Os gerenciadores de senhas são seguros para uso?

Você já sabe a importância de usar senhas fortes e as ameaças que enfrenta, se não o fizer. Para impor senhas fortes, muitos de nós usamos gerenciadores de senhas. Eles devem manter nossos dados em segurança, mas às vezes todos podem ter uma falsa sensação de segurança. Além disso, nem todos os gerenciadores de senhas oferecem o mesmo nível de segurança. Isso pode levar os hackers a usar ataques de força bruta e roubar sua identidade.


Os gerenciadores de senhas são seguros para uso?

Os gerenciadores de senhas são seguros para uso?

Gerenciadores de senhas e por que são usados

Os gerenciadores de senhas são aplicativos, extensões do navegador ou ferramentas usadas para armazenar todas as suas senhas com segurança. Isso inclui as inúmeras senhas que você cria em muitos sites como Amazon, Netflix ou YouTube ao se inscrever. Da mesma forma, você pode ter criado senhas fortes e difíceis de lembrar para seu e-mail, ISP, companhia telefônica e outras.

Você pode salvar todas essas senhas no aplicativo e bloqueá-lo criando uma senha diferente. Basicamente, para acessar todas as suas credenciais de login, você só precisa dessa. Essa é a senha que você possui para o gerenciador de senhas. Abra o aplicativo, escolha a senha do serviço que deseja usar, copie e cole. Alguns gerenciadores de senhas oferecem segurança adicional com opções como autenticação de dois fatores. Alguns oferecem facilidade de acesso com formulários de preenchimento automático, onde ele entra automaticamente nos campos de login de um serviço ou site.

Problemas com gerenciadores de senhas

Embora seja verdade que os aplicativos de gerenciamento de senhas provam oferecer mais comodidade no acesso à rede, você não pode ignorar as ameaças que eles representam. Especialmente quando você está usando uma extensão do navegador disponível com seu aplicativo gerenciador de senhas, as ameaças são enormes. Visitar um site que pode infectar seu dispositivo com malware torna seus dados vulneráveis ​​a vários ataques como XSS (Cross-Site Scripting) ou CSRF (Cross-Site Request Forgery).

O caso em questão é uma exploração de segurança anterior do LastPass, em que o site vulnerável provavelmente foi injetado com um script de espionagem. Isso pode verificar a extensão mencionada no navegador, se você a ativar durante a visita ao site. Uma notificação idêntica à do LastPass seria exibida na página informando que sua sessão expirou e que você precisa fazer login novamente. Se você clicar no link exibido, você será direcionado para um site de phishing semelhante à página de login do LastPass.

Quando você faz logon, o site malicioso verifica a API LastPass e confirma suas credenciais. Se estiverem corretos, o site solicitará que você insira o token de autenticação de dois fatores. Verificando com a API LastPass mais uma vez, o site envia seus detalhes para o servidor do hacker imediatamente. Mas se os detalhes do login estiverem incorretos, o script no site carregará uma mensagem de erro, solicitando que você tente novamente.

Outros problemas de segurança anteriores de Última passagem estão entregando aos hackers acesso completo a seus comandos RPC privilegiados internos e execução de código. O hacker também pode substituir mensagens legítimas e criar ataques de phishing semelhantes.

Internet insegura

O exemplo acima não é o único problema dos gerenciadores de senhas baseados em navegador que surgiram. Conforme o Network World, Keeper, 1Password e Dashlane também tiveram problemas de segurança.

Uma vulnerabilidade de segurança anterior do Keeper foi que a extensão injetou sua interface do usuário confiável em um site não confiável. Isso deixou aberto a ataques como CSRF, XSS e outros. Uma vulnerabilidade de segurança XSS universal foi detectada pelo Dashlane, que permitiria que os sites atacassem uns aos outros com explorações XSS e comprometessem cookies, credenciais de login e outros dados do usuário. Os problemas anteriores de segurança do 1Password levaram à desativação do modelo de segurança local, virtualização e sandboxing, entre outros recursos.

Essas questões são apenas dicas do iceberg

A cada dia, os hackers encontram maneiras mais inteligentes de atacar e os sites de phishing estão ficando cada vez melhores por serem indetectáveis. Vimos que vários gerenciadores de senhas têm o recurso de preenchimento automático ativado. De acordo com a Wired, preencher o formulário de login em uma página da web com suas credenciais salvas é a maior vulnerabilidade de segurança. De acordo com o Centro de Política de Tecnologia da Informação de Princeton, hackers que exploram essas vulnerabilidades de longa data em extensões de navegador da Web em gerenciadores de senhas são apenas o começo.

Os scripts avançados dos hackers podem rastrear esse recurso de preenchimento automático e roubar suas credenciais de login. Embora os números mostrem que esses ataques ocorreram em apenas mil sites até agora, podemos ter certeza de que eles estão apenas se preparando. Ao detectar uma violação de segurança, você pode alterar sua senha. No entanto, com essas vulnerabilidades, os detalhes do usuário serão roubados sem o seu conhecimento. Os gerenciadores de senhas não poderão salvá-lo quando isso acontecer.

Protegendo suas senhas

Então, os sites não o notificam se foram invadidos? Se essa pergunta estiver em sua mente, você deve saber que houve muitos casos em que os sites não fizeram nada para manter seus usuários informados. Mesmo quando grandes empresas como o Yahoo! e Uber teve uma violação de dados, os usuários não foram notificados. Portanto, mesmo que você confie em um gerenciador de senhas seguro, entenda que seus dados não podem ser protegidos de sites ou empresas que não possuem segurança adequada em seus sites.

Opinião das pessoas sobre gerenciadores de senhas

Muitas pessoas não concordam que os gerenciadores de senhas sejam seguros. Por exemplo, vejamos a opinião de Dave, que é programador em uma empresa de software, acredita que “Usar um gerenciador de senhas local é melhor, pois um serviço baseado em nuvem pode ser invadido facilmente. Além disso, faz sentido usar um cliente de gerenciamento de senhas se você precisar salvar centenas de credenciais de login, como eu, para fins comerciais. ”

No entanto, isso também não é uma maneira segura, de acordo com Matt, que é contador. Ele diz que gosta de depender de sua própria memória, em vez de confiar em algum dispositivo para salvar suas senhas valiosas. Segundo ele, todos os dispositivos são vulneráveis ​​e os dados podem ser roubados por alguém que tenha acesso físico aos seus dispositivos.

Uma visão semelhante é expressa por Rosie, uma estudante, que acredita: “Eu tenho o hábito de salvar minhas senhas em uma planilha protegida no MS Excel. Eu uso uma senha com mais de 20 caracteres, o que tenho certeza que é bastante difícil de decifrar. Não confio no armazenamento de dispositivo local ou baseado na nuvem mais do que na minha própria memória para proteger minhas informações mais sensíveis. ”  

Você deve usar um gerenciador de senhas?

Agora que você conhece todas as possíveis vulnerabilidades de segurança dos gerenciadores de senhas, deve parar de usar uma? O fato é que, se você tiver mais número de contas, é melhor usar uma, pois você obtém uma camada extra de segurança. É muito melhor do que não ter nenhum; não salvá-los apresenta riscos muito maiores do que ter um. Mas certifique-se de usar um gerenciador de senhas seguro e que ele atualize frequentemente sua segurança contra ataques de força bruta.   

De qualquer forma, nunca use extensões de navegador ou aplicativos de navegador integrados para gerenciamento de senhas, como o que você obtém com o Chrome. Em vez disso, use qualquer opção baseada em área de trabalho, pois elas oferecem a maior segurança e o recurso de preenchimento automático. Como backup, você também pode salvar suas senhas em um dispositivo ou arquivo criptografado.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map