Redes sociais, internet banking, sites de compras e tantos outros. Qualquer conta que criamos no ambiente web exige uma senha. Necessária para proteger nossos dados, a explosão delas criou um outro problema: memorizá-las. Nesse contexto, os gerenciadores de senhas têm ganhado popularidade. Muitos usuários, entretanto, ainda recorrem ao sistema de armazenamento de senhas do próprio navegador, mas isso é realmente seguro?
Primeiramente, é necessário entender como funciona o armazenamento de senhas no navegador. Toda vez que você aceita que o Chrome salve seu nome de usuário e senha, os dados são guardados em um banco de dados SQLite3 dentro do seu computador, que só pode ser acessado pelo próprio browser. As informações são criptografadas, e só podem ser descriptografadas quando o seu usuário estiver logado, evitando assim que a senha seja “lembrada” pelo Chrome quando outro usuário estiver utilizando o PC.
Senhas armazenadas no Chrome podem ser ‘lidas’ Crédito: ESET/Divulgação
O problema começa quando alguém mal intencionado consegue acessar o computador, como explica Daniel Kundro, pesquisador de malware da ESET América Latina. “Ele pode facilmente obter as senhas, descriptografá-las e roubá-las em texto simples. Esse tipo de comportamento foi observado em vários códigos maliciosos e até mesmo em trojans bancários direcionados especificamente para a América Latina, onde se destinam a roubar credenciais de acesso de serviços home banking”, comenta Daniel Kundro, pesquisador de malware da ESET América Latina.
Um editor simples, como o DB Browser for SQLite, consegue acessar o banco de dados com as informações de login e senha, apesar desta estar criptografada em estrutura BLOB (binary large object). E como o invasor já tem acesso ao computador, pode descriptografar a senha com a função CryptUnprotectData. “Todas essas etapas podem ser realizadas por um malware de forma rápida e automática. No entanto, o malware não é o único risco que devemos ter em conta, uma vez que atualmente existem vários programas facilmente acessíveis por meio de uma pesquisa online que são capazes de realizar esses mesmos passos”, explica Kundro.
Em conclusão, a utilização do gerenciador de senhas do Chrome, ou de qualquer outro navegador, é arriscada. Para garantir um nível maior de segurança, os gerenciadores de senhas como LastPass ou o 1Password seguem como uma alternativa mais confiável. Em todo caso, se você tiver que usar a função nativa do navegador, ao menos evite fazê-lo em sites como bancos ou redes sociais, que armazenam um grande número de informações pessoais.