todas as outras. Logo só um “Rui Pinto” é que conseguia após alguma paciência saber as passwords de quem as guarda em browsers…
è muito mais seguro usar um password manager de uma empresa obscura querem ver?
Contas bancárias é que não devem guardar não é?! LOL
Existe sempre a possibilidade de utilizar um que seja local como o KeePass XC. Depende muito do risco que se esteja disposto a tolerar. E claro, poderá haver credenciais para as quais seja inaceitável colocar um num gestor de passwords — cada caso é um caso.
Nunca guardei senhas nos browsers, mesmo em equipamentos de uso próprio exclusivo. As passwords nos browsers são legíveis por qualquer malware, não estão encriptadas. No Thunderbird por exemplo, existe uma master key que impede que se consiga aceder às mesmas sem a master key.
Qualquer browser tem masterkey, o chrome tem a password de administrador do windows quando está definida e no firefox podes fazer uma masterkey…
O problema é quando tu sabes quais os ficheiros dentro das pastas ocultas do utilizador que contém as passwords, mas mesmo assim num pc mínimamente protegido para aceder a essas pastas tens de saber a password de administrador. Caso estejas logado numa conta de administrador é que a coisa fica torta…
Mas concordo que o melhor password manager é a tua própria cabeça, mas mesmo esse sob efeito pode estragar tudo, por isso não sei do que se queixam…
Há muita gente com conta de admin e sem password, por isso…
A própria cabeça é sempre um péssimo gestor de passwords: só consegue lembrar-se de um número muito reduzido de passwords, habitualmente de complexidade reduzida (e por isso relativamente fáceis de descobrir); além disso, não há forma de fazer cópias de segurança da memória do utilizador, ou de fazer uso da memória do utilizador se algum familiar precisar das passwords em contexto de doença/morte súbita (um extremo, eu sei, mas pode acontecer).
Quanto à master key dos browsers, o grande problema é que não está lá por defeito. Quem não percebe muito de segurança provavelmente não vai activá-la, e por isso irá pensar que tudo está devidamente protegido, e poderá não estar.
A cabeça é o pior gestor de passwords… Dificilmente vais ter uma aleatória para cada serviço…
Tudo o resto que se possa “inventar” cai por terra num ataque básico…
Nunca guardei palavras passe de coisas importantes. Só mesmo as do Fly For Fun Universe e do site do Albion Online é que estão guardas
São precisamente as mais importantes que devem ser explicitamente guardadas. Mas não recomendo que sejam guardadas no gestor de passwords dos browsers.
Recomendo uma leitura: https://www.privacyguides.org/en/basics/passwords-overview/ (tem lá uma lista de recomendações de gestores, conforme diversos critérios).
Isto artigo parece um da pcmag “Don’t Let Google Manage Your Passwords”….. Os comentários desse artigo são bastante críticos para quem o escreveu… Um deles dizia “Brought to you by Dashlane, Keeper, NordPass, and Bitwarden.”
As funcionalidades desses serviços (gestor de passwords do browser vs produtos dedicados) são muito diferentes.
Concretamente no caso do Bitwarden, pelo preço da subscrição Premium (10 USD anuais) o utilizador tem acesso a funcionalidade não replicável no gestor de passwords do browser, e acaba por separar a gestão das suas credenciais (não apenas logins para sites, mas todo o tipo de dados) da aplicação concreta que utiliza para navegar (importanto quando se utilizam diversos browsers, p ex).
E depois quando a bitwarden for adquirida por alguma organização obscura e vender os teus dados a quem der mais?!
Saberiam pouco sobre mim — o endereço de email e o número do cartão MB Net utilizado para pagar a subscrição. Todos os outros dados são encriptados localmente antes de serem armazenados por eles, e portanto se alguém levar os discos deles, demorará literalmente séculos a tentar reverter a encriptação.
Quando se adquire um produto de segurança, convém que se investigue o que esse produto implica, onde é armazenada a informação, quando e como é encriptada, etc.
Estou perfeitamente ciente dos potenciais problemas do Bitwarden, mas ser adquirido por outra organização não é um deles.
Sim, é verdade que essas aplicações têm outras funcionalidades mas o password manager da Google tb permite a encriptação local das suas passwords, é só procurar bem nas definições do browser
Json, sim, e claro que utilizar o gestor de passwords do browser é melhor que não utilizar nenhum. Mas por defeito o mesmo não exige uma password para o bloquear, criando um problema.
Por esse e por outros motivos, habitualmente é melhor utilizar um produto dedicado para esse fim.
Para quem não quer os seus dados «nas mãos» de uma empresa, há soluções locais, como por exemplo o KeePass XC.
Um bom password manager serve para gerir as tuas passwords.
Se soubesses como funciona, por exemplo o Bitwarden de que falas, sabias que pode ser adquirida por quem quer que seja que a tua informação confidencial continua 100% segura.
De resto, o teu mail não é nenhum segredo assim como a tua morada.
Além disso, o mesmo bitwarden que falas dá-te a possibilidade de teres toda a informação no teu próprio servidor, nem que seja um Raspberry Pi de 30€…
Mas existe algum sítio online que seja 100% seguro?
Também não quer dizer que se facilite e ir entregar tudo ao google, ou fazer logins através do FB lol…
Aqui usa-se o bitwarden…. extramamente prático.
E extremamente seguro. 100%? não. Mas mais que suficiente para utilização individual.
Nos browsers não mas num gestor de passwords sim. Muito bem, onde são guardadas as nossas passwords nesses gestores? São encriptadas com a password “mestre”? Guardadas nos servidores de quem? Quem tem acesso do lado do serviço?
Gestores de passwords não, obrigado. Por enquanto confio no Firefox.
JL, depende do caso.
Num gestor local como o KeePassXC, não existe servidor, é tudo feito localmente no computador do utilizador. Não há sincronização com outros dispositivos, a menos que o utilizador trate dela (e geralmente isso é feito com recurso a servidores de terceiros, embora haja alternativas mais trabalhosas).
No Bitwarden (que utilizo) todos os dados são encriptados localmente antes de serem enviados para o servidor. Lá, são armazenados nos servidores Azure da Microsoft (sim, nos EUA, eu sei). Quem tem acesso aos meus dados encriptados? Tendo em conta que os dados são encriptados com AES-256 localmente, e que a chave de encriptação utilizada é derivada da minha passphrase via Argon2id (e nunca partilhada com os servers do Bitwarden), é completamente irrelevante quem vai ter acesso aos discos / ficheiros do Bitwarden.
Quem tem acesso aos meus dados desencriptados? Na prática, ninguém. Alguém tem acesso à minha chave? Não.
Portanto, as grandes ameaças neste caso são phishing, engenharia social, e não propriamente alguém ter consigo os meus dados encriptados para tentar fazer brute-force ao longo de milénios.
O Bitwarden tem uma secção relativamente extensa de documentação sobre os fundamentos de segurança e encriptação em que baseiam as suas garantias. Recomendo pelo menos a leitura das FAQ em https://bitwarden.com/help/security-faqs/ e eventualmente o próprio Security Whitepaper.
Outros gestores poderão ser diferentes. Daí a importância de conhecer os detalhes dos serviços que se utilizam, especialmente se estivermos a confiar-lhes dados importantes.
Este comentário revela imensa falta de conhecimento sobre como funciona um gestor de palavras passe de jeito, com zero trust…
E a pergunta “nos servidores de quem” e “quem tem acesso do lado do serviço” não deixa margem para dúvidas
Não há problema nenhum em confiar no Firefox, desde que se saiba o que acontece às credenciais nele armazenadas. Nesse contexto (armazenamento local) recomendo o KeePassXC.
Relativamente às questões colocadas sobre gestores de passwords online, posso responder apenas pelo Bitwarden:
– o cofre de passwords está armazenado nos servidores do Bitwarden, parte da MS Azure Cloud, nos EUA
– sim, todo o «cofre» de passwords é encriptado com a password “mestre”
– presumo que todos os sysadmin do Bitwarden tenham acesso aos ficheiros encriptados.
Questões importantes que não colocaste:
– que tipo de encriptação é utilizada? AES-256
– em que momento ocorre a encriptação? localmente no browser, antes de enviar o «cofre» encriptado para o servidor
– em que momento ocorre a desencriptação? localmente no browser, após receber o «cofre» encriptado do servidor
– em algum momento circulam dados desencriptados? não
– é guardada a password primária ou hash da mesma no servidor? não
– como é derivada a chave de encriptação a partir da password primária? via PBKDF2-256 ou Argon2id (no meu caso, Argon2id)
Há outros pormenores interessantes, mas recomendo a leitura dos mesmos na secção Help > Security da página do Bitwarden.
E porque não utilizar um simples bloco de notas encriptado? Em que cada nota é guardada com uma password complexa e guardada fora da máquina e da web. E nesse caso ter mais do que uma password complexa para determinado grupo de passwords guardadas nas em cada nota.
E ainda para as de maior risco, ter um código mental que descodifica o conteúdo da nota, evitando que quem aceder à mesma não consiga decifrar o seu conteúdo.
E claro, para as de acesso a home banking, nunca em nenhum desses sítios, apenas na cabeça ou parcialmente codificadas numa nota encriptada para eventual memória futura. E com recorrência a autenticação de dois fatores (2FA).
Para isso existe o KeePassXC (armazenamento local encriptado de passwords).
Confiar na cabeça / código mental é meio caminho andado para perder o acesso em caso de acidente / imprevisto. Especialmente para passwords importantes.
Há códigos mentais dos quais nunca te esqueces. Só tens de os associar ao método de descodificação.
Mas podes sempre guardar um backup em forma física (ou numa pen drive) algures em casa ou num cofre físico, em caso de acidente/imprevisto. No entanto, o risco de incêndio obriga a que haja backup noutra localização.
Tanto o KeePassXC como o KeePass são boas alternativas para guardar as passwords localmente seguindo o método que referi.
Há uns anos, antes de aparecerem estas ferramentas de encriptação de passwords e gestores de passwords, criei uma macro em excel que funcionava como a Enigma dos alemães nos anos 30
Dessa forma, todas as passwords que eu guardava não eram as reais. Se alguém tivesse acesso a essas passwords, não havia problema. Só eu sabia que eram falsas e como as descodificar, sendo que, o nome do ficheiro excel em nada o associava à sua função, para além de estar protegido por password e guardado sem extensão. Este aspeto é importante quando se trata de hacking para roubar documentos.
“security through obscurity” é bem conhecida por ser do pior que há e a prova está no teu comentário.
O pior é mesmo a falsa sensação de segurança que dá.
Não há nada que chegue a um bom gestor de palavras passe.
Mesmo um online, se tiveres uma password ou passphrase boa (e não o nome do cão com a letra “o” substituída pelo número “0”) não só é inviolável nos próximos séculos como pode estar 100% sob controlo de ti próprio.
Todas as voltas e fórmulas mentais que possas achar que te dão segurança extra duram milissegundos perante um ataque brute force e toda.a segurança por ofuscação é nula quando descoberta.
Se é fácil o suficiente para mentalmente ser descodificado, é canja para um processador. E portanto, é inseguro.
Relembro que a Enigma foi crackada há muitos anos atrás, não é um método propriamente seguro para os dados em questão.
E não esquecer de manter backups redundantes sempre atualizados e em diferentes localizações.
Para os acessos a sites sem grande importância como fóruns ou outros, guardar no browser é mais do que suficiente. Afinal se me captarem a password o que podem fazer? Aceder ao site e postar por mim? Não seria grave.