Qual é a segurança das suas senhas salvas do navegador Google Chrome?
Uma pergunta comum sobre o navegador Google Chrome é "por que não há uma senha mestra?" O Google assumiu (não oficialmente) a posição de que uma senha mestra fornece uma falsa sensação de segurança e a forma mais viável de proteção para esses dados confidenciais é através da segurança geral do sistema.
Então, exatamente quão seguros são os seus dados de senha salvos dentro do Google Chrome?
Exibindo senhas salvas
O Chrome inclui seu próprio gerenciador de senhas, que pode ser acessado em Opções> Coisas pessoais> Gerenciar senhas salvas. Isso não é novidade e, se você permitir que o Chrome armazene suas senhas, provavelmente já conhece esse recurso.
Um bom toque de segurança menor é que você deve primeiro clicar no botão mostrar ao lado de cada senha que deseja ver.
Embora não haja restrições para acessar essa tela (ou seja, se você tiver acesso à área de trabalho onde o Chrome está instalado, você pode acessar as senhas), haverá pelo menos a intervenção do usuário necessária para exibir cada senha sem exportá-las em massa para um arquivo de texto simples.
Onde estão os dados de senha armazenados?
Os dados de senha salvos são armazenados em um banco de dados SQLite localizado aqui:
% UserProfile% \ AppData \ Local \ Google \ Chrome \ Dados do usuário \ Padrão \ Dados de login
Você pode abrir este arquivo (o nome do arquivo é apenas "Login Data") usando o SQLite Database Browser e visualizar a tabela "logins" que contém as senhas salvas. Você notará que o campo "password_value" é ilegível porque o valor é criptografado.
Quão Seguro é os Dados Criptografados?
Para executar a criptografia (no Windows), o Chrome usa uma função de API fornecida pelo Windows, que torna os dados criptografados apenas decifráveis pela conta de usuário do Windows usada para criptografar a senha. Então, essencialmente, sua senha mestra é a senha da sua conta do Windows. Como resultado, quando você estiver conectado ao Windows usando sua conta, esses dados serão decifráveis pelo Chrome.
No entanto, como a senha da sua conta do Windows é uma constante, o acesso à "senha mestra" não é exclusivo do Chrome, pois os utilitários externos também podem obter esses dados - e descriptografá-los. Usando o utilitário gratuito disponível ChromePass da NirSoft, você pode ver todos os seus dados de senha salvos e exportá-los facilmente para um arquivo de texto simples.
Portanto, faz sentido que, se o utilitário ChromePass puder acessar esses dados, o malware executado como o respectivo usuário também possa acessá-los. Quando o ChromePass.exe é carregado para o VirusTotal, pouco mais da metade dos mecanismos antivírus o sinaliza como perigoso. Enquanto, neste caso, o utilitário é seguro, é um pouco reconfortante ver que esse comportamento é, no mínimo, sinalizado por muitos dos pacotes antivírus (embora o Microsoft Security Essentials não seja um dos mecanismos antivírus que o relataram como perigoso).
A proteção pode ser evitada??
Suponha que seu computador seja roubado e o ladrão redefina sua senha do Windows para fazer login nativamente em sua instalação. Se eles tentassem ver as senhas no Chrome ou usassem o utilitário ChromePass, os dados da senha não estariam disponíveis. O motivo é simples, pois a "senha mestra" (que era a senha da sua conta do Windows antes deles serem redefinidos com força fora do Windows) não corresponde, portanto, a decodificação falha.
Além disso, se alguém simplesmente copiasse o arquivo de banco de dados SQLite com a senha do Chrome e tentasse acessá-lo em outro computador, o ChromePass exibiria senhas vazias pelo mesmo motivo explicado acima.
Conclusão
No final do dia, a segurança das senhas salvas do Chrome depende totalmente do usuário:
- Use uma senha de conta do Windows muito forte. Tenha em mente que existem utilitários que podem decifrar as senhas do Windows. Se alguém obtiver a senha da conta do Windows, ele terá acesso às senhas do navegador salvo.
- Proteja-se contra malware. Se os utilitários puderem acessar facilmente suas senhas salvas, por que não?
- Salve suas senhas em um sistema de gerenciamento de senhas como o KeePass. Claro, você perde a conveniência de ter o navegador preenchendo suas senhas automaticamente.
- Use um utilitário de terceiros que se integra ao Chrome e use uma senha mestra para gerenciar suas senhas.
- Criptografe todo o seu disco rígido usando TrueCrypt. Isto é completamente opcional e para o ultra-protetor, mas se alguém não pode descriptografar seu disco, eles certamente não podem tirar nada dele.
O resultado final é simplesmente manter seu sistema seguro e suas senhas do Chrome devem estar razoavelmente seguras também.
Faça o download do ChromePass da NirSoft
Faça o download do navegador SQLite do Sourceforge