Respostas:
Os pontos mencionados na resposta de Bob são todos válidos, então não vou me incomodar em repeti-los; no entanto, achei que algumas informações adicionais também podem ser úteis para alguns, pois sua pergunta é uma preocupação válida.
O recurso Varinha do Opera permite que você especifique com que frequência solicita sua senha mestra em Preferences > Advanced > Security > Ask for password
seleções como "Uma vez por sessão" (que, como Bob indica corretamente, limita sua segurança), "A cada x minutos / horas" (se você não lembre-se de mexer nos .ini
arquivos, você pode personalizar sua própria frequência) e "Sempre que necessário" (obviamente a opção mais segura, pois sua senha não será armazenada na memória durante a sessão de navegação). Não uso o Firefox, mas posso imaginar que exista uma extensão semelhante disponível em algum lugar.
Os dados do Wand são armazenados em um arquivo chamado, aguarde, wand.dat
em um formato que possa ser decifrado com relativamente pouco esforço se nenhuma senha mestra for usada; Se você faz uso de uma senha mestre, que é criptografada usando um componente aleatório e sua senha master com um algoritmo que atualmente me escapa (deve ser fácil de olhar para cima embora).
Se você usar uma senha para um site cuja segurança é mais importante para você do que o login médio, você pode simplesmente optar por não salvar a senha .
Guias particulares no Opera (ou o equivalente em outros navegadores) permitem armazenar os dados da sessão dessa guia separadamente daqueles nas guias "normais", o que pode adicionar outra camada de segurança.
O modelo de segurança usado no Chrome e seus derivados (ou seja, colocar em sandbox cada guia em um thread separado) oferece uma segurança ainda maior.
Você pode se proteger contra keyloggers e outros regularmente:
Resumindo:
O nível de segurança do seu navegador e o de seus logins depende de você em grande parte.
Se alguém fosse muito habilidoso e engenhoso, provavelmente poderia acessar seus dados, apesar de todas as precauções acima, mas isso tornaria os dados do navegador muito mais seguros e aumentaria o nível de sofisticação necessário para decifrá-los significativamente.
Se você possui malware no seu computador, nenhuma senha inserida ou armazenada nele pode ser considerada verdadeiramente segura. Mesmo senhas criptografadas, como bancos de dados KeyPass, assim que você digita os detalhes necessários para descriptografá-lo, o invasor pode recuperar suas senhas.
Os navegadores normalmente não prestam muita atenção à segurança das senhas salvas, pelo menos não nas configurações padrão.
Digamos que você obtenha um cavalo de Troia, que rouba dados do seu PC. O Trojan pode descriptografar senhas armazenadas pelos navegadores e usá-las?
Em uma palavra: sim. Os navegadores normalmente não criptografam senhas lembradas, para que possam ser lidas com esforço trivial. De qualquer forma, a criptografia com uma chave armazenada é inútil: se o navegador conseguir descriptografá-la, outros programas executados no mesmo computador poderão fazer o mesmo.
Eu estou mais familiarizado com o Firefox, então eu vou com isso.
O Firefox permite que você defina uma 'senha mestra'. Se o fizer, criptografa as senhas armazenadas com a senha mestra. No entanto, por uma questão de conveniência, você só precisa fazer login usando essa senha mestra uma vez por sessão. Após o login, as informações necessárias para descriptografar senhas salvas são armazenadas na memória e podem ser acessadas. Uma abordagem mais segura e complicada seria exigir que a senha mestre fosse digitada toda vez que o Firefox precisasse procurar uma senha salva.
Mesmo que as senhas salvas sejam perfeitamente criptografadas e completamente inacessíveis, elas devem ser descriptografadas e inseridas em formulários da Web em algum momento. O que significa manter as senhas, não criptografadas, na memória. Na verdade, existem muitos programas de ' revelador de asteriscos ' projetados para extrair essas senhas da memória e, assim, revelá-las. O malware poderia, teoricamente, fazer o mesmo.
E o malware também pode causar um keylogger, permitindo que o invasor recupere qualquer senha digitada.
Há um estudo muito aprofundado da segurança de senhas nos principais navegadores (IE, Chrome, FF) aqui . Para resumir, o Chrome e o IE10 contam com as rotinas de criptografia do Windows, consideradas fortes. No entanto, eles não protegem contra outros programas executados no mesmo usuário , ou seja, são inúteis contra malware. Novamente, qualquer programa em execução (como Administrador) pode obter informações da memória ou registrar as chaves de qualquer maneira.
O método de criptografia é mais importante quando você considera a possibilidade de roubo de seus dados salvos para análises posteriores, por exemplo, alguém entrando e copiando seu computador ou roubando-o. Em geral, todos os navegadores modernos fazem um trabalho decente de proteção contra essa forma de ataque. O Firefox com uma senha boa e forte é novamente preferido, pois os dados criptografados do Windows podem ser recuperados efetuando login na conta de usuário do Windows, e a senha do Windows não é mais totalmente segura. Observe que nada disso irá parar um invasor muito determinado.
O NirSoft fornece uma ferramenta chamada "IEPassView" que pode descriptografar o Internet Explorer 8 e com senhas. Informações do sistema para Windows podem fazer o mesmo; basta clicar na chave na parte superior.
O NirSoft fornece ferramentas de "recuperação de senha" para muitos navegadores populares ( http://www.nirsoft.net/password_recovery_tools.html ) - essas são uma boa "prova de conceito" para mostrar que o armazenamento interno de senhas não é seguro .
Lastpass e software como ele são boas respostas convenientes. Embora eles não ofereçam segurança total (você ainda precisa fazer o básico, como firewall, antivírus, etc.), é uma boa maneira de gerenciar suas senhas. Também devido ao fato de estar armazenado na nuvem mágica, você pode acessá-los de qualquer lugar (ao contrário de alguns softwares locais em que é necessário armazenar na sua máquina para acessá-la).