As suas palavras-passe são essenciais para a sua presença online, funcionando como chaves que dão acesso às suas redes sociais, plataformas de pagamento e até mesmo ao seu sistema de segurança residencial. O gestor de palavras-passe gratuito do Google integra-se com os seus outros serviços, permitindo o acesso às suas palavras-passe a partir de qualquer dispositivo. Mas será que é realmente seguro? Como se compara com as opções concorrentes?
O que é o Gestor de Palavras-passe do Google?
Se já utilizou um Chromebook, um dispositivo Android ou navegou na internet com o navegador Chrome do Google, é provável que já se tenha cruzado com o gestor de palavras-passe do Google.
Quando introduz os seus dados de início de sessão num qualquer site, surge uma janela a perguntar se pretende “Guardar palavra-passe”. Geralmente, são apresentadas duas opções: “Guardar” e “Nunca”.
Ao clicar em “Guardar”, o Chrome, em visitas futuras ao mesmo site, pode preencher automaticamente as suas credenciais de login – nome de utilizador e palavra-passe – sem que necessite de as memorizar.
Por que razão devo usar o Gestor de Palavras-passe do Google?
Em suma, pela sua simplicidade. Se já utiliza o Google Chrome, faz sentido optar pela ferramenta de palavras-passe integrada.
Pode iniciar sessão em qualquer navegador Chrome e aceder automaticamente aos sites, tal como se estivesse no seu computador pessoal.
Para consultar as palavras-passe guardadas, quer esteja ou não com sessão iniciada no Chrome ou noutro dispositivo Google, basta aceder ao domínio de palavras-passe do Google através do seu navegador. É simples: apenas precisa de se lembrar da sua palavra-passe do Google.
Onde armazena o Gestor de Palavras-passe do Google as suas palavras-passe?
Se estiver com sessão iniciada na sua conta Google, as suas palavras-passe do Chrome armazenadas localmente são sincronizadas com passwords.google.com. Se não estiver com sessão iniciada, pode digitar chrome://password-manager/passwords na barra de endereço.
Para aceder às suas palavras-passe sem introduzir um URL, primeiro necessita de instalar o Gestor de Palavras-passe do Google localmente. Para tal, clique no ícone do menu, no canto superior direito da aplicação Chrome, e selecione “Instalar o Gestor de Palavras-passe do Google…”, e depois “Instalar” quando solicitado.
Em seguida, surgirá uma nova entrada no menu, designada por “Gestor de Palavras-passe do Google”. Pode clicar aqui para aceder às suas credenciais de login. Em alternativa, pode clicar no novo ícone na sua área de trabalho.
Num computador Windows, as suas informações de login guardadas pelo Google encontram-se num ficheiro sqlite, localizado em C:\Users\your_username\AppData\Local\Google\Chrome\User Data\Default\Login Data.
Pode abrir este ficheiro com um navegador Sqlite dedicado ou com o Bloco de Notas; no entanto, ao escolher esta última opção, a formatação poderá aparecer estranha e alguns carateres podem tornar-se ilegíveis.
Neste ficheiro, irá encontrar os endereços dos sites para os quais tem uma palavra-passe guardada, o seu nome de utilizador ou endereço de e-mail e a sua palavra-passe encriptada.
Quão seguro é o Gestor de Palavras-passe do Google?
O Google é uma das maiores e mais poderosas empresas tecnológicas do mundo e, se utilizar a autenticação multifator com a sua conta Google, as palavras-passe e os detalhes da conta que armazena online serão provavelmente muito seguros.
O Google não teve nenhuma violação de dados notória desde 2018, quando o Wall Street Journal revelou que um erro na API expunha dados privados há mais de três anos. Esses dados, contudo, não incluíam palavras-passe.
A principal vulnerabilidade do Gestor de Palavras-passe do Google reside no seu computador e existem duas formas pelas quais os invasores podem aceder à sua conta.
A primeira é abrir a aplicação do gestor de palavras-passe. O invasor necessitaria de acesso físico ao seu computador para o fazer e, provavelmente, seria frustrado ao ser solicitado a introduzir a palavra-passe do sistema. Caso consiga quebrar a palavra-passe do seu sistema, poderá descarregar todos os seus logins e palavras-passe sem encriptação.
O segundo problema potencial é o ficheiro da base de dados.
Para comprometer uma conta, um invasor necessita de saber três coisas: que existe uma conta num serviço específico, o nome de utilizador associado à conta e a palavra-passe.
No ficheiro da base de dados do seu computador, os dois primeiros fatores estão em texto simples e apenas a palavra-passe é encriptada. Se um invasor conseguir copiá-lo do seu computador, poderá decifrá-lo quando quiser. Listas de palavras-passe associadas a nomes de utilizador e serviços também estão disponíveis em mercados online. Pode verificar se as suas credenciais foram comprometidas em haveibeenpwned.
Na verdade, obter o ficheiro não é difícil se um invasor tiver acesso ao computador, tendo nós cronometrado a exfiltração para uma pen USB em poucos segundos. Em alternativa, o email também serve.
Os invasores podem também tentar instalar malware no seu computador para roubar o ficheiro.
Serão os gestores de palavras-passe online dedicados mais seguros do que o Gestor de Palavras-passe do Google?
Os gestores de palavras-passe online são um setor em crescimento, que armazena todas as suas palavras-passe num cofre encriptado, incentivando o uso de palavras-passe fortes geradas aleatoriamente. Estes cofres são, geralmente, protegidos por uma palavra-passe mestra.
Apesar de poder parecer uma solução segura, a violação de dados do LastPass em 2022 demonstrou que é possível que invasores sofisticados descarreguem cofres de palavras-passe e chaves de encriptação, o que lhes dá acesso facilitado a todas as suas contas e dados. Muito pouco é realmente indecifrável, pelo que existem riscos, por menores que sejam, independentemente do método de armazenamento.
Não existe uma solução ideal para a gestão segura de palavras-passe
Nomes de utilizador e palavras-passe são alvos importantes para criminosos e é crucial mantê-los seguros e protegidos. Mas nenhum sistema de gestão de palavras-passe está totalmente imune a ataques. Uma solução viável é usar gestores de palavras-passe sem estado, que geram palavras-passe para sites com base em vários parâmetros, incluindo o URL de login, o seu endereço de email e uma frase secreta.