Desenvolvendo segurança em um ambiente de navegador18 janeiro 2021
Como você já deve saber, a Dashlane está fazendo a transição de aplicativos desktop para uma versão web, em que usuários podem acessar suas contas por meio de uma extensão do navegador. Sabíamos desde o início do processo que a nova versão da Dashlane teria que atender os nossos rigorosos padrões de segurança. Nesta postagem, mostramos como isso foi feito e esclarecemos alguns mal-entendidos comuns sobre a segurança das extensões de navegadores.
Primeiro, algum contexto de base
Dependendo de seu grau de familiaridade com softwares, talvez você não conheça as diferenças entre sites, aplicativos web e extensões de navegador.
Sites e aplicativos web oferecem conteúdo, como arquivos html, imagens e arquivos JavaScript, por meio de um servidor. Esse conteúdo é, então, interpretado pelo seu navegador e apresentado na janela do seu navegador. Um aplicativo web é um tipo de site com mais funcionalidades e elementos interativos: Gmail, Twitter, Netflix, Amazon e Kayak são exemplos de aplicativos web; e algo como Wired.com é mais conhecido como um site.
Por sua vez, uma extensão do navegador é um aplicativo que você instala no navegador de sua preferência, como Chrome, Firefox ou Edge. Extensões do navegador são semelhantes aos aplicativos desktop: ambos são executados por meio de arquivos locais no seu computador em vez de arquivos baixados de um servidor. A principal diferença é que aplicativos desktop são instalados no seu sistema operacional (Windows ou MacOS), e extensões são instaladas e executadas diretamente no navegador. Além disso, extensões são auditadas por administradores de app stores de aplicativos do navegador, oferecendo uma camada adicional de segurança.
No novo Dashlane web, a extensão e o aplicativo web trabalham lado a lado para oferecer a experiência mais ampla e segura possível, incluindo um preenchimento automático aprimorado. E você continuará tendo acesso offline ao seu Cofre, desde que tenha feito login anteriormente, autorizado o dispositivo e o 2FA (autenticação de 2 fatores) não esteja habilitado para cada login. É fácil acessar seu Cofre: na extensão, escolha Mais no menu superior e clique em Abrir o aplicativo ; ou vá para Dashlane.com e clique em Entrar no canto superior direito. Se estiver usando um computador sem a extensão instalada, acesse app.dashlane.com para fazer login.
Nova plataforma, mesma arquitetura
Embora essa nova plataforma possa parecer diferente, a arquitetura base da Dashlane não irá mudar. Especificamente, nosso compromisso com o zero-knowledge continua intocável. Zero-knowledge significa que somente você pode acessar seus dados — nem a Dashlane nem um hacker podem ver o conteúdo da sua conta. Para isso, a Dashlane criptografa dados localmente em seu dispositivo em vez de em um servidor remoto — o mesmo processo da versão web.
Como todos os dados são criptografados localmente, no caso improvável de um invasor hackear nossos servidores AWS, ele teria acesso a milhões de arquivos criptografados, mas sem chave para descriptografar os dados. Tentar descriptografar cada arquivo criptografado com força bruta é possível, no entanto, graças à nossa implementação de criptografia AES-256 e derivação de chave Argon 2, o computador mais sofisticado do mundo levaria milhares de anos para fazer isso.
E lembre-se: se usar serviços ou produtos criptografados localmente, como a Dashlane ou o aplicativo de mensagens Signal, você deve sempre bloquear seu dispositivo com uma senha, pin ou biométrica. Um hacker ou ladrão poderá acessar dados confidenciais em um dispositivo desbloqueado.
Nosso investimento contínuo em segurança
A segurança é a prioridade do nosso produto, marca e cultura de empresa. Além de lançar de novos recursos, algumas áreas em que investimos incluem:
- Honrar nosso modelo de ameaças internas
- Um programa de recompensa por bugs em andamento com o HackerOne
- Interagir com terceiros para auditorias de segurança
- Aderir às melhores práticas do mercado, como o Soc2
- Fazer parte de comunidades do mercado, como a FIDO Alliance, e implementar novos protocolos de segurança, como o WebAuthn
Nenhum sistema de segurança é infalível, portanto, para proteger os dados dos nossos clientes, conhecemos todos os riscos potenciais, somos proativos, criamos planos para garantir que qualquer incidente de segurança tenha o menor impacto possível. Nunca tivemos um incidente de segurança, mas isso não significa que iremos relaxar.
Quer conhecer ainda mais sobre a nossa segurança? Leia nosso documento técnico.
Atualizações de produtos: dois novos recursos que você solicitou21 junho 2022
A praticidade da 2FA com a Dashlane21 junho 2022
Informações básicas sobre a autenticação de 2 fatores: o que é, e por que é importante14 junho 2022
