Estou procurando um bom gerenciador de senhas (sim, sou exigente) e hoje me deparei com um problema interessante:
- Tenho minhas senhas armazenadas no gerenciador de senhas do Google.
- Em alguns sites eu uso o LastPass para ter uma ideia.
- Para um novo site que estou entrando com credenciais carregadas salvas do GooglePass, o LastPass está oferecendo o salvamento de entradas em meu cofre. Se eu fizer isso, eles serão legíveis, descriptografados e à vista.
- Como as credenciais salvas do GooglePass devem ser criptografadas com meus usuários/senhas do Google/MicrosoftCOMO o LastPass é capaz de lê-los? Eles ficam ‘ocultos’ na tela e o LastPass não os ‘conhece’. Se eu quiser acessá-los no GooglePass, preciso fornecer as credenciais da minha conta do PC. Como é possível que o LastPass esteja fazendo (lendo) isso sem problemas? É capaz de descriptografar qualquer coisa? É possível ler caracteres ASC enviados para a caixa de senha antes de serem 'ocultos' na tela como pontos ou estrelas? E quanto à proteção das minhas senhas que não quero armazenar no cofre
Como ajo com base na premissa de 'confiança limitada', estou um pouco confuso. Estou faltando algo óbvio aqui?
Obrigado!
Responder1
Os dados inseridos em um campo de senha em um site estão em texto simples e legíveis. Na tela ele aparece como pontos para que uma pessoa não possa lê-lo por cima do seu ombro, mas na memória ele não está codificado ou criptografado. O navegador precisa enviar esta versão em texto simples ao servidor para que você possa fazer login. Se tentasse enviar um valor criptografado, o site não conseguiria processar a solicitação de login.
Um gerenciador de senhas pode então obter o nome de usuário e a senha da memória do navegador ou inspecionar a solicitação HTTP feita para fazer login. O gerenciador de senhas provavelmente instalará uma extensão do navegador para fazer isso.