Microsoft combate fraude de preenchimento automático do Chrome adicionando mais atrito
4 minutos. ler
Publicado em
Compartilhe este artigo
Melhore este guia
Leia nossa página de divulgação para descobrir como você pode ajudar o MSPoweruser a sustentar a equipe editorial Saiba mais
Em teoria, você é o único que pode fazer login no seu dispositivo e acessar seus detalhes de preenchimento automático. Na prática, nem sempre é assim.
Usuários atentos aos amigos que acessam suas contas às vezes desativam o recurso de preenchimento automático, mas sua ausência é, sem dúvida, notada quando você precisa lembrar várias senhas.
Os engenheiros da Microsoft já abordaram as preocupações expressas pelos usuários em uma postagem no GitHub:
Os usuários que desejam compartilhar rapidamente seus dispositivos com familiares e amigos manifestaram preocupação com o acesso de suas contas sem permissão devido ao comportamento de preenchimento automático no navegador. Por exemplo, considere um usuário, UserA, que tem sua credencial para
social.examplesalvo no navegador para facilitar o login. Mesmo que o UserA saia do seusocial.exampleantes de entregar seu dispositivo ao UserB (um amigo ou membro da família) para empréstimo, o preenchimento automático ainda injetará automaticamente a credencial salva do UserA no formulário de login se o UserB navegar até osocial.examplepagina inicial. Isso permite que o UserB entre na conta do UserA com um único clique. Além disso, UserB pode revelar trivialmente o texto simples da senha injetada.
A ideia de uma solução de senha mestra remonta ao longo dos anos 10, no entanto, a Microsoft não seguiu com a ideia, pois não tinha certeza “se um recurso de senha mestra que não é apoiado por criptografia por credencial ou completa de armazenamento de credenciais atrai os usuários para uma falsa sensação de segurança porque os invasores locais geralmente estão fora do modelo de ameaça do navegador. "
Avançando para 2020, a Microsoft agora proposto uma solução que atenda a essas preocupações. “Com base na pesquisa/feedback do usuário”, a empresa sugere que “um gancho de reautenticação do sistema operacional desativado por padrão no caminho do código de preenchimento automático do Chromium” é a solução.
Essa reautenticação pode envolver a reinserção de uma senha no nível do sistema operacional, mas também pode abranger soluções biométricas de menor atrito em dispositivos e sistemas operacionais que os suportam. Se, e em caso afirmativo, como, os agentes do usuário optam por criar a interface do usuário em torno desse gancho de reautenticação para garantir que seus usuários possam entender claramente o modelo de ameaça e suas limitações está além do escopo deste explicador.
Se o usuário optar pelo gancho de reautenticação, a Microsoft deseja que o usuário tenha o máximo de controle possível sobre seu UX. Aqui está a proposta no GitHub:
Este explicador propõe a adição de um gancho de reautenticação do sistema operacional desativado por padrão no caminho do código de preenchimento automático do Chromium. Isso reutilizará a lógica de reautenticação do SO existente usada no gerenciador de senhas do Chromium ao visualizar ou exportar senhas salvas e adicionará uma configuração de conteúdo para configurar por quanto tempo uma reautenticação bem-sucedida deve permanecer válida. Por padrão, essa configuração de conteúdo será definida para nunca exigir autenticação, o que significa que, mesmo que o sinalizador de compilação que controla essa funcionalidade esteja ativado, o gancho de reautenticação não funcionará até que o agente do usuário ajuste o valor padrão (provavelmente expondo UX para isso aos usuários).
Habilitar este gancho de reautenticação e alterar sua configuração de conteúdo padrão também habilitará o mesmo comportamento controlado pelo Sinalizador de recurso de preenchimento na conta-seleção do Chromium. Essa decisão foi tomada para garantir que os usuários não sejam solicitados a fazer a autenticação até que indiquem que desejam acessar suas credenciais salvas.
É claro que o cenário de dispositivo compartilhado não é o único possível; mas a Microsoft disse que “estabelece as bases para melhorias futuras”.
Estamos abertos a explorar mais investimentos neste espaço com outros implementadores para agregar valor aos usuários.
Tanto o Chrome quanto o Firefox já adotaram a autenticação do Windows Hello para autorizar a exibição de senhas salvas em Configurações. Podemos supor que, em vez de nos pedir para lembrar outra senha, a Microsoft provavelmente pretende permitir que os usuários usem a autenticação biométrica do Windows Hello para autorizar o preenchimento automático de senhas para aqueles que estão preocupados com dispositivos compartilhados.
Fonte: Windows mais recente
