Quão seguras são suas senhas salvas do Internet Explorer?
Uma das ferramentas mais convenientes oferecidas pelos navegadores é a capacidade de salvar e preencher automaticamente suas senhas em formulários de login. Porque muitos sites exigem contas e é bem conhecido (ou deveria ser pelo menos) que usar uma senha compartilhada é um grande não-não, um gerenciador de senhas é quase essencial.
Então, se você é um usuário do IE e responde "sim" para permitir que o navegador lembre sua senha, quão segura é essa informação?
Onde eles estão salvos?
A partir do Internet Explorer 7, a senha é armazenada no registro do sistema (Explorer \ IntelliForms \ Storage2 KEY_CURRENT_USER \ Software \ Microsoft \ Internet) e codificada contra a senha de logon do usuário do Windows usando a API de Proteção de Dados que utiliza criptografia Triple DES.
Quão seguro é esse dado??
No momento da redação deste artigo, o Triple DES é praticamente inquebrável através de métodos de força bruta. No entanto, realmente não é necessário forçar a criptografia quando você estiver conectado à conta do Windows em que os dados de senha são armazenados, pois o Windows supõe que, uma vez conectado, é seguro para os aplicativos acessarem esses dados. Como resultado do IE não utilizar uma senha mestra (como o que o Firefox oferece) para proteger suas senhas salvas, a respectiva senha da conta do Windows é a chave de descriptografia Triple DES.
Simplificando, se você pode entrar no Windows com a conta e senha, você pode ver as senhas do navegador salvo. Usando um utilitário livremente disponível, como o IE PassView da NirSoft, você pode visualizar e exportar todas as senhas salvas do IE.
Então, o malware pode acessar este?
Depois de ver como é fácil obter esses dados, a próxima questão lógica é que o malware pode chegar facilmente a esses dados. Eu não sou um desenvolvedor de malware, mas não vejo nenhum motivo que não possa. Se eu analisar o utilitário IE PassView usando o Virus Total, você poderá ver que 55% dos scanners que eles usam detectam que é um malware (um dos quais é o Security Essentials).
Embora no nosso caso o resultado seja um falso positivo, isso mostra que é possível que um malware acesse esses dados sem ser detectado, mesmo quando o sistema executa antivírus. Além disso, como os dados criptografados são específicos do usuário, nenhum prompt do UAC será acionado por um aplicativo que tente acessar esses dados. Antes de pensar que isso é uma falha no sistema operacional, é assim que tem que ser, caso contrário, o IE e um host de outros aplicativos do Windows que utilizam o armazenamento protegido acionam um prompt do UAC toda vez que são abertos..
E se meu computador for roubado?
A resposta simples é que esses dados são tão seguros quanto a senha da sua conta do Windows. Como mostramos acima, quando você faz login na conta usando a senha apropriada, todos esses dados ficam facilmente acessíveis. Se você não usa senha, você não tem proteção.
Para levar isso mais adiante, fiz uma redefinição da senha da conta para ver o que aconteceria quando a senha fosse alterada com força fora do Windows. Após a redefinição, salvei uma nova senha de endereço do Gmail (blah @) e executei o IE PassView. Consegui ver o nome de usuário anterior (myemail @) que foi salvo antes da redefinição da senha, mas como as senhas da conta (ou seja, “senha mestra”) usadas para salvar os dados são diferentes, não foi possível descriptografar o IE senha salva com a senha anterior da conta do Windows. Isso é definitivamente uma coisa boa.
Conclusão
No final do dia, a segurança de suas senhas salvas do IE depende totalmente do usuário:
- Use uma senha de conta do Windows muito forte. Tenha em mente que existem utilitários que podem decifrar as senhas do Windows. Se alguém obtiver a senha da sua conta do Windows, eles terão acesso às suas senhas salvas do IE.
- Proteja-se contra malware. Se os utilitários puderem acessar facilmente suas senhas salvas, por que não?
- Salve suas senhas em um sistema de gerenciamento de senhas como o KeePass. Claro, você perde a conveniência de ter o navegador preenchendo suas senhas automaticamente.
- Use um utilitário de terceiros que se integra com o IE e usa uma senha mestra para gerenciar suas senhas.
- Criptografe todo o seu disco rígido usando TrueCrypt. Isto é completamente opcional e para o ultra-protetor, mas se alguém não puder descriptografar seu disco, eles certamente poderão obter algo dele.
Claro que ambos vão sem dizer, mas isso apenas reforça a importância de tomar medidas para manter seu sistema seguro.
Baixe o IE PassView da NirSoft