2019/10/02

Google verifica segurança de passwords no Chrome


Quem utilizar o gestor de passwords do Chrome vai poder contar com um serviço da Google que alertará para passwords comprometidas ou pouco seguras.

Há muito que existem serviços que permitem validar a segurança das nossas passwords. Mas para os utilizadores do Chrome já não irá ser preciso confiar no Have I Been Pwned ou usar o Firefox Monitor para ser alertado no caso de passwords pouco seguras.

A Google adicionou um verificador de passwords ao seu gestor de passwords no Chrome, que permite fazer uma análise das passwords que por lá se tiver acumulado.

Esta era uma funcionalidade que anteriormente estava disponível através de uma extensão (e assim passava despercebida a grande parte dos utilizadores) mas que agora passa a estar acessível de forma directa - tornando-se bastante mais útil.

O sistema verifica se alguma das nossas passwords faz parte das listas com milhões de passwords já descobertas que circulam na net, se são passwords manifestamente fracas, ou ainda se se está a utilizar passwords repetidas em diferentes serviços.

No meu caso apresentou-me alguns alertas para passwords antigas que já foram alteradas há vários anos (nem sei como é que ainda ali estavam guardadas), e também para passwords genéricas e/ou repetidas que uso para sites "sem importância". Para as passwords dos serviços que importam, felizmente indicou que estava tudo seguro - e isto sem contar que, para os serviços realmente críticos, há sempre a autenticação 2-factor para não ficar unicamente dependente de uma password.



A par desta novidade a Google anunciou ainda algumas medidas que visam dar aos utilizadores maior controlo sobre os dados que são recolhidos sobre si:
  • Modo Incógnito no Google Maps - para que se possa pesquisar ou navegar sem que esses dados sejam guardados ou fiquem associados à nossa conta.

  • Eliminação Automática no YouTube - Esta funcionalidade permitirá apagar automaticamente os dados do histórico do YouTube. O utilizador apenas tem de seleccionar o período - 3 ou 18 meses - pelo qual quer manter os dados.

  • Privacidade no Assistente do Google - Vai ser possível dizer ao Google Assistant coisas como "Ok, Google, apaga a última coisa que eu disse" ou "Ok, Google, apaga tudo o que eu disse na semana passada". Esta funcionalidade estará disponível em inglês nas próximas semanas e ao longo do próximo mês estará disponível em todos os outros idiomas. (Mas por enquanto não há data para que isso inclua português de Portugal.)

1 comentário:

  1. Por algum motivo nunca gostei de ter os browsers a guardar as senhas, deixa cá pensar porquê, ah! já sei, porque parece uma má ideia! Má ideia porque outras pessoas com acesso ao computador conseguem na maior parte das vezes, na prática, vê-las e por vezes quem as guarda nem sabe que o está a fazer! E de quando em quando parecem surgir as histórias de ataques que conseguem extrair a informação seja via vulnerabilidades ou malware. E se estiver uma conta associada da Google eles ainda ficam com esses dados nos servidores deles ali acessíveis a qualquer um que tenha acesso na Google a tais sistemas assim como a qualquer um que tenha acesso às contas.
    Talvez ainda esteja para vir o dia em que ter um gestor com as senhas geridas no próprio browser seja boa ideia, mas esse dia para mim ainda não chegou.
    Quer dizer, nem confio em gestores de senhas tipo LastPass e similares, porque não me parece possível que este tipo de soluções não estejam secretamente a enviar a informação de volta para alguma agência de espionagem que depois partilha por todas as outras e eventualmente chegue alguém menos correcto... já para não falar que se algum malware entrar no computador (um cenário ainda mais provável) consegue ter acesso a tudo de uma só vez numa localização bem conhecida... é só extrair o ficheiro cifrado e esperar que o palerma introduza a senha para a capturar e voilá todas as senhas disponíveis para o atacante.
    Sem alguma solução externa tipo autenticador físico manter a autenticação segura será difícil. O FIDO2 nesse aspecto deveria facilitar porque até permite identificar e autenticar, mas tem as suas limitações, nomeadamente: como é que se sabe que o fabricante não guarda as chaves privadas todas? Que são eles a gerar. E além disso se um web site muda de endereço (coisa muito frequente na Internet) o FIDO2 deixa de funcionar porque está associado ao endereço. Logo nunca seria por si só suficiente.

    ResponderEliminar

[pub]