Sim. Os navegadores são gerenciamento incorreto de senhas. Como se trata de um artigo de opinião e por isso está indicado até no título, direi muito mal. Fatal. E isso é algo que eu pessoalmente não tinha apreciado até o lançamento do Firefox 79, agora no canal noturno da Mozilla. A versão que será lançada em agosto virá com uma nova função: a possibilidade de exportar todas as nossas credenciais para um arquivo CSV. No caso do Linux, neste momento ele nem pede senha para isso.
Embora eu tenha começado a falar sobre o Firefox, isso é algo que também acontece no cromo, incluindo a possibilidade de exportar nossas senhas para o arquivo CSV que está há muito tempo disponível na proposta do Google, que são dois dos navegadores mais usados no mundo e também é o caso de muitos outros que gerenciam senhas. Qual é o problema do meu ponto de vista? Na verdade, dois: a facilidade de fazer as coisas e a ausência de um aviso de que, se não adicionarmos uma senha mestra, todas as nossas senhas serão espionadas em questão de segundos. Tem solução? Sim, e do meu ponto de vista, há um muito simples que aprendemos com a Apple.
A Apple nos ensinou como os navegadores devem gerenciar senhas
Comparações são odiosas, especialmente em um blog como este, onde se espera que apenas o Linux seja discutido, mas às vezes é necessário cobrir um pouco mais. Com isso explicado, vamos falar um pouco sobre a empresa apple. A Apple nunca inventou nenhuma roda, isso é assim. A única coisa que a empresa dirigida por Tim Cook faz é pegar ideias que outros tiveram, às vezes melhorá-las e depois vendê-las como ninguém. Algo que eles melhoraram é o gerenciamento de senhas, e agora explico o porquê.
Embora os computadores que mais uso sempre tenham Linux, também tenho um iMac antigo e um laptop com Windows. Eu tive meu iMac sem senha por anos, até que a Apple lançou o iCloud Keychain e me disse que se eu quisesse usar esse recurso, teria que usar uma senha para o dispositivo. Eu coloquei. Agora, se eu quiser ver algumas das minhas senhas no Safari, tenho que colocar a senha do meu usuário (do sistema operacional). Se eu não colocar, não verei NADA. Nem eu nem ninguém pode acessar minhas credenciais. Essa é a coisa certa a fazer, sem dúvida. Não há senha mestra no navegador e o sistema operacional se encarregou de me informar que se eu quisesse ter minhas senhas nele, teria que definir uma senha para o login.
Como o Firefox e o Chrome manipulam senhas incorretamente
Embora eu nunca tenha considerado isso, e como expliquei acima, fiz isso com o lançamento do Firefox 79 e sua nova função, nem o Firefox nem o Chrome me pedem nada quando eu quero ver minhas senhas. Os navegadores assumem, suposição errada, que o usuário que acessou o navegador é o proprietário do computador ou alguém registrado nele. Portanto, no Firefox podemos ir para about: logins, acesso No sentido horário e ver todos os nossos usuários, as senhas sendo ocultadas. Mas, de que adianta estarem ocultos se podemos copiá-los para a área de transferência? De pouco. E a coisa não é diferente no Chrome: vamos em Preferences / Autocomplete e aí estão. Se tocarmos no ícone do olho, eles serão exibidos. O que pode dar errado?
Isso nos faz pensar em qualquer caso em que deixamos nosso computador para um amigo ou parente. Não sei, ver um vídeo de gatinhos no YouTube enquanto tomamos banho, por exemplo, para o jantar que combinamos para aquele dia. Não sabíamos que este amigo não é um bom amigo ou por qualquer motivo deseja obter nossa senha do Facebook. Tudo que você precisa fazer é ir para a seção de senhas, ver nosso nome de usuário, copie a senha e cole-a em um documento de texto. Esse amigo já tem acesso ao nosso Facebook. Assim tão fácil.
Este não será o caso no Firefox 79 para Windows, que nos pedirá a senha (do usuário da sessão) para exportar as senhas para o arquivo CSV ou copiá-las do Lockwise, mas no Firefox 77 atual permite-nos copiá-las sem inserir nada. O Firefox 79 para Linux continua permitindo que qualquer pessoa navegue em nosso arquivo de senhas como o Pedro em casa, mesmo que o usuário não seja exatamente o famoso Pedro.
Possíveis soluções que eles devem implementar agora
Em uma consulta que fiz ao Firefox via Twitter sobre a versão do Linux, fui informado que devo defina uma senha mestra para evitar esse problema. Que tal isso? Isso eu já sei, mas outros não. A solução não é adivinhar o que pode acontecer; a solução deve nos ser oferecida pelas empresas. Sempre que possível, eu não permitiria o acesso ao Lockwise sem inserir a senha do usuário (do sistema) e esqueceria a senha mestra. Se o acima não for possível, e no Windows é, os navegadores devem nos notificar disso como a Apple faz com uma mensagem como "ou você colocou uma senha mestra ou não poderá usar as chaves." O que eu acho que não é uma opção é o que existe hoje: se a gente não leva em conta e outra faz, fica exposto.
Então agora você sabe. As coisas podem melhorar, e pelo menos a versão do Firefox do Windows irá, mas hoje em dia, todos os navegadores, pelo menos no Linux, gerenciam as senhas incorretamente. Como eles não avisam o que pode acontecer se não configurarmos uma senha mestra, eu faço isso neste artigo, não temos que esquecer que é opinião.
É verdade, eu uso o Firefox e não sabia que poderia adicionar uma senha mestra às minhas credenciais. Se não fosse por este artigo, eu não teria descoberto. Os desenvolvedores não relatam no momento em que começamos a usar o Lockwise. É um incômodo.
Já estava começando a usar o Bitwarden porque achava que minhas senhas eram inseguras, você confia no Bitwarden ou acha que devo procurar outro gerente?
Bem, se eu entendi o escritor corretamente, os navegadores são culpados por usuários não conhecerem seus recursos (neste caso, a existência da senha mestra -um recurso que existe no Firefox desde o Paleolítico Inferior-).
Pelo que afirma o colunista, a solução para essa "falha" dos navegadores seria que a senha de acesso às contas salvas não fosse algo opcional para o usuário, mas algo obrigatório e pré-determinado pelo navegador. Deixando de lado que prefiro a liberdade de escolha de cada usuário para ajustar o navegador de acordo com suas preferências e circunstâncias. A senha mestra do Firefox tem um pequeno bug: Se você se registrar de acordo com quais sites, ele vai te avisar, toda vez que você os visitar, um aviso para você inserir a senha mestra (mesmo que não queira fazer o login naquele momento )
1. Não fazia ideia de que todas as minhas senhas eram tão fáceis de acessar.
2. Definir a senha mestra foi extremamente simples e eficiente.
Olhando para 1 e 2, um simples aviso sobre como desproteger as senhas salvas seria suficiente para evitar a maioria dos problemas.
Quando o dano potencial é tão grande e a solução tão simples, deixar de alertar sobre o risco torna-se negligência.
Eu entendo que desde que o escritor comprou aquele iMac, até que ele quis usar as Chaves do iCloud, não foi um problema que ninguém lhe pedisse credenciais para usar ou acessar as senhas salvas.
Ele teve a possibilidade de colocar a senha de seu usuário na máquina desde sempre.
Presumo que a Apple o informou que, se você não o fizer, suas senhas ficarão desprotegidas.
Deve ser por isso que não há analogia com a senha mestra do Firefox que, como já disseram por aqui, existe quase desde o início dos tempos.
Pois bem, no caso do Opera, toda vez que quero ver minhas senhas, o navegador me pede para digitar a senha de usuário do sistema operacional. Não vi o que acontece se meu nome de usuário não tiver uma senha.
Minha humilde opinião em defesa dos grandes navegadores é que ele não armazena as credenciais por padrão, é o usuário que autoriza salvá-las. Quando você entra em um site X, é perguntado se deseja salvar as senhas. Por que atribuir a responsabilidade do usuário aos desenvolvedores da web? Se você salvou por livre e espontânea vontade e ou emprestou ou eles possuem o PC, querida, vai se foder, sua safada. Você foi avisado antes.
Para aqueles que são novos no Firefox (incluindo aqueles que há anos usam o navegador Mozilla, desconhecendo em grande parte suas funções), se desejam aprimorar os recursos do navegador, mas não têm o conhecimento ou o tempo para contribuir pessoalmente, existe um recurso chamado «Enviar opinião», eles podem acessá-lo através de:
Botão Menu> Ajuda> Enviar feedback
Será aberta uma guia na qual você é perguntado se está satisfeito com o Firefox ou não, se você responder, não será solicitado que você escreva brevemente o porquê, isso ajuda como um feedback para a Mozilla se concentrar em melhorar o serviço do navegador Firefox, este é como tem sido pressionado com a questão da privacidade, a incorporação de elementos que antes só podiam ter através de plugins, uma incorporação decente de recursos do HTML5 ... Se os editores desta e de outras comunidades de várias línguas no mundo fossem organizado para corrigir esse problema em massa, a Mozilla poderia levá-lo a sério em consideração na próxima edição do navegador Firefox.
No passado, eu costumava usar muito este serviço para ver melhorias incorporadas no navegador sem ter que usar um plugin ou rodar HTML5 decentemente, mas o mais importante é que antes ao enviar a resposta eles ofereciam o Link a seguir em cima de suas sugestões, não é?, que você poderia bisbilhotar as sugestões de outras pessoas no mundo todo e colaborar para ver adicionados esses recursos ou para corrigir algum erro, que não acontece mais, nem vejo onde acompanhar agora, porém, no Mozilla support continue a recomendar o uso do Firefox Opinion para fornecer feedback sobre bugs, travamentos, travamentos, lacunas e relatar melhorias para o navegador.
O que não concordo com a sua sugestão de "ou você coloca uma senha mestra ou não vai poder usar o chaveiro", é que você exija que a empresa force o usuário sim ou sim a aplicar a senha mestra para acessar o uso de lockwise, ou seja, isso implica até mesmo em modificar a forma de funcionamento do Firefox Sync, pois se você não configurou uma senha mestra, o Firefox Sync não pode baixar ou atualizar senhas, o gerenciamento de senhas ou sua complexidade não é de responsabilidade direta de uma empresa, mas do usuário final que é quem demanda e consome o produto, o que pode ser feito é que a Mozilla enfatize a importância após a primeira execução do Firefox e posteriormente no uso do Firefox Sync, para fazer uso da senha mestra para senhas adicionais de segurança em condições às quais a empresa por qualquer descuido do usuário não possa mais assumir a empresa. Se entende?.
Oi, obrigado pelo post.
Digo mais, pelo menos no linux, colocam que permitem que você use uma máquina porque você precisa se conectar a internet e abrir o cromo, você loga na sua conta do google e inadvertidamente coloca a sincronização da conta ... Uff error all as senhas são baixadas para essa máquina.
Até aí tudo mais ou menos ok. Você vai, você sai, você também remove a conta de sincronização, você abre e fecha o Chrome e o Zaz, todas as suas senhas e favoritos etc. ainda estão naquela sessão da máquina.
Ok, você vai para chrome, advanced, reset chrome to factory and Zas, eles seguem todas as suas informações lá.
Bem, desinstale e instale o Chrome novamente ... Ufff todas as suas senhas e outras informações ainda estão lá.
A única maneira de obter minhas informações dessa sessão do Linux era entrar manualmente no Home dessa sessão do Linux e deletar cada um dos arquivos do Chrome.
Terrível!!!
Artigo muito bom, mas no Firefox o problema é ainda mais sério. Se você tem uma senha mestra e seu amigo deseja assistir a vídeos de gatinhos, ele não conseguirá sem a senha mestra, já que a pede repetidas vezes para navegar como o faz regularmente. Uma solução óbvia seria que ao não colocar a senha mestra, uma sessão de "convidado" inicia, por exemplo, onde você não pode acessar as configurações ou os logins. Em outras palavras, a senha mestra continua a ser útil apenas para o proprietário do computador em que o Firefox está sendo executado. Este assunto é realmente sério, não apenas em um computador pessoal, mas também é especialmente sério em computadores institucionais. Saudações…