Início » Antivírus e Segurança » É seguro salvar senhas no Google Chrome?

É seguro salvar senhas no Google Chrome?

Será que o mecanismo que o Chrome usa para armazenar e proteger as senhas salvas é seguro? Entenda como funciona

Melissa Cruz Cossetti Por

Aqui no Tecnoblog já explicamos como ver senhas salvas no Google Chrome. O recurso é muito útil se você esqueceu alguma senha e precisa de acesso de imediato ao sistema ou não pode criar uma nova senha. Mas, será que o mecanismo que o Chrome usa para armazenar e proteger as senhas salvas é seguro? Vamos entender como tudo funciona.

É possível ajustar o Chrome para lembrar senhas de sites. Funciona assim: quando você insere uma nova senha em um site, o Chrome pergunta se você quer salvá-la. Para aceitar, clique em “Salvar” e pronto. A senha estará disponível sempre no navegador.

Google Chrome / Imagem: Jonathan Kemper / Unsplash

Começar ou parar de salvar senhas no Chrome

Por padrão, o Google Chrome se oferece para salvar a senha. 

Se por alguma motivo isso não acontecer ou você quiser desativar a opção:

  1. Abra o Google Chrome (desktop);
  2. No canto superior direito, clique em “Configurações”;
  3. E, depois, em “Senhas”;
  4. Ative ou desative a opção “Oferecer para salvar senhas”.

Além da senha salva, é possível decidir se você quer “login automático” em sites em que você salvou as credenciais. Ao ativar esse recurso, não será necessário confirmar seu nome de usuário e sua senha sempre que você acessar, por exemplo, o seu Facebook.

Oferecer para savar senhas no Google Chrome / Imagem: Reprodução/ Melissa Cruz Cossetti

Como ver, excluir ou exportar senhas salvas no Chrome

Você pode checar o que já está salvo e decidir excluir ou até exportar o arquivo.

  1. Abra o Google Chrome (desktop);
  2. No canto superior direito, clique em “Configurações”;
  3. E, depois, em “Senhas”;
  4. Agora, você pode ver, excluir ou exportar senhas:
  • Ver: à direita do site, clique em Mostrar senha (👁️). Se você usa uma senha para bloquear seu computador (acesso ao desktop), ela será solicitada;
  • Remover: à direita do site, clique em Mais (…) e Remover (🗑️);
  • Exportar: à direita de “Senhas salvas”, clique em Mais (…) e Exportar senhas.

Senhas Google Chrome

Para limpar todas as senhas salvas, limpe os dados de navegação e selecione “Senhas”.

Como o Chrome salva e sincroniza senhas?

De acordo com o Google, a forma como o Chrome salva suas senhas depende de você optar ou não por armazená-las e usá-las em todos os dispositivos (smartphone, tablet e/ou computador). Quando sincronizadas, as senhas podem ser usadas no Chrome em todos os seus dispositivos e também em alguns aplicativos no Android que você usa. 

Com a sincronização está ativada para senhas no Chrome, as senhas são salvas na Conta do Google. Caso contrário, são armazenadas só no Chrome no seu computador.

A ESET, fabricante de antivírus e outras soluções anti-malware, deu mais detalhes sobre qual mecanismo que o Chrome usa para armazenar e proteger as senhas salvas e analisou alguns aspectos com relação à segurança mais técnicos sobre o tema.

De acordo com Daniel Kundro, pesquisador de malware da ESET América Latina. quando um usuário clica no botão “aceitar”, esses dados (login e senha) serão armazenados em um banco de dados SQLite3 do navegador Web.

Que, geralmente, pode ser encontrado no seguinte endereço:

%LocalAppData%\Google\Chrome\User Data\Default\Login Data.

O perigo do acesso físico e malware

Esse arquivo que contém o banco de dados, é usados apenas pelo Google Chrome, portanto e, presume-se, nenhum outro software irá acessá-lo. Por motivos óbvios de segurança, as senhas não são armazenadas em texto simples — são criptografadas. 

Essa função é projetada no navegador de forma que os dados só possam ser descriptografados pelo mesmo usuário do sistema operacional que estava logado quando a mesma senha foi criptografada ou ainda no mesmo computador. 

“Caso um cibercriminoso tenha acesso ao computador, ele pode facilmente obter as senhas, descriptografá-las e roubá-las em texto simples”, explica. Ou seja, se mais alguém tem acesso ao computador, pode usar métodos simples e exportar as senhas. 

Testando com uma conta do Facebook

Contudo, o acesso físico não é o único perigo. Alguns malware focam exatamente neste recurso do navegador e, quando presentes na máquina, podem fazer uso do recurso.

“Esse tipo de comportamento foi observado em vários códigos maliciosos e até mesmo em trojans bancários direcionados especificamente para a América Latina, onde se destinam a roubar credenciais de acesso de serviços home banking”, completa Kundro.

Fazendo login no Facebook com um nome de usuário e senha fictícios, a equipe aceitou a opção para que o Google Chrome salvasse as credenciais. Depois, tentou-se localizar o arquivo com as informações salvas. Para ter acesso, basta abrir o arquivo com algum programa que permite visualizar bancos de dados como o DB Browser for SQLite.

Senhas Google Chrome Criptografadas / Imagem: Reprodução / ESET

As entradas revelam dados para login, que incluem: URL, nome de usuário e senha. A senha armazenada é criptografada em uma estrutura BLOB e, ao clicar nesse campo, o programa mostra a representação hexadecimal dela. Ali, o invasor já possui o nome de usuário, o site e a senha criptografada, faltando apenas desencriptar a senha e pronto. 

“O cibercriminoso se aproveita do fato de ter acesso (físico ou virtual) ao dispositivo, pois é bastante provável que o usuário ativo seja o mesmo que salvou a senha, permitindo que a informação seja descriptografada usando a função: CryptUnprotectData.”

Parece complicado mas, para quem está interessado nos seus dados, pode não ser.

“Todas essas etapas podem ser realizadas por um malware de forma rápida e automática. No entanto, o malware não é o único risco que devemos ter em conta, uma vez que atualmente existem vários programas facilmente acessíveis por meio de uma pesquisa online que são capazes de realizar esses mesmos passos”, diz Kundro.

É seguro salvar senhas no Google Chrome?

Isso vai depender do quão seguro é o seu computador ou as suas rotinas de uso. Todos os riscos citados se limitam ao mecanismo de salvamento de senhas e ao risco de que as senhas armazenadas sejam roubadas. Sem dúvida, há utilidade no recurso.

Mas, cautela.

O ideal é não usar o salvamento automático de senhas com serviços sensíveis de pagamento, home banking, redes sociais, sites médicos ou que contenham informações pessoais que você não gostaria que terceiros tivessem acesso. Faça esse filtro na lista.

Boa navegação. ⛵

Comentários da Comunidade

Participe da discussão
10 usuários participando

Os mais notáveis

Comentários com a maior pontuação

Vitor (@Vitor_Silva)

Por causa dessas cosias, que passei a utilizar o Bitwarden.

Dereck (@dereckbolsanelo)

Atualmente estou testando o Dropbox Passwords, eu estou curtindo.

Tiago Jeronimo (@TiagoJL)

Uma dúvida: Se o Chrome salva essas senhas na nuvem, posso deletar a lista que fica salva no computador?

Leo (@leonardoroese)

Muito legal a matéria.

Minha opinião: é e não é!

Sempre haverá risco, mas se você guarda suas senhas num arquivo textos, num drive virtual, ou no seu e-mail, é tão ou mais arriscado que salvar no Chrome. Até em papel se você armazenar e perder por aí ta lascado.

Existem outros gerenciadores de senha que usam criptografia mais avançada, mas basta alguem acessar sua conta do gerenciador de senha que terá acesso a tudo!

Esse assunto é bem interessante porque não vejo uma forma prática e segura de armazenar senha de modo definitivo. Existem várias formas, o que se deve evitar é não seguir as recomendações básicas de segurança, criar senhas mais complexas, usar multi autenticação.

Senhas muito importantes, banco, documentos sigilosos, guarde na memória!

² (@centauro)

Se você salvar num arquivo texto simples, sim.
Se você criptografar o arquivo ou só o texto, já é uma camada extra que provavelmente torna a opção mais segura do que usar o Chrome. Se você criptografar ambos, são duas camadas de proteção.
E nem é difícil criptografar o arquivo. Comprimir o arquivo num zip com criptografia AES-256 e uma senha longa já é uma boa camada de proteção contra ataques corriqueiros.
Pra criptografar o texto dá pra usar o GPG/PGP e usar uma senha longa.

Alberto Prado (@Alberto_Prado)

E o Firefox? É a mesma coisa?

Mateus B. Cassiano (@mbc07)

Um ponto não abordado na matéria é que o Google Chrome permite definir uma senha separada para a criptografia das senhas, desde que a sincronização de dados esteja ativada. Um hash dessa senha é armazenado apenas localmente e será sempre solicitada ao tentar ativar a sincronização de senhas em um novo dispositivo, nem mesmo o gerenciador de senhas online do Google consegue mostrar as informações.

Configurações de sincronização

image880×606 40 KB

Gerenciador de senhas

image832×610 37.4 KB

Leo (@leonardoroese)

Interessante essa opção. Só acho que o Chrome tem o fator praticidade ao seu favor com um pouco de segurança adicional como o @mbc07 indicou acho viável utilizar.

² (@centauro)

Sim, se o Chrome oferece guardar as senhas criptografadas, daí você tem a questão da praticidade, além da proteção contra phishing.
Já caso esse processo de criptografar as senhas no Chrome não resolva a brecha apontada na matéria (ou se a criptografia for fraca, nunca se sabe), daí o problema continua.

Zanac_Compile (@Zanac_Compile)

Boa. Também quero saber. No FF é como ?

Fabricio de Oliveira Silva (@LonelyEagle)

Eu também. Na verdade, já passei pela terrível experiência de ter todas minhas senhas roubadas do Chrome. Agora não salvo mais minha senha no navegador (e uso 2FA em tudo).