Soluções de segurança sem segurança

Continuando a discussão do Google adota biometria em preenchimento de senhas no Android:

Desde a data desta publicação eu venho acompanhando a atualização do meu play services para ativar essa função muito bem vinda, já que embora supostamente mais seguro, o lastpass é um tanto falho no preenchimento. Hoje percebi que o play services finalmente chegou na versão citada na matéria (demorou um pouco, ate o início dessa semana estava numa versão anterior) e a opção de autenticação por biometria apareceu. O problema é que sua ativação/desativação não possui nenhum tipo de proteção, seja por senha ou biometria, bastando apenas entrar nas configurações de preenchimento e desativá-la. Isso permite que a senha seja visualizada ao marcar a vsualizar senha na interface de login do app/site.

Vocês já experienciaram algum tipo implementação de segurança que no final não era tão seguro assim?

1 Curtida

Não entendi muito bem o ponto. Pra entrar “nas configurações de preenchimento” (do LastPass?) já tem que estar com acesso liberado ao sistema operacional, não?

Estou me referindo ao preenchimento do Google no Android, só citei o lastpass porque era essa camada de proteção que faltava no preenchimento do Google pra largar os lastpass.

Aqui, quando desativo a biometria, as configurações ficam inacessíveis - portanto, impossível acessar senhas e outros dados de preenchimento. Quando reativo e tento ver alguma senha, ele exige a biometria.

Em suma, só consegui aqui acessar senha ou qualquer dado de formulário usando a biometria.

Android 10, Play Services 20.30.19 (120400-326531024).

1 Curtida

A opção de pedir biometria ao preencher senhas pode ser ativada e desativada sem nenhum tipo de proteção, portanto é possível voltar à forma antiga de preenchimento direto (sem a solicitação de biometria) e assim, ao preencher, visualizar a senha após o preechimento.

No Chrome, sempre preencheu direto aqui, mas nunca testei dentro de aplicativos (uso um gerenciador de senhas quando é fora do Chrome).

Aí chega a pedir biometria no Chrome? Parece tão óbvio, mas o Android tem esses vacilos mesmo.