Proteger as senhas do Chrome com o WebBrowserPassView

1

Eu fiquei chocado com o que WebBrowserPassView pode mostrar - basicamente mostra todas as senhas que salvei na minha conta navegador (Chrome).

Eu acho que outros usuários no meu PC poderiam obter minhas senhas com facilidade também. Como me seguro?

    
por KcFnMi 10.04.2016 / 16:32

2 respostas

1

O Chrome "protege" suas senhas salvas com a DPAPI (API de proteção de dados) do Windows. A DPAPI possui dois modos de criptografia ou escopos: usuário e máquina.

Os dados protegidos no escopo da máquina são criptografados com uma chave por máquina. Cada usuário autenticado na máquina pode usar o DPAPI para desproteger esses dados, não importando qual usuário originalmente os protegeu.

Os dados protegidos no escopo do usuário são criptografados com uma chave por usuário. Essa chave é protegida por uma chave diferente derivada de sua senha do Windows. (Isso não está relacionado ao fato de que o Chrome exige que você insira sua senha do Windows para visualizar suas senhas salvas.) Felizmente, o Google Chrome usa esse modo.

Uma conseqüência interessante da criptografia de chave DPAPI por usuário é que os dados protegidos não podem ser descriptografados por outros usuários na máquina, nem mesmo pelos administradores, porque eles só podem obter um hash de sua senha, não o original. (Isso não os impede de instalar keyloggers ou outros programas de espionagem que rodam como você, é claro.) Se a sua senha do Windows for forçosamente redefinida - não for alterada com graça - os dados protegidos em seu escopo serão destruídos.

As contas do Chrome separadas não têm nada a ver com isso, porque a DPAPI está vinculada apenas ao usuário do Windows.

Portanto, a solução é que outras pessoas no computador usem suas próprias contas do Windows.

    
por 10.04.2016 / 20:01
0

Observe que o Chrome não suporta uma senha mestra para seu gerenciador de senhas / armazenamento interno. Isso significa que qualquer pessoa que esteja conectada à sua conta de usuário em seu computador pode ver suas senhas do Chrome em texto simples, e elas nem precisarão do WebBrowserPassView.

There’s no master password, no security, not even a prompt that “these passwords are visible”. Visit chrome://settings/passwords in Chrome if you don’t believe me.

Fonte: a estratégia de segurança de senhas insana do Chrome (mais detalhes sobre o mecanismo de armazenamento de senhas do Chrome neste artigo do blog)

Use um gerenciador de senhas de terceiros que ofereça suporte para uma senha mestra, como o KeePass ou o LastPass, para contornar esse problema. Caso você esteja disposto a usar outro navegador, o Firefox oferece suporte a uma senha mestra, tornando suas senhas invisíveis no WebBrowserPassView.

    
por 11.04.2016 / 09:44