Qual a segurança
de uma senha armazenada no navegador web?
ter, 20/08/13
por Altieres Rohr
Se você tem alguma dúvida
sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados
etc.), vá até o fim da reportagem e utilize a seção de comentários. A coluna
responde perguntas deixadas por leitores todas as quintas-feiras.
Quando preenchemos um
formulário de login na web, o navegador questiona se queremos armazenar a
combinação de usuário e senha para não termos de preencher isso no futuro. Em
muitos casos, os próprios sites também oferecem o recurso “lembrar de mim” para
que o login não precise ser feito novamente. Você sabia que as senhas
armazenadas com esses recursos, ou mesmo a função de “lembrar”, podem ser
facilmente acessadas por quem tiver acesso ao seu computador e navegador – e
que isso não é um problema?
Muitos internautas ficaram
surpresos com uma revelação recente de que o Google Chrome possui um botão para
mostrar todas as senhas armazenadas. Mas o Firefox também possui o mesmo botão.
E os navegadores que não possuem esse recurso apenas escondem as senhas, mas
elas ainda estão lá e podem ser facilmente resgatadas com as ferramentas
certas.
O recurso “lembrar de mim”
também funciona da mesma forma. Quando ele é usado, o site cria um
identificador permanente, que é armazenado pelo navegador e reenviado quando a
página for acessada. Nesse momento, o site saberá imediatamente qual é o
usuário que está entrando no site. Mas nada impede que esse mesmo identificador
presente no PC seja copiado e usado em outro computador no lugar da senha de
acesso. Esse ataque é conhecido como “roubo de cookie”.
O detalhe é que nada disso
deveria ser surpreendente. Pense da seguinte forma: se você entra em seu
Facebook, deixa o navegador aberto e abandona o computador, é óbvio que a
pessoa que usá-lo em seguida poderá ver a página que foi deixada aberta. O
roubo das senhas e dos identificadores de acesso é apenas uma extensão
permanente dessa situação: o acesso já foi dado quando a pessoa usou o
navegador.
Embora existam alguns recursos
de “segurança” para dificultar o acesso aos dados, como o uso de uma
senha-mestra no Firefox, eles não eliminam a essência do problema. Ainda é
perfeitamente possível roubar os identificadores de acesso ou mesmo as senhas, uma
vez que a senha-mestra já tenha sido digitada e, claro, acessar os sites que já
estiverem “logados”.
Na prática, esse não é um
problema que o navegador de internet precisa ou mesmo pode resolver. Esse é um
problema do sistema operacional. E é por isso que todos os sistemas possuem um
recurso de “bloqueio de tela”, que impede o uso do computador sem que a senha
de login seja digitada.
No Windows, a tela de bloqueio
pode ser facilmente ativada com a combinação tecla Windows+L. Caso a tela
esteja bloqueada, quem for acessar o computador ainda pode usar o recurso de
“trocar usuário” e escolher um usuário diferente. É por esse motivo que o
Windows possui uma conta de “usuário convidado”, configurada no Painel de
Controle.
Tentar proteger as senhas ou o
navegador de alguém que já está com acesso ao sistema é uma batalha perdida,
embora o impacto – que alguém possa ler todas as suas senhas e acessar todos os
sites em qual seu navegador está autorizado – pareça um pouco extremo. No
entanto, é preciso criar o hábito de bloquear a tela e compreender que sistemas
dispõem de diversos usuários porque os próprios aplicativos dependem dessa
separação para fornecer com segurança os recursos que possuem – inclusive, aí,
o armazenamento das senhas.
Ou seja, o navegador faz parte
de um ambiente maior (o sistema) e sua segurança precisa ser pensada nesse
ambiente. O mesmo vale para celulares: se você não está usando um código de
bloqueio, é natural que qualquer um que pegue seu celular possa acessar tudo
que nele estiver armazenado ou configurado.
O uso de senhas de bloqueio e
de usuários distintos quando o computador for usado por mais de uma pessoa são
importantíssimos – a segurança dos softwares é pensada a partir desse ponto de
partida. Se você não fizer uso desses recursos, lembrar qualquer senha ou
acesso, em qualquer lugar, é extremamente perigoso.
Nenhum comentário:
Postar um comentário