7 respostas neste tópico

[creasy]

Deve-se ou não deixar as senhas memorizadas, e se isso, dificultaria o trabalho de keyloggers.

Qual opção é mais segura?

Editado por creasy, 21 fevereiro 2012 - 20:23.

[Anthmann]

Olá, creasy, e dou-lhe as boas vindas ao fórum do LD.

Pessoalmente, jamais escolho para guardar SEJA QUE SENHA FOR no "sistema", mesmo em pcs e notes que apenas eu utilize. Caso, por exemplo, o pc ou note esteja infetado por algum malware que "apanhe" senhas, isto dificultar-lhe-á a "vida".

Cumprimentos.

[creasy]

Olá, creasy, e dou-lhe as boas vindas ao fórum do LD.

Pessoalmente, jamais escolho para guardar SEJA QUE SENHA FOR no "sistema", mesmo em pcs e notes que apenas eu utilize. Caso, por exemplo, o pc ou note esteja infetado por algum malware que "apanhe" senhas, isto dificultar-lhe-á a "vida".

Cumprimentos.

Não sou novato, apenas criei a conta agora para tirar essa dúvida, mas já acompanho o fórum há tempos, de qualquer forma, obrigado

Mas e se estiver infectado por um keylogger, não estaria facilitando a vida?

[Anthmann]

Não sou novato, apenas criei a conta agora para tirar essa dúvida, mas já acompanho o fórum há tempos, de qualquer forma, obrigado 

Mas e se estiver infectado por um keylogger, não estaria facilitando a vida?

Olá de novo, amigo creasy, e de nada!

Aproveito para referir que eu, desde 2001? 2002? 2003? (já não recordo o ano exacto), já acompanhava o "antigo" fórum do linha defensiva (na altura www.linhadefensiva.com.br, acho), e desde 2005 o "novo" (já .org). E só em 2008 decidi começar a pagar as dívidas que tinha - e ainda tenho - para com ele. Bem, mais vale tarde que nunca, não concorda?

Se você estivesse infectado com um keylogger ou semelhante, aí teria sido... descuidado o suficente para tal.

Abraço.

Editado por Anthmann, 22 fevereiro 2012 - 18:14.

[creasy]

Olá de novo, amigo creasy, e de nada!

Aproveito para referir que eu, desde 2001? 2002? 2003? (já não recordo o ano exacto), já acompanhava o "antigo" fórum do linha defensiva (na altura www.linhadefensiva.com.br, acho), e desde 2005 o "novo" (já .org). E só em 2008 decidi começar a pagar as dívidas que tinha - e ainda tenho - para com ele. Bem, mais vale tarde que nunca, não concorda?

Se você estivesse infectado com um keylogger ou semelhante, aí teria sido... descuidado o suficente para tal.

Abraço.

Ué, e no outro caso não?

Se acesso um site confiável, e a única forma de roubarem a senha é através da infecção do computador, se fosse um keylogger eu seria descuidado, mas se fosse outro tipo de vírus não?

A questão é essa Anthmann:

- Se a senha senha está memorizada acho que dificultaria o trabalho do keylogger, pois não a digitaria mais. (apesar de não conhecer decerto o funcionamento do keylogger, me baseio por definição).

- Se a senha não está memorizada, acho que facilitaria o trabalho do keylogger, pois a digitaria sempre.

Se minhas pressuposições estiverem erradas, corrija-me, mas, se estiverem certas, não seria recomendável, deixá-las armazenadas?

[GiovaneMartins]

Olá,

Usar os gerenciadores de senhas dos navegadores oferece pouca segurança.

As senhas ficam armazenadas em arquivos conhecidos, e a maioria dos navegadores (senão todos) não usam criptografia nesses arquivos, assim qualquer um pode ver o que há neles. O Firefox, por exemplo, até o ano passado armazenava todas senhas salvas pelo usuário em um arquivo que usava o encoding Base64, que é realmente muito fácil de ser "decifrado", já que isso nem chega a ser uma criptografia propriamente dita.

Assim, um malware que conhecer o caminho do arquivo que armazena as senhas do navegador, poderá usá-lo para obter todas senhas salvas, mesmo assim com um pouco de dificuldade.

Porém, esse tipo de técnica ainda é rara, portanto não é um grande problema armazenas as senhas, desde que elas não sejam importantes, como senhas de serviços bancários ou lojas virtuais.

Com o mostrado acima, os keyloggers não são o problema, e sim alguns outros tipos de malwares. Um keylogger não vai conseguir capturar a senha salva, pois ele captura apenas as teclas e as vezes as imagens. Mesmo com a imagem, só poderá ser visto o e-mail ou nome de usuário, pois a senha será apenas aquele conjunto de asteriscos que conhecemos bem.

Há também aquele conhecido problema de mais de um usuário para o mesmo computador. Se eu usar o mesmo computador que você, e suas senhas estiverem salvas no navegador, eu poderei acessar suas contas, e ainda por cima, há meios que permitem que eu veja todos logins armazenados, em qualquer navegador. Se você for precisar levar a um técnico, também pode ser perigoso, a menos que ele seja de sua confiança.

Qual opção é mais segura?

A opção mais segura é não armazenar. A opção mais prática é obviamente armazenar. Existem extenções que podem ajudar a proteger suas senhas armazenadas, como o Master Password, para o FireFox (é possível que já exista também para o Chrome).

Esse aplicativo "obrigará" você a digitar uma senha mestra a cada vez que for necessário fazer o login em algum site, para depois ter acesso as senhas salvas no navegador.

Se a intenção é apenas não esquecer as senhas, você pode armazená-la em um simples .txt, em qualquer local do seu computador. Será fácil para alguém que tem acesso visualizar o arquivo, mas difícil para um malware, que não saberá que esse .txt armazena suas senhas.

Você também pode evitar de armazenar as senhas em qualquer lugar do seu sistema, simplesmente as anotando em um ou mais pepeis, e os mantendo em lugares seguros em que você saiba que não vai perder.

Acho que é isso.

[glass]

Olá creasy, se existe algum programa para gerenciamento de senhas, eu não recomendo o dos navegadores, na maior parte das vezes não são especializados. Eu recomendo o Keepass professional, ele guarda todas suas senhas em um banco de dados com criptografia pesada, da mesma utilizada pelo DoD, além disso usa o esquema da senha mestra, então você pode usar o criador de senhas para utilizar-se de senhas fortes em todos os serviços e só precisaria gravar a senha mestra.

Sobre a criptografia, aqui, retirado do site.

KeePass supports the Advanced Encryption Standard (AES, Rijndael) and the Twofish algorithm to encrypt its password databases. Both of these ciphers are regarded as being very secure. AES e.g. became effective as a U.S. Federal government standard and is approved by the National Security Agency (NSA) for top secret information.
The complete database is encrypted, not only the password fields. So, your user names, notes, etc. are encrypted, too.
SHA-256 is used as password hash. SHA-256 is a 256-bit cryptographically secure one-way hash function. Your master password is hashed using this algorithm and its output is used as key for the encryption algorithms.
In contrast to many other hashing algorithms, no attacks are known yet against SHA-256.
Protection against dictionary and guessing attacks: by transforming the final master key very often, dictionary and guessing attacks can be made harder.
In-Memory Passwords Protection: Your passwords are encrypted while KeePass is running, so even when the operating system caches the KeePass process to disk, this wouldn't reveal your passwords anyway.
[2.x] Protected In-Memory Streams: When loading the inner XML format, passwords are encrypted using a session key.
Security-Enhanced Password Edit Controls: KeePass is the first password manager that features security-enhanced password edit controls. None of the available password edit control spies work against these controls. The passwords entered in those controls aren't even visible in the process memory of KeePass.
The master key dialog can be shown on a secure desktop, on which almost no keylogger works. Auto-Type can be protected against keyloggers, too.
Also see the security information page.

[creasy]

Obrigado a todos. Ajuda de grande valia.