É Seguro Copiar e Colar Senhas nos Sites?

Copy and Paste Passwords

Projetar um serviço online não é fácil, e fazê-lo corretamente é ainda mais difícil. Você tem muitas coisas para pensar, incluindo a aparência do produto, a usabilidade, o desempenho e, claro, a segurança dos usuários. Existem muitos prós e contras quando se trata de manter os dados das pessoas seguros, e os desenvolvedores diligentes geralmente fazem o seu dever de casa, descobrindo o que precisam fazer bem antes de lançar o produto. Infelizmente, nem todos eles fazem isso. Alguns até tentam reinventar a roda, e a julgar pelos resultados, eles fazem isso depois de terem tomado um número significativo de cervejas. Pior ainda, outros então começam a copiar a referida roda, e tudo dá errado muito rapidamente.

Nós só podemos supor que isso é o que aconteceu quando alguém, em algum lugar, decidiu que eles vão negar aos usuários a capacidade de colar senhas. Essa prática apareceu há algum tempo e foi condenada por todos, desde os especialistas em segurança até as agências governamentais. Apesar disso, muitos sites continuam, até hoje, implementando a regra de não-colagem. Isso não é apenas um incômodo para as pessoas com preguiça de digitar. É um problema de segurança.

As implicações de segurança por não se permitir a colagem

Desabilitar a função de colar não faz mais do que impedir que você use um gerenciador de senhas. Bons aplicativos de gerenciamento de senhas, tais como o Gerenciador de Senhas do Cyclonis, vêm com geradores de senha integrados que permitem criar automaticamente senhas complexas e exclusivas para todas as suas contas. Essas senhas não são exatamente fáceis de se digitar, e é por isso que os gerenciadores de senha também implementam a funcionalidade de preenchimento automático que coloca a senha correta no campo correto. O problema é que ele depende da capacidade de se colar senhas.

A política da não colagem é um grande problema por um motivo simples - quando os usuários não podem confiar no gerenciador de senhas para preencher automaticamente as informações, eles simplesmente escolhem uma senha simples e tentam se lembrar dela. E as senhas simples que podem ser lembradas deixam os usuários vulneráveis ​​a ataques.

O que eles estavam pensando?

Apesar do fato de que a regra da não colagem leva a alguns riscos sérios, os desenvolvedores que seguem essa política dizem que a implementaram por motivos de segurança. Eles apresentaram alguns argumentos e hoje vamos dissecar os mais populares para ver quão inválidos eles são.

. Uma regra de não colagem evita ataques de força bruta e de dicionário.
Em teoria, você pode executar um ataque de força bruta navegando até a página de login visada e experimentando um grande número de senhas diferentes até adivinhar a senha certa. No mundo real, no entanto, isso não acontece com muita frequência. Embora você possa programar ferramentas automáticas para preencher todas as senhas diferentes no campo, os hackers raramente fazem isso porque os desenvolvedores responsáveis ​​não permitem que você faça um número infinito de tentativas de login no mesmo IP. E, em qualquer caso, os criminosos têm vários outros métodos para decifrar uma senha que, na maioria das vezes, não envolvem o formulário de login.

. Dados sensíveis não devem ficar na área de transferência.

Como você provavelmente sabe, quando você copia algo, seja uma senha ou um arquivo, os dados são colocados na área de transferência do dispositivo, onde permanecem até serem sobrescritos por outras informações ou apagados. Você também pode ter ouvido falar que existem aplicativos de malware que podem raspar a área de transferência. É por isso que alguns operadores de sites informam que, se a sua senha estiver na área de transferência, ela poderá cair nas mãos erradas, o que, dizem eles, é uma boa razão o suficiente para implementar a regra da não colagem.

O problema é que, se o seu dispositivo estiver infectado por malware, a referida regra provavelmente não fará nada para impedir que os criminosos obtenham a sua senha, porque praticamente todos os aplicativos mal-intencionados que podem copiar a área de transferência também podem registrar todas as suas teclas digitadas. Alguns deles também podem capturar imagens, o que significa que mesmo o teclado da tela não ajudará você. Além disso, você geralmente não entende que a colagem está desabilitada até que já tenha copiado a sua senha, o que significa que agora ela está na área de transferência e os aplicativos mal-intencionados podem roubá-la.

Se o acesso físico estiver envolvido, o argumento da área de transferência pode ser um pouco mais suculento. Existem alguns pré-requisitos, no entanto. Primeiro de tudo, você tem que estar fazendo algo que você não deveria realmente fazer: armazenar as suas senhas em um arquivo de texto simples de onde você copia e cola. Como já mencionamos, quando você copia uma informação, ela permanece na área de transferência mesmo depois de você a ter colado, o que significa que se você deixar seu o computador sozinho (outra coisa que você não deveria estar fazendo), alguém pode abrir o Bloco de Notas, pressionar ctrl + v e obter a senha que você copiou por último.

Se você usa um gerenciador de senhas, isso não é algo com que você deva se preocupar. Os aplicativos de gerenciamento de senhas limpam a área de transferência pouco depois de terem colado as informações necessárias, e alguns, como o Gerenciador de Senhas do Cyclonis, podem desconecta-la automaticamente após um período de inatividade para protegê-la de pessoas com acesso físico ao seu PC.

Certificados de segurança.
Nós vemos isso de vez em quando. Um especialista em segurança identifica um fornecedor que não permite a colagem de senhas e o chama pelo Twitter. A equipe de mídia social do fornecedor responde dizendo que, se permitirem a colagem, eles perderão o certificado de segurança no qual investiram tanto, e toda a comunicação será encerrada por uma mensagem de "desculpe pela inconveniência".

Já vimos que não há uma razão viável para desabilitar a funcionalidade de colagem e também vimos que ela piora a segurança do usuário em vez de aprimorá-la. É justo dizer que, se você precisar desabilitar a colagem de senhas para obter um certificado de segurança, ficará melhor sem esse certificado.

Os desenvolvedores (e as pessoas que os contratam) muitas vezes lutam para entender os problemas de segurança cibernética que enfrentamos nos dias de hoje. Eles querem manter os seus usuários seguros, mas às vezes, a falta de conhecimento leva a resultados terríveis. A regra de não-colagem é um bom exemplo disso.

August 29, 2018
Carregando…

Detalhes e Termos de Backup do Cyclonis

O plano Básico do Backup Gratuito do Cyclonis oferece 2 GB de espaço de armazenamento na nuvem com funcionalidade total! Não é necessário cartão de crédito. Precisa de mais espaço de armazenamento? Compre um plano maior do Backup do Cyclonios agora! Para saber mais sobre nossas políticas e preços, consulte os Termos de Serviço, Política de Privacidade, os Termos de Desconto e a Página de Compra. Se você deseja desinstalar o aplicativo, visite a página Instruções de Desinstalação.

Detalhes e Termos do Gerenciador de Senhas do Cyclonis

Teste GRATUITO: Oferta Única de 30 Dias! Nenhum cartão de crédito será necessário para o teste gratuito. Funcionalidade completa durante o período de avaliação gratuita. (A funcionalidade completa após a Avaliação Gratuita requer a compra deaassinatura.) Para saber mais sobre nossas políticas e preços, consulte o CLUF, a Política de Privacidade, os Termos de Desconto e a Página de Compra. Se você deseja desinstalar o aplicativo, visite a página Instruções de Desinstalação.