hfilipe Escreveu: nem sabia que eram guardadas em plain text
A facilidade do
browser guardar as
passwords para simplificar a entrada em sites, implica que estas possam ser escritas pelo
browser no lugar do utilizador. Em vez de ser a pessoa a escrever, é o
browser que escreve.
Portanto, para isto funcionar, as
passwords têm de ser guardadas em
plain text, ou o mais provável, num formato encriptado que seja reversível. A surpresa aqui foi a facilidade com que é possível a um programa (neste caso o
Chrome) aceder a essas passwords, bem como, dentro do
Chrome e do
Firefox, consultar essa informação.
lynxpardinus Escreveu:Nuno, isto não é extremamente desaconselhado de um ponto de vista de segurança de informação?
Nim...
Não há uma solução bonita aqui. É uma questão de escolher padrões de utilização. O problema é que isso nem sempre é claro para nós, como utilizadores.
Neste caso, o padrão que a Mozilla e a Google escolheram, foi o de assumir que a segurança de um utilizador é dada pelo sistema e garantida pelo
login individual.
Se eu tiver um computador e esse computador é para ser utilizado por mais do que uma pessoa, então cada pessoa deve ter o seu utilizador individual no computador. O sistema operativo (Windows, Linux, OSX, whatever) deve garantir a privacidade de cada conta.
A alternativa, seria obrigar um utilizador a inserir uma palavra-passe quando faz login no sistema operativo e mais uma
password para aceder à BD de
passwords do
browser, antes de conseguir que estas sejam preenchidas automaticamente. Esta alternativa está a repetir funcionalidade que deve ser garantida pelo sistema operativo e a lançar mais uma camada de complexidade.
Se abdicar de ter um utilizador por pessoa, então todas as pessoas partilham o mesmo espaço no computador e só por aí a privacidade já está comprometida.
Conforto, ou segurança?
O conforto implica alguns riscos.
A segurança implica trabalho adicional:
- Olha, posso ver uma cena na internet aí no teu computador?- Claro! Deixa-me só configurar uma conta de Guest, fazer logout e ficas à vontade. Esta questão vem relembrar a regra de que nunca devem reutilizar
passwords!
A esse propósito, uma sugestão é usar
passwords simples, mas longas.
Este
site permite gerar passwords, e inclui o
comic XKCD que o inspirou.