Por padrão, o Google gerencia sua chave de criptografia, mas permite configurar a criptografia no dispositivo, que funciona de forma semelhante a uma arquitetura de conhecimento zero. Suas senhas são criptografadas antes de serem salvas no seu dispositivo e você gerencia a chave. Independentemente de como funciona a criptografia, o Google usa AES, que ainda é o padrão ouro de segurança entre gerenciadores de senhas.
Anteriormente, period trivial descriptografar senhas do Chrome, exigindo pouco mais do que um script Python e conhecimento de onde os arquivos estão armazenados. Mas mesmo aí, o Google aumentou a barreira de segurança. A criptografia vinculada a aplicativos invalidou esses métodos, e a quebra de senhas é muito mais complicada do que costumava ser. Além disso, o Google integrou-se ao Home windows Hi there. Se desejar, você pode fazer com que o Home windows Hi there proteja suas senhas sempre que fizer login, solicitando seu PIN ou autenticação biométrica.
Outros navegadores não são tão seguros. Firefox, por exemplo, deixa claro queembora as senhas salvas no Firefox sejam criptografadas, “alguém com acesso ao perfil de usuário do seu computador ainda pode vê-las ou usá-las”. O Courageous funciona de maneira semelhante, embora eu suspeite que a maioria das pessoas que usam o Courageous já esteja usando um gerenciador de senhas de terceiros (e provavelmente uma VPN).
Independentemente disso, armazenar suas senhas mesmo em um navegador menos seguro como o Firefox é muito melhor do que não usar nenhum gerenciador de senhas. E os navegadores que lideram a participação de mercado, o Chrome e o Safari, melhoraram enormemente as suas práticas de segurança nos últimos anos. O problema não é a criptografia – é colocar todos os ovos na mesma cesta.
Vamos conversar sobre segurança operacional
OpSec, ou segurança operacional, é normalmente um termo usado quando se fala sobre dados confidenciais em organizações governamentais ou privadas, mas você pode analisar sua própria segurança através das lentes do OpSec. Se você fosse um invasor e quisesse roubar as senhas de alguém, como faria isso? Eu sei onde procuraria primeiro.
Mesmo com melhores medidas de segurança, o objetivo de um gerenciador de senhas baseado em navegador é fazer com que as pessoas usem gerenciadores de senhas. Isso deve ser equilibrado com a facilidade de uso do gerenciador de senhas. Em uma postagem no blog ao anunciar mudanças nos métodos de autenticação do Google a partir do Google I/O este ano, a empresa menciona a redução do “atrito” sete vezes, enquanto a “criptografia” não é mencionada. Isso não é uma coisa ruim, mas é uma prova de como essas ferramentas são projetadas.
Você não precisa escolher palavras de uma postagem de weblog para ver esse foco. O Google oferece a opção de ativar o Home windows Hi there ou a autenticação biométrica com o Gerenciador de senhas do Google. Cada vez que quiser preencher uma senha, você precisará se autenticar. Isso é sem dúvida mais seguro do que não autenticar todas as vezes, mas a configuração está desativada por padrão. Isso cria atrito.
