Uma das ferramentas mais convenientes que os navegadores oferecemé a capacidade de salvar e preencher automaticamente suas senhas nos formulários de login. Como muitos sites exigem contas e é sabido (ou deveria ser pelo menos) que o uso de uma senha compartilhada é um grande não-não, um gerenciador de senhas é quase essencial.
Portanto, se você é um usuário do IE e responde "sim" para permitir que o navegador lembre sua senha, qual é o grau de segurança dessas informações?
Onde eles são salvos?
A partir do Internet Explorer 7, as senhas sãoarmazenados no registro do sistema (KEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerIntelliFormsStorage2) e criptografados com a senha de login do usuário do Windows usando a API de proteção de dados que utiliza a criptografia Triple DES.
Quão seguros são esses dados?
No momento da redação deste artigo, o Triple DES épraticamente inquebrável por métodos de força bruta. No entanto, realmente não há necessidade de forçar com força a criptografia depois que você estiver conectado à conta do Windows em que seus dados de senha são armazenados, pois o Windows assume que, uma vez logado, é seguro que os aplicativos acessem esses dados. Como o IE não utiliza uma senha mestra (como o Firefox oferece) para proteger suas senhas salvas, a senha da conta do Windows é a chave de descriptografia Triple DES.
Simplificando, se você pode efetuar login no Windows com oconta e senha, você pode ver as senhas salvas do navegador. Usando um utilitário disponível gratuitamente, como o IE PassView da NirSoft, você pode visualizar e exportar todas as senhas salvas no IE.
Então, o malware pode acessar isso?
Depois de ver como é fácil acessar esses dados,a próxima pergunta lógica é: o malware pode acessar facilmente esses dados. Não sou desenvolvedor de malware, mas não vejo nenhum motivo para isso. Se eu digitalizar o utilitário IE PassView usando o Virus Total, você poderá ver 55% dos scanners que eles detectam como malware (um dos quais é o Security Essentials).
Enquanto no nosso caso o resultado é um falso positivo,isso mostra que é possível que um malware acesse esses dados sem ser detectado, mesmo quando o sistema executa o antivírus. Além disso, como os dados criptografados são específicos do usuário, nenhum prompt do UAC será acionado por um aplicativo que está tentando acessar esses dados. Antes de pensar que essa é uma falha no sistema operacional, é assim que realmente deve ser o IE, e uma série de outras aplicações Windows que utilizam o armazenamento protegido acionam um prompt do UAC toda vez que são abertas.
E se meu computador for roubado?
A resposta simples é que esses dados são tão seguros quantoa senha da sua conta do Windows. Como mostramos acima, quando você faz login na conta usando a senha apropriada, todos esses dados são facilmente acessíveis. Se você não usa senha, não tem proteção.
Para dar um passo adiante, redefini osenha da conta para ver o que aconteceria quando a senha fosse alterada forçosamente fora do Windows. Após a redefinição, salvei uma nova senha de endereço do Gmail (blah @) e executei o IE PassView. Consegui ver o nome de usuário anterior (myemail @) que foi salvo antes da redefinição da senha, mas como as senhas da conta (ou seja, “senha mestra”) usadas para salvar os dados são diferentes, não foi possível descriptografar o IE senha salva com a senha anterior da conta do Windows. Definitivamente, isso é uma coisa boa.
Conclusão
No final do dia, a segurança das senhas salvas no IE depende totalmente do usuário:
- Use uma senha de conta do Windows muito forte. Lembre-se de que existem utilitários que podem decifrar senhas do Windows. Se alguém obtiver a senha da sua conta do Windows, eles terão acesso às senhas salvas do IE.
- Proteja-se contra malware. Se os utilitários conseguem acessar facilmente suas senhas salvas, por que o malware não pode?
- Salve suas senhas em um sistema de gerenciamento de senhas como o KeePass. Obviamente, você perde a conveniência de fazer com que o navegador preencha automaticamente suas senhas.
- Use um utilitário de terceiros que se integre ao IE e use uma senha mestra para gerenciar suas senhas.
- Criptografe todo o seu disco rígido usando TrueCrypt. Isso é totalmente opcional e é ultraprotetor, mas se alguém não puder descriptografar sua unidade, certamente poderá obter algo disso.
É claro que os dois são óbvios, mas isso apenas reforça a importância de tomar medidas para manter seu sistema seguro.
Faça o download do IE PassView da NirSoft
