A maioria dos entusiastas da tecnologia hoje em dia, incluindo muitos de nós aqui na Autoridade Android, jura por gerenciadores de senhas. Eles geralmente são apresentados como a maneira mais fácil de melhorar sua segurança online, eliminando problemas comuns, como senhas fáceis de adivinhar e práticas de armazenamento incorretas. Além disso, muitos ainda oferecem conveniência através do preenchimento automático como um bônus adicional. Se você tem consciência de manter-se seguro e privado online, provavelmente também já ouviu falar sobre gerenciadores de senhas.
A premissa básica é simples: um gerenciador de senhas gera senhas aleatórias para cada site ou serviço que você usa. Essas senhas são então adicionadas a um cofre virtual, bloqueadas por uma senha mestra. Dessa forma, não se espera que você se lembre de dezenas de senhas — tudo o que você precisa é de uma única senha complexa. Mas quão seguros são os gerenciadores de senhas, e usar um faz de você um alvo vulnerável?
Por que usar um gerenciador de senhas?
Joe Hindy / Autoridade Android
Um dos maiores pontos fortes dos gerenciadores de senhas é sua capacidade de gerar senhas complexas para você. Considere a seguinte senha de 18 caracteres, por exemplo, cortesia do meu gerenciador de senhas: # * Si6Myx @ BD2nqCAWa.
Em primeiro lugar, é completamente aleatório e não relacionado a nada na minha vida, tornando praticamente impossível para qualquer um adivinhar através de um ataque de engenharia social. Ele também não contém palavras ou nomes comuns, portanto, ataques de dicionário comuns também podem ser descartados.
Os gerenciadores de senhas geram senhas aleatórias e exclusivas para cada site, protegendo você de futuras violações de segurança.
A aleatoriedade e exclusividade são igualmente importantes, especialmente se você tende a reutilizar senhas. Serviços como o Have I Been Pwned informarão exatamente a quantas violações de dados seu endereço de e-mail foi associado. Se você usar um gerenciador de senhas para gerar dezenas de senhas não correlacionadas, suas contas digitais ficarão completamente isoladas umas das outras. Simplificando, uma única violação de segurança em um site de mídia social aleatório não comprometerá todas as suas contas bancárias e confidenciais.
Relacionado: 10 melhores aplicativos de segurança para Android
Os gerenciadores de senhas são seguros? Eles podem ser hackeados?
Os gerenciadores de senhas parecem complicados, mas seus fundamentos de segurança são bem simples de entender. Em poucas palavras, eles contam com uma técnica de criptografia específica chamada criptografia de conhecimento zero que garante que ninguém, exceto você, possa acessar suas senhas salvas. Isso é um acréscimo a todas as práticas usuais de criptografia online, como criptografia de ponta a ponta e criptografia em repouso.
Relacionado: O que é criptografia? Aqui está tudo o que você precisa saber
A melhor maneira de entender o modelo de segurança de um gerenciador de senhas é olhar para plataformas de armazenamento em nuvem como Google Drive ou Dropbox. Com esses serviços, seus dados são criptografados, mas o próprio provedor de serviços detém as chaves de autenticação. Sua senha é usada apenas para autenticar sua conta, não para descriptografar os dados reais. Simplificando, se os servidores do provedor de nuvem forem comprometidos junto com as chaves de criptografia, seus dados poderão ser acessados remotamente e sem o seu conhecimento.
É por esse motivo que nenhum serviço de gerenciador de senhas confiável jamais registrará sua senha mestra ou manterá uma cópia das chaves de criptografia usadas para descriptografar seu cofre. Em outras palavras, o aplicativo tem “conhecimento zero” das senhas criptografadas.
Os gerenciadores de senhas não armazenam uma cópia da chave de criptografia. Em outras palavras, ninguém, exceto você, pode acessar seu cofre.
Já vimos um punhado de gerenciadores de senhas de alto perfil sofrerem violações de segurança no passado. No entanto, até onde sabemos, nenhum deles vazou informações confidenciais, como senhas ou outro conteúdo do cofre. Estatisticamente falando, usar um gerenciador de senhas é muito mais seguro do que a alternativa – anotar suas senhas em um documento de texto simples ou reutilizar uma senha previsível em vários sites.
A grande desvantagem dessa técnica de criptografia rígida é que você corre o risco de perder permanentemente o acesso às suas senhas se esquecer a senha mestra. Você não pode simplesmente entrar em contato com o suporte ao cliente para “redefinir” sua senha mestra. Na verdade, isso implicaria que o gerenciador de senhas pode acessar seus dados à vontade – o que não é muito seguro!
Use autenticação de dois fatores para segurança adicional
Claro, nenhum software ou tecnologia é perfeito. A senha também pode ser vulnerável em cenários específicos. No entanto, esses são quase sempre cenários planejados que provavelmente não afetarão você.
Pesquisadores de segurança uma vez descobriram um bug de cache, por exemplo, que poderia ter permitido que um invasor capturasse senhas preenchidas anteriormente. No entanto, exigia uma série específica de ações por parte do usuário – incluindo visitar um site malicioso. Mais importante, porém, o bug foi corrigido muito antes de ser divulgado publicamente, então seu impacto no mundo real foi insignificante, se não zero.
Os gerenciadores de senhas populares são auditados regularmente e as vulnerabilidades de segurança geralmente são corrigidas antes de se tornarem de conhecimento público.
A maior vulnerabilidade a ser considerada é o erro do usuário. Os próprios gerenciadores de senhas são bastante seguros, mas o mesmo não pode ser dito para o navegador ou outros aplicativos instalados em seu computador. Um programa malicioso espionando sua área de transferência, por exemplo, poderia facilmente desviar suas senhas – e não seria culpa do gerenciador de senhas. Da mesma forma, os keyloggers podem gravar sua senha mestra enquanto você desbloqueia seu cofre.
Então, como você se protege contra esses cenários hipotéticos? Além da recomendação óbvia de baixar as atualizações de segurança mais recentes em todos os seus dispositivos, você deve considerar o uso de autenticação de dois fatores (2FA). Na verdade, muitos gerenciadores de senhas podem ser protegidos com 2FA.
Veja também: 10 melhores aplicativos autenticadores de dois fatores para Android
Simplificando, a autenticação de dois fatores permite que você combine uma senha com algo que você possui. Isso pode ser códigos de um aplicativo como o Google Authenticator ou um dispositivo de hardware dedicado, como um YubiKey. Dessa forma, mesmo que um invasor ponha as mãos em sua(s) senha(s), ele não poderá acessar suas contas.
Por fim, lembre-se de que você não deve reutilizar sua senha mestra em nenhum outro lugar. Isso pode expô-lo a ataques de preenchimento de credenciais, em que os invasores usam credenciais roubadas para fazer login em serviços não comprometidos, como seu gerenciador de senhas. Ultimamente, vimos um aumento nas tentativas de preenchimento de credenciais nos principais serviços de gerenciamento de senhas.
Qual gerenciador de senhas você deve usar?
Com o básico fora do caminho, qual gerenciador de senhas você deve usar? Afinal, existem dezenas de opções por aí, com diferentes conjuntos de recursos e preços para inicializar. Felizmente, escolher o gerenciador de senhas mais seguro não é muito complicado. Você não pode errar com nenhum dos grandes nomes – pelo menos do ponto de vista da segurança.
A maioria dos gerenciadores de senhas de alto perfil são funcionalmente idênticos, mas podem variar em termos de preços, recursos não essenciais e outros fatores.
Se você está procurando um gerenciador de senhas de código aberto, o Bitwarden é universalmente considerado a melhor opção. A funcionalidade básica é fornecida gratuitamente, incluindo sincronização ilimitada entre dispositivos. Melhor ainda, você pode escolher entre o serviço de nuvem da Bitwarden ou auto-hospedar sua própria instalação em um computador ou servidor local. A única desvantagem do Bitwarden é que é um projeto apoiado pela comunidade, portanto, não há garantia de atualizações consistentes.
Se a simplicidade é importante para você, o LastPass e o 1Password podem parecer mais atraentes. Ambos existem há pelo menos uma década e continuam sendo amplamente utilizados hoje. Eles têm níveis premium, mas você pode obter recursos extras e um suporte ao cliente potencialmente melhor pelo seu dinheiro.
Veja também: 1Password vs. LastPass
Por fim, se a sincronização na nuvem parecer muito arriscada, mesmo com toda a criptografia e as melhores práticas mencionadas, o KeePass é um gerenciador de senhas de código aberto que pode proteger os dados do seu cofre em um arquivo de banco de dados offline. Você terá que transferir manualmente o banco de dados para cada dispositivo e repetir o processo sempre que alterar o conteúdo do cofre. Você essencialmente troca conveniência por maior segurança, para melhor ou para pior.
Esta não é de maneira alguma uma lista exaustiva. Você pode encontrar mais ferramentas de gerenciamento de senhas, incluindo ofertas do Google e da Samsung, em nosso resumo dos melhores gerenciadores de senhas para Android.