Segurança (ou falta de): é possível ver senhas salvas no Chrome e Firefox

Por Redação | 07 de Agosto de 2013 às 13h15

O navegador do Google, o Chrome, está armazenando as senhas salvas dos usuários no navegador em texto simples, permitindo que qualquer combinação seja facilmente visualizada por qualquer pessoa que tenha acesso ao computador. O Chrome tem armazenado as senhas dessa forma desde seu lançamento, em 2008.

Ao acessar chrome://settings/passwords, qualquer pessoa usando o computador do usuário poderá visualizar uma lista completa com todas as senhas salvas no sistema e, com apenas um clique no botão "Mostrar", ao lado das senhas, pode vê-las em texto simples. Os termos de uso do Google afirmam que o usuário "expressamente entende e concorda que o Google, suas subsidiárias, afiliadas e seus licenciadores não serão responsáveis (...) por sua falha em manter sua senha em segurança e confidencial".

O Chrome, no entanto, não é o único navegador que armazena senhas em texto simples, o Firefox, da Mozilla, também possui um sistema de armazenamento semelhante. Ao clicar na aba Firefox no canto superior esquerdo do navegador, selecionar 'Opções', depois clicar em 'Opções' novamente, depois na aba 'Segurança' e em 'Senhas Salvas', os usuários podem facilmente visualizar todas as senhas salvas no navegador.

Clicando sobre o botão 'Mostrar Senhas', o Firefox pergunta ao usuário se ele realmente deseja visualizar todas as senhas armazenadas e, clicando em 'sim', as senhas são apresentadas em texto simples. O Firefox oferece uma senha mestra para proteger todas as outras senhas armazenadas no navegador, enquanto o Chrome não possui nem essa opção.

Nos dois navegadores, as senhas são salvas assim que os usuários selecionam as opções 'lembrar' (Firefox) e 'salvar' (Chrome) quando entram em um site. Uma vez que os usuários acessam o gerenciador de senhas, eles podem optar por cancelar o armazenamento de senhas no Chrome, retirando-as e bloqueando sua exibição em texto simples, e no Firefox, os usuários podem também escolher remover todas as combinações armazenadas.

A Mozilla afirma que o Firefox possui dois tipos de armazenamento de senhas. "A opção padrão é para ofuscar levemente essas senhas, então elas podem ser resgatadas caso você as esqueça e esta opção costuma ser a ideal para as pessoas que não compartilham o mesmo computador", afirmou um porta-voz da empresa ao ITNews. "Para aqueles com mais problemas de segurança, o Firefox pode proteger as informações sensíveis como senhas salvas e certificados, criptografando-os usando uma chave mestra. Nós deixamos estas opções claras para os usuários no site de suporte da Mozilla".

Ty Miller, CEO da Threat Intelligence, afirmou ao ITNews que tem conhecimento dessa prática há algum tempo. "Isso é uma preocupação. Eu sei que muito se fala sobre uma senha para acessar e revelar as senhas em texto simples. Definitivamente, vale a pena os navegadores realmente assegurarem isso porque é uma característica surpreendente para um grande número de profissionais de segurança", disse.

O especialista ainda ressaltou que centenas de pessoas compartilham computadores em suas casas e que a possibilidade de acessar senhas salvas nos navegadores pode ser usada por familiares ou amigos interessados em ter acesso às suas contas.

Em contrapartida, Jason Edelstein, diretor de tecnologia da Sense of Security, afirmou que não sabia sobre a prática e que acredita que este não é um motivo para grandes preocupações, já que a chance de alguém utilizar seu computador pessoal sem autorização é muito baixa. "Seria um grande problema se as pessoas salvassem suas senhas em quiosques ou em algum lugar compartilhado", explicou. "E, certamente, em sites de bancos e outros que definem um sinalizador no HMTL para salvar senhas sensíveis que definem a função autocompletar". De qualquer forma, Edelstein também acredita que o Chrome e o Firefox devem ter um aviso explicando sobre o armazenamento de senhas assim que o usuário optar por essa função.

Fique por dentro do mundo da tecnologia!

Inscreva-se em nossa newsletter e receba diariamente as notícias por e-mail.