2012/09/27

Como Revelar as Passwords com Asteriscos


Diz a popular piada, que será fácil descobrir a password de qualquer pessoa, uma que são sempre "*******". No entanto, poderá ter menos piada saberem que quando optam por deixar que o vosso browser preencha automaticamente esses dados numa caixa de login, qualquer pessoa com acesso ao vosso computador pode facilmente recuperar essa mesma password mesmo sem dar uso a complicados softwares de recuperação. Na verdade, basta utilizar o próprio browser para revelar que password se esconde por trás dos asteriscos.

Não, não é tão simples como fazer o copy-paste dos asteriscos para um editor de texto... mas quase.

Basta apenas dar uso às ferramentas de desenvolvimento que a maioria dos browsers modernos incluem para facilitar a vida aos developers e designers; e que permitem facilmente editar qualquer elemento na página.

Por isso, e usando o Chrome como exemplo, basta apenas clicar na caixa de introdução da password, seleccionar "inspect element", e alterar as propriedades da mesma de "password" para "text". E como que por magia... a password previamente escondida por asteriscos ficará visível para que todos vejam.

(É por estas e por outras que eu por norma faço toda a minha utilização normal da internet no modo "anónimo/incógnito", pois assim nunca ficam dados guardados - é chato, pois tenho que voltar a introduzir os dados de login sempre que lá regresse... mas... mais vale prevenir que remediar.)

6 comentários:

  1. Boas, entao mas no Chrome pode-se ver todas as passwords de todos os sites de forma ainda mais descomplicada....
    clicar no icone de ferramentas do canto superior direito, que na ultima atualizacao do chrome agora agora aparece com 3 barras, depois definicoes, depois mostrar definicoes avancadas e por fim gerir passwords ai estao todinhas, basta clicar a direita do nome do site e username e seleciona "mostrar" pessoalmente acho util mesmo quando nos esquecemos e mais pratico que estar a solicitar uma pass nova, de resto pc´s carros e mulheres nao se emprestam.

    ResponderEliminar
  2. Também é preciso dizer que não é qualquer um que faz isso... Mas de qualquer maneira agradeço a dica, é mais uma coisa que se fica a saber...

    ResponderEliminar
  3. O verdadeiro perigo resulta do facilitismo: os cookies, por exemplo.

    A maioria dos utilizadores activa a opção "remember me" nas box's de Login de vários serviços.

    Recorrendo a esta técnica, basta alguém "apanhar" o PC do incauto com o desktop aberto (foi ao WC e esqueceu-se de bloquear o desktop, por exemplo) e em menos de um minuto apanha a password do Gmail do "colega" ;-)

    PS: fiz isso mesmo ontem aqui no work, para alertar para o perigo que é alguém caçar a vossa password do Gmail ou outro serviço semelhante ;-)

    ResponderEliminar
  4. António, os cookies, como boa prática, não devem ser usados para guardar dados sensíveis; e os da Google, não guardam. A única coisa que se pode fazer com um cookie é retirá-lo inteiro, e colocá-lo noutra máquina, e mesmo assim depende dos cookies.

    Carlos, não sei já ouviste falar do LastPass, mas reduz muito o problema das passwords. Se usado em conjugação com uma YubiKey, reduz praticamente a zero.

    ResponderEliminar
  5. Este comentário foi removido por um gestor do blogue.

    ResponderEliminar