Não deixe o Google gerenciar suas senhas

Views: 269
0 0
Read Time:8 Minute, 8 Second

Os programas de gerenciamento de senhas existem desde os anos 90, e os principais navegadores adicionaram o gerenciamento de senhas como um recurso integrado no início dos anos 2000. Desde então, nós da PCMag aconselhamos tirar suas senhas do armazenamento inseguro do navegador e colocá-las em um gerenciador de senhas adequado e bem protegido. Naquela época, podíamos apontar para gerenciadores de senhas que extraíam senhas de seu navegador, as excluíam do navegador e desativavam a captura de senha baseada no navegador. Isso com certeza não parece seguro!

Felizmente, os navegadores progrediram e não deixam mais suas senhas tão abertas à manipulação externa. Se você quiser mudar para um gerenciador de senhas dedicado , por exemplo, provavelmente terá que exportar ativamente as senhas do navegador e importá-las para o seu novo produto.

Mas os navegadores progrediram o suficiente para que possamos recomendar o armazenamento de suas senhas neles? Especificamente, você deve usar o Gerenciador de senhas do Google, que é convenientemente integrado ao Chrome? Segundo especialistas, a resposta continua sendo um retumbante não.

Mesmo gerenciadores de senhas dedicados podem vazar

Para uma empresa baseada no gerenciamento de senhas, a confiança é tudo. Concorrentes sérios usam técnicas de conhecimento zero para proteger seus dados criptografados para que ninguém – nem a empresa de senhas, nem o governo, ninguém – possa saber sua senha mestra ou descriptografar seus dados.

Mesmo assim, erros na implementação podem colocar em risco a segurança da senha. Em uma série de revelações iniciadas em agosto passado, descobrimos que hackers comprometeram o computador de um funcionário importante do LastPass para roubar um número desconhecido de cofres de dados criptografados. Pior ainda, alguns elementos de dados importantes, como domínios de login, não foram criptografados. É difícil confiar no LastPass agora.

KeePass é o gerenciador de senhas favorito do técnico, em grande parte devido às suas infinitas possibilidades de personalização. Porém, esse mesmo poder de customização tem se revelado como uma espécie de calcanhar de Aquiles. Qualquer pessoa que obtenha acesso ao seu computador, seja usando um Trojan de acesso remoto ou sentando-se na sua ausência, pode roubar todas as suas senhas do Keepass . É uma simples questão de usar o Bloco de Notas para criar uma ação que exporte as senhas para texto simples e depois envie os dados resultantes para um drop na internet. Reconhecidamente, obter o acesso necessário pode ser difícil, mas a exploração é possível . Ou melhor, foipossível. A atualização mais recente do KeePass, 2.53.1, removeu a opção de exportar senhas sem exigir a entrada da senha mestra.

Como ativar ou desativar o Gerenciador de senhas do Google

Antes de decidir se você deve usar o Gerenciador de Senhas do Google, vamos revisar como você pode desligá-lo (ou iniciá-lo, se preferir). Primeiro, verifique se você ativou a sincronização em todas as instâncias do Chrome nas quais deseja compartilhar senhas. Clique no menu de três pontos no canto superior direito da janela do Chrome e clique em Configurações. O item superior no menu do lado esquerdo, intitulado You and Google, deve ser selecionado inicialmente; caso contrário, clique nele. Na caixa de diálogo resultante, você pode ativar ou desativar a sincronização.

(Crédito: Google)

Agora clique em Preenchimento automático, logo abaixo de Você e Google, e clique em Gerenciador de senhas. Se você quiser usar o Gerenciador de senhas do Google, ative os itens Oferecer para salvar senhas e Login automático. Se não, desligue-os.

Para saber mais, você pode ler Como dominar o gerenciador de senhas do Google . Não, não o recomendamos do ponto de vista da segurança; mas, sim, sabemos que algumas pessoas vão sacrificar a segurança por conveniência.

O que os especialistas dizem sobre os gerenciadores de senhas do navegador

Para complementar meu próprio conhecimento e experiência, chamei especialistas de várias empresas conhecidas de gerenciadores de senhas comerciais, incluindo Craig Lurey, cofundador e CTO da Keeper ; NordPassCTO Tomas Smalakys; e Michael Crandell, CEO da Bitwarden .

Os gerenciadores de senhas do navegador são convenientes, mas perigosos

Smalakys liderou com um alerta contra o uso do gerenciador de senhas de um navegador, dizendo: “Apesar dos contínuos avisos dos especialistas em segurança cibernética sobre as vulnerabilidades dos gerenciadores de senhas do navegador, os usuários da Internet continuam a cair no ‘Mas é conveniente!’ armadilha.” Lurey concordou, apontando que uma postagem recente no blog do Keeper apresentou uma longa lista de por que os gerenciadores de senhas do navegador não são seguros.

A criptografia de conhecimento zero é a razão pela qual os gerenciadores de senhas dedicados podem manter seus dados seguros sem nunca ter acesso à sua senha mestra. “O gerenciador de senhas do Google não usa criptografia de conhecimento zero”, afirmou Lurey. “Em essência, o Google pode ver tudo o que você salva. Eles têm um recurso ‘opcional’ para permitir a criptografia de senhas no dispositivo, mas mesmo quando ativado, a chave para descriptografar as informações é armazenada no dispositivo.”

Smalakys concordou que os dados armazenados no navegador não são protegidos da mesma forma que os dados de um gerenciador de senhas. “Os hackers usam métodos de engenharia social para induzir os usuários da Internet a baixar novas extensões que podem facilmente extrair dados armazenados em um navegador”, observou ele. Ele continuou dizendo: “Embora não haja nada de errado com o armazenamento de senhas na nuvem, uma empresa deve garantir que os dados dos usuários sejam criptografados antes de serem armazenados na nuvem. Portanto, os internautas devem escolher um provedor de serviços que garanta a criptografia de ponta a ponta.”

Crandell lançou um osso ao Google, dizendo: “Qualquer gerenciador de senhas é melhor do que nenhum gerenciador de senhas”, mas continuou alertando: “A limitação dos gerenciadores de senhas baseados em navegador é que eles funcionam apenas dentro de um jardim murado. Se você precisar operar em outro navegador ou em algum ambiente onde esse navegador não alcance, você está sem sorte.”

Os gerenciadores de senhas têm mais recursos

Lurey ofereceu uma longa lista de maneiras simples pelas quais o gerenciador de senhas integrado do Chrome não atende aos padrões dos programas de gerenciamento de senhas dedicados. Para começar, é específico do Chrome; se você usar outro navegador, estará no caminho certo. Não há opção para compartilhamento seguro de senhas, nem para estabelecer um herdeiro digital para sua coleção de senhas. O navegador armazena apenas senhas, não detalhes pessoais, como endereços, números de contas e cartões de crédito.

Crandell também destacou a falta de recursos importantes em sistemas de senha baseados em navegador. Ele observou que esses sistemas carecem de “compartilhamento seguro de senhas com colegas e familiares, suporte para login biométrico e chaves de segurança, relatórios sobre se suas senhas são fracas, reutilizadas ou violadas, integração com sistemas de trabalho como SSO e muitos outros características.

Smalakys disse: “Muitos navegadores não exigem uma senha mestra ou uma aprovação de autenticação multifator (MFA) ”. O Google permite o MFA, mas não o exige. E, de fato, não há senha mestra. Se você deixar sua mesa com o Chrome ativo, qualquer pessoa que tenha acesso poderá fazer login em suas contas. O mesmo é verdade se você permitir que outra pessoa use seu telefone.

Os navegadores bloqueiam você

“Tenha cuidado ao se trancar no jardim murado de qualquer grande empresa”, alertou Crandell. “É importante ter liberdade para trabalhar em todas as plataformas e ambientes, sejam navegadores, dispositivos móveis ou sistemas operacionais de desktop.”

Smalakys apontou o perigo de contas conectadas. “Em um cenário… usando um navegador Chrome, sua segurança depende de quão segura é a conta do Gmail conectada”, disse ele. “Se esta conta do Gmail for comprometida, um hacker pode, sem muito esforço, acessar todas as senhas das outras contas salvas no navegador.” Na mesma linha, Lurey observou que “o usuário deve confiar totalmente no Google para proteger suas informações”. Se sua conta do Google for violada, todas as suas senhas também serão.

Um navegador é projetado para navegação; o gerenciamento de senhas é uma reflexão tardia. “Gerenciadores de senhas dedicados estão se esforçando ao máximo para desenvolver um gerenciador de senhas seguro e passam por auditorias independentes para garantir essa segurança”, concluiu Smalakys. Crandell ofereceu um sentimento semelhante, dizendo: “Os principais gerenciadores de senhas se concentram 100% em permitir a segurança ideal e os muitos casos de uso de senhas, portanto, são mais ricos em recursos”.

Resumindo, obtenha um gerenciador de senhas real

O Gerenciador de senhas do Google não usa as técnicas de criptografia de conhecimento zero que protegem os dados de senha de todos, incluindo a empresa do gerenciador de senhas. Ele nem usa uma senha mestra. As ferramentas de senha dedicadas oferecem muitos recursos que você não obtém com um navegador integrado. E você só pode usar o sistema de senha do Google no Chrome (ou, até certo ponto, no Android). Estas são apenas algumas das razões pelas quais você deve obter um gerenciador de senhas real em vez de confiar no Chrome.

É extremamente conveniente que o Google Password Manager seja um recurso gratuito de um navegador gratuito. No entanto, essa não é uma razão boa o suficiente para aceitar segurança limitada para suas senhas. Avaliamos muitos gerenciadores de senhas gratuitos que oferecem proteção séria para suas senhas com o mesmo preço zero – use um deles.

FONTE: MEDIUM

POSTS RELACIONADOS