Há algum tempo, discutimos se você deveria permitir que o navegador memorizasse suas senhas.
Nesse artigo, mencionamos a importância da criptografia.
“Comum gerenciador de senhas do navegador, alguém com acesso ao seu navegador poderia ver suas senhas em texto simples, embora Windows configurar Windows para solicitarautenticação(a mesma que você usa ao iniciar o dispositivo).”
O comportamento típico dos gerenciadores de senhas dos navegadores é armazenar as senhas criptografadas no disco, vinculadas à sua conta de usuário e protegidas pelo sistema operacional.
No entanto, recentemente, um pesquisador de segurança testou sistematicamente todos os principais navegadores baseados no Chromium para verificar como eles lidam com credenciais na memória. O pesquisador descobriu que Edge o único que carregava todo o cofre de senhas na memória do processo em texto simples ao iniciar, onde permanece durante toda a sessão.
Observou-se que Chrome outros navegadores baseados no Chromium apenas descriptografam uma senha quando necessário (preenchimento automático ou “mostrar senha”), e não todo o cofre, além de utilizarem mecanismos como a criptografia vinculada ao aplicativo para as chaves. Edge essas proteções nesse contexto.
Assim, o pesquisador decidiu criar uma prova de conceito (PoC) para demonstrar que o acesso a esse cofre não depende de vulnerabilidades zero-day nem de explorações complexas. Ele se baseia na capacidade relativamente simples de ler a memória do processo, o que, no entanto, requer privilégios elevados.
Mas quando o pesquisador comunicou o problema à Microsoft, a resposta foi decepcionante. A resposta oficial da empresa foi que esse comportamento é “intencional”. O raciocínio provável é que esse comportamento agiliza o login e o preenchimento automático, e que os invasores já precisariam de um computador comprometido ou acesso com privilégios elevados para ler a memória RAM — o que a Microsoft considera fora do escopo dessa decisão de design.
O que, basicamente, é verdade. Um invasor já precisa de uma base de acesso significativa: por exemplo, a execução de código no sistema e a capacidade de ler a memória Edgeprocesso Edge, o que muitas vezes exige privilégios elevados. Não se trata de uma vulnerabilidade remota e sem autenticação no navegador, mas o design facilita a coleta de credenciais após a invasão. E essa é uma capacidade que muitos programas de roubo de informações já possuem.
É apenas mais uma coisa que um invasor pode fazer depois de ter comprometido o seu computador. Somado a este estudo acadêmico de 2024, que constatou que muitos gerenciadores de senhas vazam senhas em texto simples para a memória em determinadas condições, isso nos leva a reiterar nossa recomendação.
Você deve permitir que seu navegador salve suas senhas?
O gerenciador de senhas do seu navegador oferece praticidade, mas isso tem um custo em termos de segurança. É claro que os gerenciadores de senhas também não são infalíveis, por isso é importante decidir por conta própria onde você armazena suas senhas.
Se você tiver certeza de que o site é seguro e de que ninguém que acesse a sua conta descobrirá nada de novo, fique à vontade para salvar a senha no navegador, mas desative o preenchimento automático para manter o controle.
Sempre que possível, usea autenticação multifatorial (MFA). Isso reduz significativamente o risco caso alguém consiga obter sua senha. Além disso, evite usar o gerenciador de senhas do navegador para armazenar dados de cartão de crédito ou outras informações pessoais confidenciais, como dados médicos.
Mas gostaríamos de acrescentar que, entre os principais navegadores, Edge ser a opção menos recomendável caso você ainda opte por usar um gerenciador de senhas integrado.
Impedir que as ameaças causem qualquer dano.
Browser Guard Malwarebytes Browser Guard páginas de phishing e sites maliciosos automaticamente. É gratuito e se instala com um clique. Adicione-o ao seu navegador →
