Todos os posts

8 min de leitura

Modo computador público: usando o CardanoWall em um dispositivo compartilhado

O modo computador público impede que o CardanoWall grave dados de identidade no navegador, de modo que um dispositivo compartilhado não deixa rastros depois que você sai. Ele não torna segura uma máquina comprometida enquanto você está conectado.

Você pode usar o CardanoWall em um computador emprestado ou compartilhado, e o modo computador público torna isso mais seguro — mas apenas de uma maneira específica. O modo impede que o aplicativo grave qualquer coisa relacionada à identidade no navegador, de forma que nada da sua sessão fica na máquina depois que você se afasta. O que ele não consegue fazer é proteger você enquanto ainda está conectado. Se o dispositivo estiver comprometido, o modo computador público não muda isso.

Então a regra é simples: trate um computador compartilhado como de maior risco, ative o modo computador público e nunca cole uma semente de alto valor em um dispositivo que você não controla.

O que é o modo computador público?

É um modo de navegador apenas de sessão e de menor persistência que você pode ativar ao desbloquear ou ao criar uma identidade.

Quando você não é dono do dispositivo, não quer que o CardanoWall deixe estado relacionado à identidade para a próxima pessoa. O modo computador público é a opção explícita para isso. Ele foi feito para momentos como:

  • um computador de biblioteca ou do centro de negócios de um hotel;
  • uma máquina de espaço de coworking ou de conferência;
  • uma estação de trabalho compartilhada de redação;
  • um notebook emprestado;
  • um dispositivo gerenciado por uma organização em que você não confia totalmente.

A própria opção deliberadamente não é salva em lugar nenhum. Persistir "estou em um computador público" seria uma gravação no armazenamento do navegador — exatamente aquilo que o modo existe para evitar — e um recarregamento em uma máquina compartilhada deve sempre voltar ao padrão seguro de perguntar de novo.

O que o modo computador público muda?

Ele desativa toda gravação relacionada à identidade no armazenamento do navegador.

Em um dispositivo que você possui e em que confia, o CardanoWall armazena em cache alguns dados de conveniência não secretos para que as sessões futuras sejam mais fluidas. Ele pode manter uma cópia do seu cofre cifrado no navegador para que um recarregamento precise apenas de um toque na passkey em vez de uma busca pela rede, e pode manter metadados de configuração não secretos durante a integração para que um recarregamento acidental não quebre o fluxo. É importante destacar: a cópia do cofre no navegador é o mesmo texto cifrado que o servidor guarda — cifrado com age e que só pode ser aberto pelas suas passkeys — não uma cópia em texto claro da sua semente.

No modo computador público, todos esses caminhos são suprimidos: nenhum cache de cofre memorizado, nenhum atalho de desbloqueio local, nenhuma fixação de versão e nenhum espelho de metadados de integração. A barreira fica em cada ponto de controle do armazenamento, de modo que nenhuma parte do aplicativo possa gravar acidentalmente algo que o modo deve reter.

O que permanece é o estado de desbloqueio em memória. Enquanto você está conectado, sua semente e as chaves derivadas dela vivem apenas na memória da sessão. Elas sobrevivem à navegação dentro do aplicativo durante toda a vida da aba; bloquear ou sair as apaga na medida do possível, e fechar a aba ou recarregar desmonta a página por completo. O objetivo é não deixar nada para trás. Para um quadro mais completo do que o navegador guarda e do que não guarda, veja o que o CardanoWall armazena no navegador.

O que o modo computador público não muda?

Ele não torna confiável um computador não confiável.

Esta é a parte que mais importa. Um script malicioso na sua sessão ativa — de uma extensão de navegador hostil, de uma falha de cross-site-scripting armazenada na página, de um keylogger ou de software de acesso remoto — pode ler o que você digita e o que o aplicativo mantém em memória enquanto você está desbloqueado. Isso inclui sua Identity Seed se você a colar, e suas chaves privadas enquanto a identidade está ativa.

O CardanoWall reduz esse risco com uma política de segurança de conteúdo rígida, scripts mínimos e a regra de que o desbloqueio e a decifração só acontecem por uma ação explícita que você realiza — nunca automaticamente. Essas medidas diminuem as chances, mas não conseguem eliminar um atacante que já está executando código na sua sessão. Esse é um limite inerente a qualquer criptografia entregue pelo navegador, não uma lacuna específica do CardanoWall. O modo computador público reduz o que fica para trás; ele não derrota um comprometimento ativo.

Devo colar minha Identity Seed em um computador público?

Apenas se a exposição for aceitável e, para uma identidade de alto valor, a resposta honesta é não.

A Identity Seed é a raiz da sua identidade Label 309. Qualquer pessoa que a capture pode assinar como você e decifrar todo registro selado endereçado a essa identidade, passado e futuro. Digitá-la em um dispositivo que você não controla é, portanto, uma decisão séria, não uma rotineira.

Para uma identidade de baixo valor ou um acesso de emergência genuíno, você pode aceitar esse risco por uma sessão curta. Para qualquer coisa que importe, use seu próprio dispositivo confiável. O modo computador público é melhor que o modo normal em uma máquina compartilhada, mas não faz nada para remover o perigo central de inserir um segredo em um computador que não é seu.

E as passkeys em um dispositivo compartilhado?

Depende de a passkey estar disponível ali — e, mesmo assim, o risco do dispositivo não desaparece.

Se a sua passkey sincronizada chegar ao dispositivo por meio da sua própria conta no provedor de passkeys, talvez você consiga desbloquear sem colar a semente, o que elimina a exposição da entrada da semente. Essa é uma melhoria real. Mas a sessão desbloqueada ainda mantém suas chaves privadas derivadas em memória, e o dispositivo ainda pode não ser confiável. Um ambiente local hostil pode simplesmente mirar na sessão ativa em vez da semente que você nunca digitou.

As passkeys sincronizadas também herdam o modelo de segurança e recuperação de quem as fornece, enquanto uma chave de hardware traz outras vantagens e desvantagens; passkeys sincronizadas versus chaves de hardware trata dessa escolha. De qualquer forma, para identidades sensíveis, desbloqueie apenas em um dispositivo que você controla. Mais sobre como as passkeys protegem o cofre: como as passkeys protegem o seu cofre de identidade.

Quando o modo computador público é de fato útil?

Ele é mais útil para trabalho de baixo risco, em que o objetivo é simplesmente não deixar sobras.

Bons casos incluem:

  • abrir e conferir um link de prova;
  • visualizar metadados de prova públicos, na cadeia;
  • verificar localmente o hash de um arquivo não sensível;
  • ler informações não sensíveis da conta;
  • uma sessão curta com uma identidade deliberadamente de baixo risco;
  • acesso de emergência quando não há nenhum dispositivo confiável à mão.

É um caso ruim para qualquer coisa que exponha segredos ou faça mudanças duradouras:

  • revelar uma Identity Seed;
  • decifrar registros selados sensíveis;
  • assinar registros que importam;
  • gerenciar identidades compartilhadas ou de equipe;
  • adicionar passkeys;
  • alterar configurações de recuperação ou de segurança.

O que devo fazer antes de deixar um computador compartilhado?

Encerre a sessão deliberadamente, em vez de apenas fechar a tampa.

Antes de se afastar:

  • bloqueie a identidade;
  • saia da conta;
  • feche a aba e a janela do navegador;
  • evite baixar arquivos decifrados e exclua quaisquer que você tenha criado;
  • limpe a área de transferência se você copiou um segredo para ela;
  • não deixe o navegador salvar senhas ou passkeys no dispositivo.

Uma janela privada ou anônima é uma camada extra útil, porque descarta o próprio armazenamento ao ser fechada, mas não a confunda com uma barreira de segurança contra malware — ela não é uma.

E se eu já usei um dispositivo arriscado?

Decida se a sua semente pode ter sido exposta e responda a isso, não a uma preocupação vaga.

Se você apenas visualizou registros públicos, em geral há pouco a fazer. Mas se você desbloqueou uma identidade, colou ou revelou uma semente, ou decifrou arquivos sensíveis em um dispositivo pelo qual você não pode responder, leve a possibilidade a sério.

Se você não consegue descartar a exposição da semente, trate a identidade como comprometida. Não existe redefinição para uma semente vazada — a resposta é migrar para uma nova:

  • crie uma nova identidade;
  • publique e compartilhe as novas chaves públicas por um canal separado;
  • desative a identidade antiga no CardanoWall;
  • pare de usar os endereços de recebimento antigos;
  • onde ajudar, publique um registro de substituição que aponte para a nova identidade.

Observe a assimetria: remover uma passkey volta a cifrar o seu cofre para os fatores restantes e exclui o texto cifrado antigo, de modo que uma passkey removida não consegue mais abrir o cofre atual — mas isso só ajuda se a própria semente nunca tiver sido exposta. Uma semente vazada é comprometimento total, e a remoção da passkey não o desfaz. A mecânica de aposentar uma identidade está detalhada em identidades ativas, desativadas e excluídas.

A versão curta

O modo computador público faz um trabalho bem: ele impede que o CardanoWall deixe estado relacionado à identidade no navegador de um dispositivo que não é seu. Ative-o para computadores compartilhados. Não o confunda com proteção contra uma máquina que já está comprometida.

Se a identidade importa, use um dispositivo em que você confia. E a sessão de computador compartilhado mais segura continua sendo aquela em que você nunca cola a sua semente e nunca desbloqueia uma identidade de alto valor. Para a questão mais ampla do que o serviço pode e não pode observar, veja o que o CardanoWall consegue ver.

Leitura complementar

securitybrowser-securitycardanowall-guides