Problema de segurança com senhas salvas do Chrome

Question 1

É uma troca de segurança e não uma fraqueza da segurança. Devido à própria natureza das senhas, se elas forem armazenadas de forma que possam ser utilizadas (ou seja, para preencher um formulário), elas serão armazenadas de forma que possam ser recuperadas, independentemente do esquema usado para armazenar ou criptografá-los. Ocultar a opção de mostrar a senha não altera o fato de que o próprio aplicativo em algum momento terá que recuperá-la - e quando o faz, está sujeito a vários métodos de extraí-la.

Isso parece um grande buraco, até que você considere os outros fatores em ação.

Para recuperar as senhas, um invasor precisa obter acesso à conta de usuário ou de administrador no sistema onde elas estão armazenadas, geralmente por meio de malware, navegação no ombro, um PC autônomo, mas desbloqueado ou, em alguns casos, onde eles têm acesso físico. , por meio de ferramentas de recuperação.
Se um invasor puder fazer qualquer uma das ações acima, ele poderá adulterar o sistema de outras maneiras, incluindo a instalação de keyloggers, software de controle remoto, sniffers e software de gravação de desktop, portanto, uma senha digitada não seria necessariamente mais segura do que um armazenou um.
Um usuário que armazena senhas tem muito mais probabilidade de usar senhas exclusivas entre sites e muito mais probabilidade de usar senhas fortes.
Uma senha armazenada é potencialmente mais segura do que um post-it sob o teclado, já que alguém realmente precisa fazer login em sua conta de usuário para vê-la, enquanto pode memorizar, roubar, copiar manualmente ou fotografar o post-it.

Na realidade, a senha salva corre quase o mesmo risco que uma senha digitada contra um determinado invasor, uma vez que o determinado invasor estará preparado para oportunidades como um PC desbloqueado ou um escritório desbloqueado. Com um pouco de prática e preparação antecipada, uma unidade USB ou site pode ser preparado para instalar um rootkit em menos de 15 segundos – menos do que o tempo que leva para tomar uma xícara de café. Se você está preocupado com alguém sentado e mostrando as senhas salvas, você terá problemas muito maiores por ter um PC desprotegido e sem supervisão.

Quanto às senhas mestras, elas são uma boa ferramenta, mas não coloque muita fé nelas. Um invasor sério que tenha a oportunidade de atacar sua senha mestra já foi longe o suficiente para instalar um keylogger. É uma proteção moderada contra ataques de captura e execução no banco de dados enquanto o sistema está desligado e uma boa proteção contra bisbilhoteiros casuais, mas não impedirá que alguém que leva a sério a obtenção de sua senha aproveite um PC desbloqueado.

Resumindo:

Salvar senhas no computador não é um risco sério à segurança por si só, mas é um agravante que pode tornar mais fácil para os bandidos se aproveitarem do seu descuido caso você deixe o computador desbloqueado ou deixe outra pessoa usar o computador enquanto você está logado. (Eles ainda podem causar o mesmo dano sem que você salve suas senhas - as senhas salvas apenas tornam isso mais fácil para eles.)
Salvar sua senha no computador facilita o uso de senhas seguras e exclusivas.
Disciplina básica de segurança, como não sair do computador sem bloqueá-lo, não compartilhar suas senhas, não salvar SUA senha para o benefício de outro usuário em seu PC e não permitir que outra pessoa trabalhe com seu login são considerações de segurança muito mais importantes do que se ou não salvar senhas.
Uma senha mestra ainda é uma boa ideia se você tiver a opção (defesa em profundidade), mas não deixe que ela lhe dê uma falsa sensação de segurança. É um fator adicional, não uma desculpa para ser descuidado em outro lugar.

Answer

É uma troca de segurança e não uma fraqueza da segurança. Devido à própria natureza das senhas, se elas forem armazenadas de forma que possam ser utilizadas (ou seja, para preencher um formulário), elas serão armazenadas de forma que possam ser recuperadas, independentemente do esquema usado para armazenar ou criptografá-los. Ocultar a opção de mostrar a senha não altera o fato de que o próprio aplicativo em algum momento terá que recuperá-la - e quando o faz, está sujeito a vários métodos de extraí-la.

Isso parece um grande buraco, até que você considere os outros fatores em ação.

Para recuperar as senhas, um invasor precisa obter acesso à conta de usuário ou de administrador no sistema onde elas estão armazenadas, geralmente por meio de malware, navegação no ombro, um PC autônomo, mas desbloqueado ou, em alguns casos, onde eles têm acesso físico. , por meio de ferramentas de recuperação.
Se um invasor puder fazer qualquer uma das ações acima, ele poderá adulterar o sistema de outras maneiras, incluindo a instalação de keyloggers, software de controle remoto, sniffers e software de gravação de desktop, portanto, uma senha digitada não seria necessariamente mais segura do que um armazenou um.
Um usuário que armazena senhas tem muito mais probabilidade de usar senhas exclusivas entre sites e muito mais probabilidade de usar senhas fortes.
Uma senha armazenada é potencialmente mais segura do que um post-it sob o teclado, já que alguém realmente precisa fazer login em sua conta de usuário para vê-la, enquanto pode memorizar, roubar, copiar manualmente ou fotografar o post-it.

Na realidade, a senha salva corre quase o mesmo risco que uma senha digitada contra um determinado invasor, uma vez que o determinado invasor estará preparado para oportunidades como um PC desbloqueado ou um escritório desbloqueado. Com um pouco de prática e preparação antecipada, uma unidade USB ou site pode ser preparado para instalar um rootkit em menos de 15 segundos – menos do que o tempo que leva para tomar uma xícara de café. Se você está preocupado com alguém sentado e mostrando as senhas salvas, você terá problemas muito maiores por ter um PC desprotegido e sem supervisão.

Quanto às senhas mestras, elas são uma boa ferramenta, mas não coloque muita fé nelas. Um invasor sério que tenha a oportunidade de atacar sua senha mestra já foi longe o suficiente para instalar um keylogger. É uma proteção moderada contra ataques de captura e execução no banco de dados enquanto o sistema está desligado e uma boa proteção contra bisbilhoteiros casuais, mas não impedirá que alguém que leva a sério a obtenção de sua senha aproveite um PC desbloqueado.

Resumindo:

Salvar senhas no computador não é um risco sério à segurança por si só, mas é um agravante que pode tornar mais fácil para os bandidos se aproveitarem do seu descuido caso você deixe o computador desbloqueado ou deixe outra pessoa usar o computador enquanto você está logado. (Eles ainda podem causar o mesmo dano sem que você salve suas senhas - as senhas salvas apenas tornam isso mais fácil para eles.)
Salvar sua senha no computador facilita o uso de senhas seguras e exclusivas.
Disciplina básica de segurança, como não sair do computador sem bloqueá-lo, não compartilhar suas senhas, não salvar SUA senha para o benefício de outro usuário em seu PC e não permitir que outra pessoa trabalhe com seu login são considerações de segurança muito mais importantes do que se ou não salvar senhas.
Uma senha mestra ainda é uma boa ideia se você tiver a opção (defesa em profundidade), mas não deixe que ela lhe dê uma falsa sensação de segurança. É um fator adicional, não uma desculpa para ser descuidado em outro lugar.

Question 2

Acho que há duas coisas que precisam ser esclarecidas:

O Firefox permite definir uma senha mestra para manter todas as suas senhas seguras (você deve digitar a senha mestra antes que ela mostre as senhas ou colocá-la em uma caixa de senha).
O Chrome criptografa as senhas usando a senha de login do Windows do usuário.

Por que o Google faz algo não é algo que possa ser respondido por qualquer pessoa (além do Google). Aqui está o que eles disseram até agora:

“Nossa decisão de não implementar o recurso Senha Mestra é baseada em nossa crença de que ele cria uma falsa sensação de segurança em vez de realmente fornecer um forte benefício de segurança”

Eu não entendo, e muitas pessoas também não, mas esse é o estado atual das coisas. Se você não gosta desta parte do Chrome, use algo comoÚltima passagem.

Answer

Acho que há duas coisas que precisam ser esclarecidas:

O Firefox permite definir uma senha mestra para manter todas as suas senhas seguras (você deve digitar a senha mestra antes que ela mostre as senhas ou colocá-la em uma caixa de senha).
O Chrome criptografa as senhas usando a senha de login do Windows do usuário.

Por que o Google faz algo não é algo que possa ser respondido por qualquer pessoa (além do Google). Aqui está o que eles disseram até agora:

“Nossa decisão de não implementar o recurso Senha Mestra é baseada em nossa crença de que ele cria uma falsa sensação de segurança em vez de realmente fornecer um forte benefício de segurança”

Eu não entendo, e muitas pessoas também não, mas esse é o estado atual das coisas. Se você não gosta desta parte do Chrome, use algo comoÚltima passagem.

Question 3

As senhas não são mostradas facilmente para ninguém. Alguém teria acesso à sua conta de usuário do Windows, caso contrário, suas senhas não poderão ser mostradas. Como ninguém, exceto você, deveria ter acesso à sua conta (sabendo sua senha), não vejo como o comportamento do Chrome poderia ser um problema de segurança.

Embora o Internet Explorer não tenha uma maneira nativa de mostrar senhas armazenadas, elas ainda estão disponíveis para qualquer usuário que tenha acesso à sua conta, por exemplo, usando ferramentas comohttp://www.nirsoft.net/utils/internet_explorer_password.html. Não fornecer uma forma nativa pode ser visto como uma espécie de pseudo segurança.

Answer

As senhas não são mostradas facilmente para ninguém. Alguém teria acesso à sua conta de usuário do Windows, caso contrário, suas senhas não poderão ser mostradas. Como ninguém, exceto você, deveria ter acesso à sua conta (sabendo sua senha), não vejo como o comportamento do Chrome poderia ser um problema de segurança.

Embora o Internet Explorer não tenha uma maneira nativa de mostrar senhas armazenadas, elas ainda estão disponíveis para qualquer usuário que tenha acesso à sua conta, por exemplo, usando ferramentas comohttp://www.nirsoft.net/utils/internet_explorer_password.html. Não fornecer uma forma nativa pode ser visto como uma espécie de pseudo segurança.

Problema de segurança com senhas salvas do Chrome

Responder1

Responder2

Responder3

informação relacionada