Quão seguro é o gerenciador de senhas nos navegadores?

Os pontos anotados na resposta de Bob são todos válidos, então não vou me incomodar em repeti-los; no entanto, achei que algumas informações adicionais também podem ser úteis para alguns, já que sua pergunta é uma preocupação válida.

• O recurso Varinha do Opera permite que você especifique com que frequência solicitar sua senha mestra em Preferences > Advanced > Security > Ask for password com seleções como "Uma vez por sessão" (que, conforme Bob corretamente aponta, limita sua segurança), " x minutos / horas "(se você não se importa de mexer com .ini arquivos, pode personalizar sua própria frequência) e" Sempre que necessário "(obviamente, a opção mais segura, pois sua senha não será armazenada na memória durante a sua sessão de navegação). Eu não uso o Firefox, mas posso imaginar que há uma extensão similar disponível em algum lugar.

• Os dados do Wand são armazenados em um arquivo chamado, aguarde, wand.dat em um formato que pode ser decifrado com relativamente pouco esforço se nenhuma senha mestra for usada; se você fizer usar uma senha mestra, ela será criptografada usando um componente aleatório e sua senha mestra com um algoritmo que atualmente escapa de mim (deve ser fácil de pesquisar).

• Se você usar uma senha para um site cuja segurança é mais importante para você do que o login médio, basta escolher para não salvar a senha .

• As guias particulares do Opera (ou equivalentes em outros navegadores) permitem que você armazene os dados da sessão dessa guia separadamente das guias "normais", o que pode adicionar outra camada de segurança.

• O modelo de segurança usado no Chrome e seus derivados (ou seja, o sandbox de cada guia em um thread separado) dá-lhe ainda maior segurança.

• Você pode se proteger contra keyloggers e coisas assim regularmente:

  • atualizando seu software antivírus e firewall; e
  • alterando suas senhas.

Para resumir:

• O nível de segurança do seu navegador e o de seus logins dependem em grande parte de você.

• Se alguém fosse muito habilidoso e engenhoso, provavelmente conseguiria seus dados eventualmente apesar de todas as precauções acima, mas faria sua os dados do navegador são muito mais seguros e aumentariam o nível de sofisticação necessário para decifrar de forma significativa.

• Se você tiver um malware em seu computador, nenhuma senha inserida ou armazenada nele poderá ser considerada realmente segura. Mesmo senhas criptografadas, como bancos de dados do KeyPass, assim que você insere os detalhes necessários para descriptografá-lo, o invasor pode recuperar suas senhas.

• Normalmente, os navegadores não prestam muita atenção à segurança das senhas salvas, pelo menos não com as configurações padrão.

Let's say you get a trojan, which steals data from your PC. Can the trojan decrypt stored passwords by browsers, and use them?

Em uma palavra: sim. Os navegadores normalmente não criptografam senhas lembradas, para que possam ser lidas com esforço trivial. A criptografia com uma chave armazenada é inútil de qualquer maneira: se o navegador puder descriptografá-la, outros programas em execução no mesmo computador poderão fazer o mesmo.

Estou mais familiarizado com o Firefox, então irei com isso.

O Firefox permite que você defina uma 'senha mestra'. Se você fizer isso, ele criptografa as senhas armazenadas com a senha mestra. No entanto, por conveniência, você só precisa efetuar login usando essa senha mestra uma vez por sessão. Quando você está logado, as informações necessárias para descriptografar senhas salvas são armazenadas na memória e podem ser acessadas. Uma abordagem mais segura e complicada seria exigir que a senha mestra fosse digitada sempre que o Firefox fosse necessário procurar uma senha salva.

Mesmo que as senhas salvas estejam perfeitamente criptografadas e completamente inacessíveis, elas devem ser descriptografadas e inseridas em formulários da Web em algum momento. O que significa manter as senhas, não criptografadas, na memória. Na verdade, existem alguns ' asterisco revelador 'projetados para pegar essas senhas da memória e, bem, revelá-las. Malware teoricamente poderia fazer o mesmo.

E o malware também pode digitar você, permitindo que o invasor recupere qualquer senha digitada.

Existe um estudo muito aprofundado da segurança de senhas nos principais navegadores (IE, Chrome, FF) aqui . Resumindo, o Chrome e o IE10 dependem das rotinas de criptografia do Windows, que são consideradas strongs. No entanto, eles não protegem contra outros programas em execução no mesmo usuário , ou seja, são inúteis contra malware. Novamente, qualquer programa em execução (como Administrador) pode pegar informações da memória ou keylogging de qualquer maneira.

O método de criptografia é mais importante quando você considera a possibilidade de roubo de seus dados salvos para análise posterior, por exemplo, Alguém entrando e copiando seu ou roubando seu computador. Em geral, todos os navegadores modernos fazem um trabalho decente de proteção contra essa forma de ataque. O Firefox com uma senha boa e strong é novamente preferido, uma vez que os dados criptografados do Windows podem ser recuperados fazendo login na conta de usuário do Windows, e a senha do Windows não é mais totalmente segura. Observe que nada disso impedirá que um invasor seja determinado.

O NirSoft fornece uma ferramenta chamada "IEPassView", que pode descriptografar o Internet Explorer 8 e as senhas. Informações do sistema para o Windows podem fazer o mesmo; basta clicar na chave no topo.

NirSoft fornece ferramentas de "recuperação de senha" para muitos navegadores populares ( link ) - estas são uma boa "prova de conceito "para mostrar que o armazenamento de senha embutido não é seguro.

Lastpass e software como este são boas respostas convenientes. Embora não ofereçam total segurança (você ainda precisa fazer o básico, como firewall, antivírus, etc.), é uma boa maneira de gerenciar suas senhas. Também devido ao fato de que ele está armazenado na nuvem mágica, você pode acessá-los de qualquer lugar (ao contrário de alguns softwares locais onde você tem que armazenar na sua máquina para acessá-lo).