A Stiftung Warentest avalia os gestores de palavras-passe
Em abril de 2022, soubemos que a Stiftung Warentest iria em breve comparar o nosso Password Depot - um gestor de palavras-passe "Made in Darmstadt", desenvolvido e vendido na Alemanha há mais de 20 anos - com outros concorrentes neste domínio.
O nosso produto foi premiado com o 1º lugar - duas vezes - pelo Instituto Fraunhofer, em nome de uma conhecida revista de informática, há mais de 10 anos, obteve inúmeras outras vitórias em testes e, mais recentemente, foi submetido a um rigoroso teste de penetração pela SySS GmbH, no qual passou com a classificação "muito seguro".
Na edição de 07/2022 da Stiftung Warentest, tomámos agora nota do facto de o Password Depot ter sido classificado apenas como "Suficiente" (= D).
Como é que isto pode acontecer?
No caso do atual teste de referência da Stiftung Warentest, foi decidido que um produto é desvalorizado, ou seja, não pode obter mais do que "Suficiente" ou D, se permitir um único carácter como palavra-passe mestra ao criar novas bases de dados - ou seja, independentemente do seu bom ou mau desempenho em todos os outros critérios de teste.
Esta foi a única razão para a classificação "Suficiente" ou D. O Password Depot permitia, de facto, senhas mestras com um único carácter até à versão 16.0.3 - mas apenas após avisos de segurança explícitos.
Sem esta funcionalidade, o Password Depot teria muito provavelmente recebido uma classificação de "Bom" ou B com base nos restantes critérios de teste.
A desvalorização iminente devido à palavra-passe mestra de 1 carácter foi-nos comunicada pela Stiftung Warentest com antecedência (abril de 2022). Como resultado, implementámos uma atualização em 26.04.22 e, desde então, é aplicado um comprimento mínimo de 15 caracteres ao criar novas bases de dados. Além disso, tem de utilizar pelo menos três dos quatro tipos de caracteres (letras maiúsculas e minúsculas, números, caracteres especiais). (Uma nota sobre esta caraterística: Esta é certamente uma configuração padrão sensata para utilizadores completamente inexperientes, para os proteger. Mesmo que possa ser irritante ter de utilizar palavras-passe tão complexas em determinadas situações, por exemplo, ao testar a aplicação ou ao criar bases de dados temporárias).
Infelizmente, esta atualização não foi tida em conta pelos testadores para a avaliação final, apesar de termos publicado a atualização 24 horas após termos sido informados, ou seja, cerca de 2 meses antes do lançamento da edição de 07/2022 (ver atualização para a versão 16.0.3 de 26/04/22).
O nosso concorrente Avira, por outro lado, tinha uma "vulnerabilidade de segurança perigosa", mas a sua correção ainda foi muito considerada no teste publicado. Não é totalmente compreensível que isso não tenha acontecido no nosso caso. Após um inquérito mais aprofundado, fomos informados de que: "Uma vulnerabilidade de segurança deve ser avaliada de forma diferente de uma decisão de conceção deliberada."
Agora, pode argumentar se um gestor de senhas deve ser desvalorizado se permitir um único carácter como senha mestra, apesar dos avisos explícitos ao utilizador. No entanto, um dos critérios mais importantes, do nosso ponto de vista, não foi de todo considerado durante o teste:
Para avaliar a segurança de qualquer gestor de palavras-passe, seria pelo menos necessário investigar como funciona com as palavras-passe do utilizador e se deixa quaisquer vestígios na memória de trabalho. Vamos supor o seguinte cenário: Um utilizador trabalha com um gestor de palavras-passe no escritório. Em seguida, bloqueia o gestor de senhas e sai do local de trabalho por um curto período de tempo - confiando que tudo está bem. No entanto, se um terceiro mal-intencionado aceder ao PC do utilizador durante apenas alguns minutos, pode ler a memória do vencedor do teste, o 1Password, e aceder a todas as suas palavras-passe em texto simples - sem que este infeliz utilizador se aperceba: isto é uma falha de segurança grave!
Muitos gestores de senhas não são capazes de encriptar os dados do utilizador na memória de trabalho. De facto, isto representa um desafio altamente complexo, uma vez que a gestão de memória do Windows só pode ser manipulada e controlada até um certo ponto. Surpreendentemente, este comportamento não levou a um downgrade para o "vencedor do teste" 1Password.
O raciocínio da Stiftung Warentest para este facto foi o seguinte
"Num sistema que já foi comprometido, são concebíveis muitos cenários que podem pôr em perigo a segurança do utilizador. Assumir isto como base para os testes torna praticamente impossível qualquer outra declaração sobre a segurança potencial de produtos individuais."
Temos de discordar fortemente desta argumentação extravagante. Especialmente em sistemas comprometidos, temos de tentar proteger cada utilizador da melhor forma possível. Caso contrário, mais vale guardarmos as nossas palavras-passe em folhas de cálculo do Excel.
Mesmo no caso de um acidente de viação, "são concebíveis muitos cenários que podem pôr em perigo a segurança dos utilizadores". É precisamente por isso que precisamos de um airbag, de um ABS e de todas as outras medidas de segurança nos veículos. Segundo a argumentação dos testadores da Stiftung Warentest, estes mecanismos de segurança não fariam sentido em caso de acidente, porque "o cavalo já fugiu".
O Password Depot, por outro lado, não só encripta os dados na memória de trabalho. Também fornece proteção contra malware no PC do utilizador - malware que tenta fazer-se passar pelo addon do Password Depot, por exemplo - permitindo que a comunicação entre o Password Depot e o seu addon seja protegida por palavra-passe. Ou, para escolher outra funcionalidade, bloqueia o acesso quando tenta copiar demasiadas palavras-passe para a área de transferência num período de tempo demasiado curto.
Esperamos sinceramente que tenhamos conseguido comunicar-lhe porque é que, apesar deste resultado de teste - à primeira vista - sombrio, não precisa de se preocupar com a segurança dos seus dados no Password Depot e pode continuar a confiar no Password Depot sem quaisquer restrições.
PS: As capturas de ecrã abaixo demonstram como é perigosamente fácil ler as suas palavras-passe do vencedor do teste.
Um exemplo de entrada no 1Password:
Embora o programa esteja bloqueado, é possível ler tanto a palavra-passe como o nome de utilizador (convenientemente, mesmo com as etiquetas correspondentes "Palavra-passe" e "Nome de utilizador").
