Uma pergunta comum sobre o navegador Google Chrome é “por que não existe uma senha mestra?” O Google (não oficialmente) assumiu a posição de que uma senha mestra fornece uma falsa sensação de segurança e a forma mais viável de proteção para esses dados confidenciais é por meio da segurança geral do sistema.
Qual é o nível de segurança dos seus dados de senha salvos no Google Chrome?
Ver senhas salvas
O Chrome inclui seu próprio gerenciador de senhas, que pode ser acessado em Opções> Coisas pessoais> Gerenciar senhas salvas. Isso não é nenhuma novidade e se você permitir que o Chrome armazene suas senhas, provavelmente já conhece esse recurso.
Um bom toque de segurança secundária é que você deve primeiro clicar no botão Mostrar ao lado de cada senha que deseja visualizar.
Embora não haja nenhuma restrição para acessar esta tela (ou seja, se você tiver acesso à área de trabalho onde o Chrome está instalado, você pode obter as senhas), há pelo menos a intervenção do usuário necessária para visualizar cada senha, sem como exportá-las em massa para um arquivo de texto simples.
Onde os dados da senha são armazenados?
Os dados de senha salvos são armazenados em um banco de dados SQLite localizado aqui:
% UserProfile% \ AppData \ Local \ Google \ Chrome \ User Data \ Default \ Login Data
Você pode abrir este arquivo (o nome do arquivo é apenas “Dados de Login”) usando o SQLite Database Browser e visualizar a tabela de “logins” que contém as senhas salvas. Você notará que o campo “password_value” está ilegível porque o valor está criptografado.
Quão seguros são os dados criptografados?
Para realizar a criptografia (no Windows), o Chrome usa uma função API fornecida pelo Windows que torna os dados criptografados apenas decifráveis pela conta de usuário do Windows usada para criptografar a senha. Então, essencialmente, sua senha mestra é a senha da sua conta do Windows. Como resultado, assim que você estiver conectado ao Windows usando sua conta, esses dados podem ser decifrados pelo Chrome.
No entanto, como a senha da sua conta do Windows é uma constante, o acesso à “senha mestra” não é exclusivo do Chrome, pois utilitários externos podem obter esses dados - e descriptografá-los - também. Usando o utilitário gratuito ChromePass da NirSoft, você pode ver todos os dados de senha salvos e exportá-los facilmente para um arquivo de texto simples.
Portanto, faz sentido que, se o utilitário ChromePass puder acessar esses dados, o malware executado pelo respectivo usuário também possa acessá-los. Quando o ChromePass.exe é carregado no VirusTotal , pouco mais da metade dos mecanismos antivírus o sinalizam como perigoso. Embora neste caso o utilitário seja seguro, é um pouco reconfortante ver que esse comportamento é, no mínimo, sinalizado por muitos pacotes AV (embora o Microsoft Security Essentials não seja um dos mecanismos AV que o relataram como perigoso).
A proteção pode ser contornada?
Suponha que seu computador seja roubado e o ladrão redefine sua senha do Windows para fazer o login nativo em sua instalação. Se eles tentassem posteriormente visualizar as senhas no Chrome ou usar o utilitário ChromePass, os dados da senha não estariam disponíveis. O motivo é simples, pois a “senha mestra” (que era a senha da sua conta do Windows antes de serem redefinidos forçosamente fora do Windows) não corresponde e a descriptografia falha.
Além disso, se alguém simplesmente copiar o arquivo de banco de dados SQLite da senha do Chrome e tentar acessá-lo em outro computador, o ChromePass exibirá as senhas vazias pelo mesmo motivo explicado acima.
Conclusão
No final das contas, a segurança das senhas salvas do Chrome depende totalmente do usuário:
- Use uma senha de conta do Windows muito forte. Lembre-se, existem utilitários que podem decifrar senhas do Windows . Se alguém obtiver a senha da sua conta do Windows, terá acesso às senhas salvas do navegador.
- Proteja-se contra malware. Se os utilitários podem acessar facilmente suas senhas salvas, por que o malware não pode?
- Salve suas senhas em um sistema de gerenciamento de senhas como o KeePass. Claro, você perde a conveniência de ter o navegador preenchendo automaticamente suas senhas.
- Use um utilitário de terceiros que se integra ao Chrome e usa uma senha mestra para gerenciar suas senhas.
- Criptografe todo o disco rígido usando TrueCrypt. Isso é totalmente opcional e para a ultra protetora, mas se alguém não pode descriptografar sua unidade, certamente não conseguirá tirar nada dela.
O resultado final é simplesmente manter seu sistema seguro e suas senhas do Chrome também devem ser razoavelmente seguras.
