PplWare Mobile

Guarda palavras-passe num browser? Saiba por que não o deve fazer

                                    
                                

Este artigo tem mais de um ano


Autor: Rui Neto


  1. berlaitada says:

    LOL

    As palavras passe do chrome estão protegidas pela password de administrador, o ficheiro onde elas estão também e no firefox podes meter uma password mestre para todas as outras. Logo só um “Rui Pinto” é que conseguia após alguma paciência saber as passwords de quem as guarda em browsers…

    è muito mais seguro usar um password manager de uma empresa obscura querem ver?

    Contas bancárias é que não devem guardar não é?! LOL

    • Pedro Cunha says:

      Existe sempre a possibilidade de utilizar um que seja local como o KeePass XC. Depende muito do risco que se esteja disposto a tolerar. E claro, poderá haver credenciais para as quais seja inaceitável colocar um num gestor de passwords — cada caso é um caso.

  2. David Guerreiro says:

    Nunca guardei senhas nos browsers, mesmo em equipamentos de uso próprio exclusivo. As passwords nos browsers são legíveis por qualquer malware, não estão encriptadas. No Thunderbird por exemplo, existe uma master key que impede que se consiga aceder às mesmas sem a master key.

    • berlaitada says:

      Qualquer browser tem masterkey, o chrome tem a password de administrador do windows quando está definida e no firefox podes fazer uma masterkey…

      O problema é quando tu sabes quais os ficheiros dentro das pastas ocultas do utilizador que contém as passwords, mas mesmo assim num pc mínimamente protegido para aceder a essas pastas tens de saber a password de administrador. Caso estejas logado numa conta de administrador é que a coisa fica torta…

      Mas concordo que o melhor password manager é a tua própria cabeça, mas mesmo esse sob efeito pode estragar tudo, por isso não sei do que se queixam…

      • David Guerreiro says:

        Há muita gente com conta de admin e sem password, por isso…

      • Pedro Cunha says:

        A própria cabeça é sempre um péssimo gestor de passwords: só consegue lembrar-se de um número muito reduzido de passwords, habitualmente de complexidade reduzida (e por isso relativamente fáceis de descobrir); além disso, não há forma de fazer cópias de segurança da memória do utilizador, ou de fazer uso da memória do utilizador se algum familiar precisar das passwords em contexto de doença/morte súbita (um extremo, eu sei, mas pode acontecer).

        Quanto à master key dos browsers, o grande problema é que não está lá por defeito. Quem não percebe muito de segurança provavelmente não vai activá-la, e por isso irá pensar que tudo está devidamente protegido, e poderá não estar.

      • Nuno says:

        A cabeça é o pior gestor de passwords… Dificilmente vais ter uma aleatória para cada serviço…
        Tudo o resto que se possa “inventar” cai por terra num ataque básico…

  3. mikado says:

    Nunca guardei palavras passe de coisas importantes. Só mesmo as do Fly For Fun Universe e do site do Albion Online é que estão guardas

  4. Json says:

    Isto artigo parece um da pcmag “Don’t Let Google Manage Your Passwords”….. Os comentários desse artigo são bastante críticos para quem o escreveu… Um deles dizia “Brought to you by Dashlane, Keeper, NordPass, and Bitwarden.”

    • Pedro Cunha says:

      As funcionalidades desses serviços (gestor de passwords do browser vs produtos dedicados) são muito diferentes.

      Concretamente no caso do Bitwarden, pelo preço da subscrição Premium (10 USD anuais) o utilizador tem acesso a funcionalidade não replicável no gestor de passwords do browser, e acaba por separar a gestão das suas credenciais (não apenas logins para sites, mas todo o tipo de dados) da aplicação concreta que utiliza para navegar (importanto quando se utilizam diversos browsers, p ex).

      • berlaitada says:

        E depois quando a bitwarden for adquirida por alguma organização obscura e vender os teus dados a quem der mais?!

        • Pedro Cunha says:

          Saberiam pouco sobre mim — o endereço de email e o número do cartão MB Net utilizado para pagar a subscrição. Todos os outros dados são encriptados localmente antes de serem armazenados por eles, e portanto se alguém levar os discos deles, demorará literalmente séculos a tentar reverter a encriptação.

          Quando se adquire um produto de segurança, convém que se investigue o que esse produto implica, onde é armazenada a informação, quando e como é encriptada, etc.

          Estou perfeitamente ciente dos potenciais problemas do Bitwarden, mas ser adquirido por outra organização não é um deles.

          • Json says:

            Sim, é verdade que essas aplicações têm outras funcionalidades mas o password manager da Google tb permite a encriptação local das suas passwords, é só procurar bem nas definições do browser

          • Pedro Cunha says:

            Json, sim, e claro que utilizar o gestor de passwords do browser é melhor que não utilizar nenhum. Mas por defeito o mesmo não exige uma password para o bloquear, criando um problema.

            Por esse e por outros motivos, habitualmente é melhor utilizar um produto dedicado para esse fim.

            Para quem não quer os seus dados «nas mãos» de uma empresa, há soluções locais, como por exemplo o KeePass XC.

        • Nuno says:

          Um bom password manager serve para gerir as tuas passwords.
          Se soubesses como funciona, por exemplo o Bitwarden de que falas, sabias que pode ser adquirida por quem quer que seja que a tua informação confidencial continua 100% segura.
          De resto, o teu mail não é nenhum segredo assim como a tua morada.
          Além disso, o mesmo bitwarden que falas dá-te a possibilidade de teres toda a informação no teu próprio servidor, nem que seja um Raspberry Pi de 30€…

  5. Luis says:

    Mas existe algum sítio online que seja 100% seguro?
    Também não quer dizer que se facilite e ir entregar tudo ao google, ou fazer logins através do FB lol…
    Aqui usa-se o bitwarden…. extramamente prático.

  6. JL says:

    Nos browsers não mas num gestor de passwords sim. Muito bem, onde são guardadas as nossas passwords nesses gestores? São encriptadas com a password “mestre”? Guardadas nos servidores de quem? Quem tem acesso do lado do serviço?

    Gestores de passwords não, obrigado. Por enquanto confio no Firefox.

    • Pedro Cunha says:

      JL, depende do caso.
      Num gestor local como o KeePassXC, não existe servidor, é tudo feito localmente no computador do utilizador. Não há sincronização com outros dispositivos, a menos que o utilizador trate dela (e geralmente isso é feito com recurso a servidores de terceiros, embora haja alternativas mais trabalhosas).

      No Bitwarden (que utilizo) todos os dados são encriptados localmente antes de serem enviados para o servidor. Lá, são armazenados nos servidores Azure da Microsoft (sim, nos EUA, eu sei). Quem tem acesso aos meus dados encriptados? Tendo em conta que os dados são encriptados com AES-256 localmente, e que a chave de encriptação utilizada é derivada da minha passphrase via Argon2id (e nunca partilhada com os servers do Bitwarden), é completamente irrelevante quem vai ter acesso aos discos / ficheiros do Bitwarden.
      Quem tem acesso aos meus dados desencriptados? Na prática, ninguém. Alguém tem acesso à minha chave? Não.
      Portanto, as grandes ameaças neste caso são phishing, engenharia social, e não propriamente alguém ter consigo os meus dados encriptados para tentar fazer brute-force ao longo de milénios.

      O Bitwarden tem uma secção relativamente extensa de documentação sobre os fundamentos de segurança e encriptação em que baseiam as suas garantias. Recomendo pelo menos a leitura das FAQ em https://bitwarden.com/help/security-faqs/ e eventualmente o próprio Security Whitepaper.

      Outros gestores poderão ser diferentes. Daí a importância de conhecer os detalhes dos serviços que se utilizam, especialmente se estivermos a confiar-lhes dados importantes.

    • Nuno says:

      Este comentário revela imensa falta de conhecimento sobre como funciona um gestor de palavras passe de jeito, com zero trust…
      E a pergunta “nos servidores de quem” e “quem tem acesso do lado do serviço” não deixa margem para dúvidas

    • Pedro Cunha says:

      Não há problema nenhum em confiar no Firefox, desde que se saiba o que acontece às credenciais nele armazenadas. Nesse contexto (armazenamento local) recomendo o KeePassXC.

      Relativamente às questões colocadas sobre gestores de passwords online, posso responder apenas pelo Bitwarden:
      – o cofre de passwords está armazenado nos servidores do Bitwarden, parte da MS Azure Cloud, nos EUA
      – sim, todo o «cofre» de passwords é encriptado com a password “mestre”
      – presumo que todos os sysadmin do Bitwarden tenham acesso aos ficheiros encriptados.

      Questões importantes que não colocaste:
      – que tipo de encriptação é utilizada? AES-256
      – em que momento ocorre a encriptação? localmente no browser, antes de enviar o «cofre» encriptado para o servidor
      – em que momento ocorre a desencriptação? localmente no browser, após receber o «cofre» encriptado do servidor
      – em algum momento circulam dados desencriptados? não
      – é guardada a password primária ou hash da mesma no servidor? não
      – como é derivada a chave de encriptação a partir da password primária? via PBKDF2-256 ou Argon2id (no meu caso, Argon2id)

      Há outros pormenores interessantes, mas recomendo a leitura dos mesmos na secção Help > Security da página do Bitwarden.

  7. LUISSM says:

    E porque não utilizar um simples bloco de notas encriptado? Em que cada nota é guardada com uma password complexa e guardada fora da máquina e da web. E nesse caso ter mais do que uma password complexa para determinado grupo de passwords guardadas nas em cada nota.

    E ainda para as de maior risco, ter um código mental que descodifica o conteúdo da nota, evitando que quem aceder à mesma não consiga decifrar o seu conteúdo.

    E claro, para as de acesso a home banking, nunca em nenhum desses sítios, apenas na cabeça ou parcialmente codificadas numa nota encriptada para eventual memória futura. E com recorrência a autenticação de dois fatores (2FA).

    • Pedro Cunha says:

      Para isso existe o KeePassXC (armazenamento local encriptado de passwords).
      Confiar na cabeça / código mental é meio caminho andado para perder o acesso em caso de acidente / imprevisto. Especialmente para passwords importantes.

      • LUISSM says:

        Há códigos mentais dos quais nunca te esqueces. Só tens de os associar ao método de descodificação.
        Mas podes sempre guardar um backup em forma física (ou numa pen drive) algures em casa ou num cofre físico, em caso de acidente/imprevisto. No entanto, o risco de incêndio obriga a que haja backup noutra localização.

        Tanto o KeePassXC como o KeePass são boas alternativas para guardar as passwords localmente seguindo o método que referi.

        Há uns anos, antes de aparecerem estas ferramentas de encriptação de passwords e gestores de passwords, criei uma macro em excel que funcionava como a Enigma dos alemães nos anos 30

        Dessa forma, todas as passwords que eu guardava não eram as reais. Se alguém tivesse acesso a essas passwords, não havia problema. Só eu sabia que eram falsas e como as descodificar, sendo que, o nome do ficheiro excel em nada o associava à sua função, para além de estar protegido por password e guardado sem extensão. Este aspeto é importante quando se trata de hacking para roubar documentos.

        • Nuno says:

          “security through obscurity” é bem conhecida por ser do pior que há e a prova está no teu comentário.
          O pior é mesmo a falsa sensação de segurança que dá.
          Não há nada que chegue a um bom gestor de palavras passe.
          Mesmo um online, se tiveres uma password ou passphrase boa (e não o nome do cão com a letra “o” substituída pelo número “0”) não só é inviolável nos próximos séculos como pode estar 100% sob controlo de ti próprio.
          Todas as voltas e fórmulas mentais que possas achar que te dão segurança extra duram milissegundos perante um ataque brute force e toda.a segurança por ofuscação é nula quando descoberta.

        • Pedro Cunha says:

          Se é fácil o suficiente para mentalmente ser descodificado, é canja para um processador. E portanto, é inseguro.
          Relembro que a Enigma foi crackada há muitos anos atrás, não é um método propriamente seguro para os dados em questão.

  8. LUISSM says:

    E não esquecer de manter backups redundantes sempre atualizados e em diferentes localizações.

    Para os acessos a sites sem grande importância como fóruns ou outros, guardar no browser é mais do que suficiente. Afinal se me captarem a password o que podem fazer? Aceder ao site e postar por mim? Não seria grave.

Deixe um comentário

O seu endereço de email não será publicado.

You may use these HTML tags and attributes: <a href="" title="" rel=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

Aviso: Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.