Há algum tempo, discutimos se se deve permitir que o navegador guarde as suas palavras-passe.
Nesse artigo, referimos a importância da encriptação.
«Comum gestor de palavras-passe do navegador, alguém com acesso ao seu navegador poderá ver as suas palavras-passe em texto simples, embora Windows configurar Windows para solicitarautenticação(a mesma que utiliza ao iniciar o seu dispositivo).»
O comportamento habitual dos gestores de palavras-passe dos navegadores consiste em armazenar as palavras-passe encriptadas no disco, associadas à sua conta de utilizador e protegidas pelo sistema operativo.
No entanto, recentemente, um investigador de segurança testou sistematicamente todos os principais navegadores baseados no Chromium para verificar como estes gerem as credenciais na memória. O investigador descobriu que Edge o único a carregar todo o cofre de palavras-passe na memória do processo em texto simples no arranque, onde permanece durante toda a sessão.
Verificou-se que Chrome outros navegadores baseados no Chromium apenas descodificam uma palavra-passe quando necessário (preenchimento automático ou «mostrar palavra-passe»), e não todo o cofre, e utilizam mecanismos como a encriptação vinculada à aplicação para as chaves. Edge utiliza essas proteções neste contexto.
Assim, o investigador decidiu criar uma demonstração de viabilidade (PoC) para mostrar que o acesso a esse cofre não depende de vulnerabilidades zero-day nem de explorações complexas. Baseia-se na capacidade relativamente simples de ler a memória do processo, o que requer privilégios elevados.
Mas quando o investigador comunicou o problema à Microsoft, a resposta foi dececionante. A resposta oficial da empresa foi que esse comportamento é «intencional». O raciocínio provável é que esse comportamento acelera o processo de início de sessão e o preenchimento automático, e que os atacantes já precisariam de um computador comprometido ou de acesso com privilégios elevados para ler a memória RAM, o que a Microsoft considera fora do âmbito desta decisão de conceção.
O que, no fundo, é verdade. Um atacante já precisa de um ponto de apoio significativo: por exemplo, a execução de código no sistema e a capacidade de ler a memória Edgeprocesso Edge, o que muitas vezes requer privilégios elevados. Não se trata de uma falha remota e não autenticada no navegador, mas a sua conceção facilita a recolha de credenciais após a invasão. E essa é uma capacidade que muitos programas de roubo de dados já possuem.
É apenas mais uma coisa que um invasor pode fazer depois de ter comprometido o seu computador. Em conjunto com este estudo académico de 2024, que revelou que muitos gestores de palavras-passe divulgam palavras-passe em texto simples na memória em determinadas condições, isso leva-nos a reiterar o nosso conselho.
Deve permitir que o seu navegador memorize as suas palavras-passe?
O gestor de palavras-passe do seu navegador oferece-lhe facilidade de utilização, mas isso tem um custo em termos de segurança. É claro que os gestores de palavras-passe também não são infalíveis, por isso é importante decidir por si mesmo onde guardar as suas palavras-passe.
Se tiver a certeza de que o site é seguro e de que ninguém que aceda à sua conta descobrirá nada de novo, pode guardar a palavra-passe no seu navegador, mas desative o preenchimento automático para manter o controlo.
Sempre que possível, utilizea autenticação multifator (MFA). Isso reduz consideravelmente o risco caso alguém consiga obter a sua palavra-passe. Além disso, evite utilizar o gestor de palavras-passe do navegador para guardar os dados do seu cartão de crédito ou outras informações pessoais sensíveis, tais como dados médicos.
Mas acrescentaríamos que, entre os principais navegadores, Edge ser a opção menos recomendável se ainda assim optar por utilizar um gestor de palavras-passe integrado.
Impedir as ameaças antes que causem qualquer dano.
Browser Guard Malwarebytes Browser Guard automaticamente páginas de phishing e sites maliciosos. É gratuito e instala-se com um clique. Adicione-o ao seu navegador →
