Home > Gestão

Em dúvida se deve ou não adotar um gerenciador de senhas?

Confira alguns prós e contras, e quais as opções disponíveis para testes, caso a possibilidade de uso o agrade

Roger A. Grimes, CSO/EUA

10/12/2018 às 17h47

Foto: Shutterstock

Recentemente, escrevi sobre o que considero o melhor conselho atual sobre senhas para sites e serviços que você precisa manter em segurança. Em poucas palavras, aqui está o conselho novamente:

  • Use autenticação multi-fator (MFA).
  • Onde o MFA não é uma opção, use gerenciadores de senhas, criando senhas únicas, aleatórias e longas para cada site ou domínio de segurança.
  • Onde os gerenciadores de senhas não são possíveis, use senhas longas e simples.
  • Em todos os casos, não use senhas comuns (por exemplo, “senha” ou “qwerty”) e nunca reutilize nenhuma senha entre sites diferentes.

Quando as pessoas são forçadas a criar e usar senhas longas, complexas e que mudam frequentemente, elas geralmente reutilizam as mesmas senhas entre sites diferentes ou usam apenas senhas ligeiramente diferentes, o que cria um padrão fácil de ser decifrado por cibercriminosos.

Se esses mesmos humanos usarem MFA ou outros métodos de autenticação sem memorização, o risco geral de senhas e padrões repetidos pode ser quebrado.  Além disso, essas pessoas puderem usar um gerenciador de senhas, criarão e usarão senhas longas e complexas que não precisarão memorizar. O que talvez possa dar a elas a possibilidade de obter o melhor dos dois mundos.

Por que adotei um gerenciador de senhas
Tenho testado e recomendado gerenciadores de senhas há muitos anos. Logo no início, suspeitei corretamente de sua qualidade e da segurança de seus códigos e operações. As primeiras versões geralmente acabavam na imprensa por causa de problemas com a segurança dos serviços. Hoje em dia, a maioria das escolhas populares é rica em recursos e segura o suficiente para me sentir bem em usá-las.

Até recentemente, eu nunca tinha dependido completamente deles. Tinha todas as minhas senhas memorizadas. E me sentia mal em recomendá-los sem “conviver muito” com eles. Então, decidi usar apenas um gerenciador de senhas tanto quanto possível para todos os logons de segurança onde funcionaria. Não vou revelar qual gerenciador de senhas estou usando, porque não testei todos eles e não quero dar uma análise não-reconhecida.

Uma das principais ameaças que me levou a decidir recorrer a um gerenciador de senhas em tempo integral é o grande número de sites e serviços comprometidos. Visite qualquer um dos sites do tipo “haveIbeenpwnd” e você provavelmente ficará surpreso ao ver quais de seus logons e senhas foram parar na Internet. Se você, como eu, usa uma raiz de senha comum que tenha um padrão discernível, provavelmente desejará alterar todas as suas senhas. Não seja como a pessoa comum que usa apenas sete senhas diferentes em todos os sites em que se autenticam.

Os prós da minha experiência com o gerenciador de senhas
Baixei e comprei um gerenciador de senhas comercial. Em seguida, passei vários dias mudando minhas senhas existentes em centenas de sites, deixando o gerenciador de senhas assumir a criação e o uso das senhas. Fiz o download do gerenciador de senhas para cada dispositivo que queria incluir, com os complementos adicionais relacionados aos dois navegadores mais populares que eu uso. Depois de alguns meses de uso, aqui estão minhas vantagens de usar um gerenciador de senhas:

1 - Funciona como anunciado: Em primeiro lugar, os gerenciadores de senhas permitem criar, registrar e reutilizar senhas entre diferentes sites. Funcionou como anunciado na maioria dos casos.

2 - Facilita a criação e o uso de senhas longas, complexas e aleatórias: Cerca de 10% a 15% dos meus sites não permitiriam uma senha longa (alguns pararam com 10 caracteres) ou eu não poderia usar símbolos. Isso significa ajustar rapidamente as senhas aleatórias geradas automaticamente para atender à política criação de senhas desses sites.

3 - Faz logon automático: O gerenciador de senhas pode preencher senhas automaticamente e é fácil chamar o gerenciador de senhas para preencher a senha em uma base ad-hoc. Ao usar um gerenciador de senhas, diga ao seu navegador para não lembrar de nenhuma senha. Isso tira o alvo de um cofre de senhas do invasor em potencial. Depois de uma semana ou duas, eu estava chamando o meu gerenciador de senhas para preencher rapidamente os logons sem sequer pensar nisso.

4 - Armazena com segurança as perguntas de recuperação de senha: Adorei poder registrar as respostas das perguntas de recuperação no meu gerenciador de senhas. Recomendo nunca dar respostas precisas às perguntas de recuperação, mas sim tratá-las como se fossem campos de senha adicionais. Você pode registrar as respostas da pergunta de recuperação, mas meu gerenciador de senhas não as preencheu automaticamente quando elas foram necessárias.

5 - Armazena com segurança mais do que senhas: Salvei meus cartões de crédito, cartões de associação, anotações e outras informações importantes para o gerenciador de senhas. Definitivamente, ele é um lugar para armazenar todos os segredos.

6 - Funciona em vários dispositivos: Adoro poder compartilhar facilmente meu gerenciador de senhas e todos os segredos armazenados entre vários dispositivos, e funcionou bem em todos os dispositivos. Ao ter que atualizar uma senha, em poucos segundos essa atualização já foi salva e armazenada nos outros dispositivos.

7 - Pode ser compartilhado com os membros da família: Estou envelhecendo. Minha esposa está preocupada comigo, morrendo inesperadamente e deixando-a sem o acesso apropriado às minhas contas financeiras críticas. Instalei outra instância do gerenciador de senhas em seu computador, disse a ela a senha mestra e mostrei a ela como é fácil fazer logon em qualquer site que eu tenha. Não só armazena as senhas, mas simplesmente apresenta uma lista de todos os meus sites, o que deu à minha esposa uma sensação de alívio. Se algo acontecer comigo, ela poderá fazer logon e visitar cada site para ver se há algo crucial para saber e fazer. Se preferir que seu cônjuge não veja todos os seus sites e logons, você pode escolher quais logons compartilhar ou dar a outro terceiro (legal) confiável.

Os contras da minha experiência com o gerenciador de senhas
Apesar de ter gostado de usar o gerenciador de senhas, ele tem contras. Aqui estão os que eu notei:

1 - Pode não suportar todos os seus dispositivos e navegadores: você precisa instalar o gerenciador de senhas em todos os dispositivos que você usará. Meu gerenciador de senhas tinha versões para todos os dispositivos e navegadores que eu uso. A maioria dos gerenciadores de senhas suporta apenas dois ou três navegadores, geralmente o Google Chrome, o Microsoft Edge e o Microsoft Explorer. Se você gosta de outro navegador, você terá que pesquisar qual gerenciador de senhas ele suporta, ou pode ter que voltar a usar um navegador que goste menos.

2 - A maioria funciona apenas com logons de navegador baseados na Web: a maioria dos gerenciadores de senha só funciona com sites da Web. Eles não farão login no seu computador, dispositivo ou rede corporativa.

3 - Um único ponto de falha: se você perder sua senha mestra ou outras informações de identificação, poderá perder o acesso a todas as suas senhas de uma só vez.

4 - Não funcionou com todos os sites: O gerenciador de senhas que escolhi não funcionou com alguns sites. O problema geralmente era que o gerenciador de senhas não reconhecia automaticamente que eu estava fazendo logon em um novo site, e eu tinha que chamá-lo manualmente. Às vezes, não preenchia automaticamente um site. Outras vezes, mesmo as senhas de cópia do gerenciador de senhas para os campos de logon não funcionavam. Quando isso aconteceu, tive que digitar senhas longas e complexas manualmente. Foi doloroso, mas eu raramente tive que fazer isso.

5 - Alterações não autorizadas: Por motivos desconhecidos, quando instalei meu gerenciador de senhas em meu smartphone, a instalação desativou a criptografia de armazenamento e o PIN de inicialização do smartphone. Quando percebi que ele estava desativado e tentei reativá-lo, meu gerenciador de senhas indicou que não seria possível fazer login no meu telefone para mim. Eu estou bem com isso. Eu não estou bem com o software desabilitando minha configuração de software de criptografia, especialmente sem comunicar claramente que estava fazendo isso.

6 - Baterias inexplicáveis: Houve algumas falhas inexplicáveis. Aparentemente ainda há bugs a serem resolvidos. Ma a maioria dos gerenciadores de senhas permite que você faça um backup criptografado de seus dados para que, caso falhe, você possa recuperar após uma reinstalação.

7 - Single sign-on:  O maior problema é o risco de qualquer método de logon único (SSO), em que um hacker pode comprometer o mecanismo que contém todas as suas senhas.  Se um hacker entrar em seu computador e acessar seu gerenciador de senhas, ele obterá as senhas que deseja obter de qualquer maneira (embora o gerenciador de senhas ou qualquer outro método SSO comprometido facilite isso).

No geral, estou muito feliz em usar um gerenciador de senhas. Meu maior medo é que, se todos começarem a usar gerenciadores de senhas, mais hackers e malwares os tornem alvo de ataques mais frequentes e agressivos, fazendo com que os riscos de SSO aparecessem com maior frequência.

@@@@

E quais são os melhores gerenciadores de senha?
Para Tim Ferrill, da InfoWorld, um gerenciador de senhas projetado corretamente é um excelente primeiro passo para garantir sua identidade online. Ele gera uma senha forte exclusiva para cada conta e aplicativo, sem exigir que você memorize ou anote essas sequências aleatórias de caracteres. Essas senhas fortes ajudam a proteger contra ataques de senha tradicionais, como dicionário, tabelas de arco-íris ou ataques de força bruta.

Segundo ele, gerenciadores de senhas de topo armazenam suas credenciais localmente, enquanto outros contam com serviços de nuvem para armazenamento e sincronização. Outros adotam uma abordagem híbrida. Algumas das opções que usam armazenamento local (como KeePass e 1Password) ainda suportam a sincronização através do Dropbox ou outros serviços de armazenamento.

Se os dados críticos armazenados em um serviço de nuvem o preocupam, o KeePass, o 1Password e o SplashID Safe (sem o serviço em nuvem do SplashID) são as melhores opções. Se você confia nos serviços baseados em nuvem e acredita que eles protegerão seus dados usando boas práticas de segurança e criptografia, o Dashlane e o LastPass são as principais opções.

Na opinião de Ferril, o KeePass é a melhor das opções usando o armazenamento local. O KeePass é de código aberto, e com a combinação certa de plug-ins, pode-se fazer quase tudo o que você precisa de um gerenciador de senhas. Entre as opções de nuvem, ele gosta do LastPass por seu baixo custo e sua implementação consistente de recursos em todos os clientes, mas prefere a abordagem do Dashlane para proteger senhas.

Cada cliente LastPass que Ferrill testou era fácil de trabalhar, estável e notavelmente uniforme do ponto de vista da usabilidade.

O Dashlane leva a segurança da senha alguns passos adiante, apenas descriptografando seus dados dentro da sessão do navegador local, não no servidor. Em suma, opte pelo LastPass se quiser maior facilidade e recursos, pelo menor preço;  ou opte pelo Dashlane para segurança máxima das senhas.

Um recurso que pode fazer uma grande diferença na sua decisão entre o LastPass e o Dashlane envolve sua família. Muitos de nós temos cônjuge, filhos ou membros idosos da família com os quais precisamos compartilhar credenciais de contas ou, em alguns casos, até gerenciar suas contas. Tanto o Dashlane quanto o LastPass têm excelentes opções para as famílias, pagas. A diferença realmente se resume ao custo e à preferência pessoal, já que ambas as ofertas são sólidas.

Dois produtos oferecem um caminho intermediário que pode atrair alguns usuários. O 1Password e o SplashID Safe combinam os benefícios de segurança do armazenamento em cofre off-line com a conveniência da sincronização completa por meio de um serviço online. Com qualquer um desses gerenciadores de senhas, você pode optar por sincronizar a maioria de suas credenciais usando o serviço de nuvem, optando seletivamente por armazenar determinadas informações off-line ou sincronizar por meio de uma alternativa, como o Dropbox.

Outros concorrentes
É sempre bom quando um produto de segurança é apoiado por uma marca sinônimo de segurança do computador, e o Norton Identity Safe da Symantec certamente tem esse fator a seu favor. O Identity Safe tem outra vantagem: é totalmente gratuito. Você pode escolher entre vários gerenciadores de senhas gratuitos, mas nenhum deles são serviços em nuvem operados por um fornecedor de software com um nível de confiança acumulado ao longo de décadas. O Norton Identity Safe costumava fazer parte de um pacote de segurança Norton, mas agora é um serviço autônomo com um front-end da Web e clientes para iOS e Android.

O KeePass não é o único gerenciador de senhas de código aberto. Há também o Password Safe, atualmente disponível para o Windows em versões instaláveis ​​e portáteis, e para o Linux em uma versão beta. O Password Safe não é tão rico em recursos ou maduro quanto o KeePass, e Ferrill diz ter dificuldades em apontar uma razão para usá-lo. Na opinião dele, o Password Safe é uma alternativa viável e, se tudo o que você precisa é de um gerenciador de senhas local, a decisão pode se resumir ao programa mais fácil de usar. O resultado pode ser protegido por senha.

O Buttercup é uma alternativa de código aberto para ficar de olho. Agora, na versão 1.10, o Buttercup é uma opção mais polida do que o Password Safe ou o KeePass, pelo menos em termos de interface do usuário. A única hesitação de Ferrill com o Buttercup foi a falta de suporte móvel, o que deixou de ser um problema, recentemente, com a disponibilidade de clientes para Android e iOS.

O Keeper é um gerenciador de senhas completo que suporta múltiplas plataformas, incluindo Windows, MacOS, iOS, Android e Windows Phone. Os recursos de segurança incluem autenticação de dois fatores e compartilhamento seguro. O Keeper oferece dois níveis de preços, começando com uma conta Ilimitada que fornece armazenamento de senha ilimitado, acesso ao aplicativo da web do Keeper, compartilhamento seguro e acesso à equipe de suporte. Já o  Keeper Family suporta até cinco usuários, oferece 10 GB de armazenamento seguro de arquivos e oferece uma experiência de compartilhamento simplificada.

O Trend Micro Password Manager tem uma opção gratuita que suporta apenas cinco senhas. O serviço de assinatura da Trend Micro, por sua vez, suporta um número ilimitado de senhas e dispositivos. Os clientes de desktop estão disponíveis para Windows e MacOS, e os clientes móveis estão disponíveis para iOS e Android. Embora não haja nada de errado com o Password Manager, na opinião de Ferrill ele não corresponde a outros concorrentes em recursos ou refinamento.

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter Newsletter por e-mail