Ataque 16 – Armazenamento de senha no navegador

downloadDescrição:
Consiste no atacante conseguir roubar as informações de credencial de um usuário que ignorantemente permitiu que o navegador os armazenasse.

Riscos: Acesso à solução como se fosse o usuário autenticado.

Solução:

  1. Uso da técnica “One Shot Password”, criando uma senha randomicamente no momento do acesso. Pode utilizar cartões de senhas, tokens dinâmicos ou qualquer outra coisa que gere uma senha dinâmica por acesso.
  2. Uso da tecnologia Applet criando um programa Java, assinado com certificado digital válido que executara embutidamente dentro do navegador do usuário para receber a senha digitada. Nessa abordagem, o navegador não pode armazenar a senha por que os valores estarão sendo controlados dentro do programa Java embutido no navegador.
  3. Uso de HTML5 através do recurso chamado “autocomplete” que é usado para instruir o navegador a não armazenar aquela determinada informação. Todo componente visual (widget) pode ser programado com autocomplete=”off” dizendo para o navegador não armazenar aquele determinado campo combinado com a geração dinâmica de identificador widget e campos hidden na pagina HTML e instruções de não cache HTTP. Veja um artigo sobre essa opção – https://fernandofranzini.wordpress.com/2012/04/20/brecha-de-seguranca-autocompletar-dos-navegadores/

Para todas as informações, veja o post inicial.

“Não to mandei eu? Sê forte e corajoso; não temas, nem te espantes, porque o SENHOR, teu Deus, é contigo por onde quer que andares.” Josué 1:9

Anúncios