O que é um gerenciador de senhas?
Antigamente, durante os primeiros anos da Internet, talvez você tivesse um punhado de senhas para alguns aplicativos da Web essenciais que usava para fazer compras, estudar, manter-se conectado e trabalhar. Hoje, as coisas são muito mais complicadas. Em média, é relatado que as pessoas precisam se lembrar de cerca de 100 senhas.
Embora a tecnologia prometa facilitar nossa vida, e geralmente facilita, cada novo site e aplicativo em que nos inscrevemos é mais uma senha que temos de lembrar. Para a maioria, tornou-se impossível lembrar de todas elas. Pense em si mesmo: você reutiliza suas senhas em várias contas (assim como dois terços dos usuários da Internet)? Isso é um grande erro.
Usando listas gigantescas de senhas roubadas (também conhecidas como "dumps") compradas na darkweb, os criminosos cibernéticos podem fazer força bruta para entrar em outros sites ou usar senhas antigas para extorquir usuários em golpes. Esse é o efeito dominó da violação de dados. Uma violação leva a outra, a outra e assim por diante.
Há relatos de que a maioria das violações de dados é causada por senhas comprometidas, fracas e reutilizadas. 1234567, alguém?
Então, como chegamos até aqui e o que podemos fazer a respeito?
O famoso quadrinho da Web "Password Strength" (Força da senha), do xkcd, explicou isso melhor: "Em 20 anos de esforço, conseguimos treinar todo mundo para usar senhas que são difíceis de serem lembradas pelos humanos, mas fáceis de serem adivinhadas pelos computadores."
É verdade. Há 20 anos, os profissionais de segurança cibernética advertiram os consumidores por não alterarem as senhas padrão nos dispositivos de IoT (como o roteador de Internet) ou por usarem senhas fáceis de adivinhar, como "12345" ou "password". A partir daí, surgiu a senha longa e forte com a qual o xkcd brinca: uma palavra comum com uma mistura de letras maiúsculas e minúsculas, pelo menos um número e um símbolo.
Ao criar uma nova conta, os sites exigem que criemos senhas longas e fortes. Se isso não for feito, nem sequer é permitido criar uma conta. Supondo que se passe da fase de criação da conta, você esquecerá imediatamente a cifra da máquina Enigma que acabou de criar e se resignará a usar o link "Esqueceu a senha?" como sua opção de login diária.
Felizmente, você não precisa se lembrar de todas essas senhas. Um gerenciador de senhas pode lembrá-las para você.
Malwarebytes Labs define um gerenciador de senhas como "um aplicativo de software projetado para armazenar e gerenciar credenciais on-line. Ele também gera senhas. Normalmente, essas senhas são armazenadas em um banco de dados criptografado e bloqueadas por uma senha mestra".
Depois que todos os nomes de usuário e senhas das suas contas forem inseridos no cofre, a senha mestra será a única que você precisará memorizar. A inserção da senha mestra desbloqueia o cofre de senhas e, a partir dele, você pode recuperar a senha que precisar.
Quais são os benefícios de usar um gerenciador de senhas?
Você não precisa mais memorizar todas as suas senhas. Você só precisa se lembrar da senha mestra que desbloqueia o cofre de senhas. E se você optar por um gerenciador de senhas baseado na nuvem, poderá acessar o cofre de senhas em qualquer lugar, de qualquer dispositivo.
Eles podem gerar automaticamente senhas altamente seguras para você. Normalmente, os gerenciadores de senhas perguntam se você deseja usar uma senha gerada automaticamente sempre que criar uma nova conta em um site ou aplicativo. Essas senhas aleatórias são longas, alfanuméricas e praticamente impossíveis de adivinhar.
Eles podem alertá-lo sobre um site de phishing. Aqui está uma breve explicação sobre golpes de phishing. Os e-mails de spam são falsificados para parecer que vêm de um remetente legítimo, como um amigo, um membro da família, um colega de trabalho ou uma organização com a qual você faz negócios. Os links contidos no e-mail direcionam para sites mal-intencionados falsificados de forma semelhante, projetados para coletar credenciais de login. Se você estiver usando um gerenciador de senhas baseado em navegador, ele não preencherá automaticamente os campos de nome de usuário e senha, pois não reconhece o site como aquele vinculado à senha.
Elas podem ajudar seus beneficiários quando você falecer. Isso é chamado de herança digital. No caso de sua morte, sua família ou quem você designar para administrar seu patrimônio terá acesso ao cofre de senhas.
Os gerenciadores de senhas economizam tempo. Além de armazenar as senhas para você, muitos gerenciadores de senhas também preenchem automaticamente as credenciais para agilizar o acesso às contas on-line. Além disso, alguns podem armazenar e preencher automaticamente nome, endereço, e-mail, número de telefone e informações de cartão de crédito. Isso pode ser uma grande economia de tempo ao fazer compras on-line, por exemplo.
Muitos gerenciadores de senhas são sincronizados em diferentes sistemas operacionais (SOs). Se você for usuário do Windows no trabalho e do Mac em casa, usar o Android de segunda a sexta-feira e o iOS nos fins de semana, poderá acessar rapidamente suas senhas, independentemente da plataforma em que estiver. O mesmo vale para todos os navegadores da Web mais populares, ou seja, Chrome, Firefox, Edge, Internet Explorer e Safari.
Eles ajudam a proteger sua identidade. De uma forma indireta, os gerenciadores de senhas ajudam a proteger contra o roubo de identidade, e aqui está o motivo. Ao usar uma senha exclusiva para cada site, você está basicamente segmentando seus dados em cada site e aplicativo que usa. Se um criminoso invadir uma de suas contas, ele não conseguirá necessariamente entrar em nenhuma das outras. Isso não é infalível, mas é uma camada adicional de segurança que você certamente apreciará após uma violação de dados.
Os gerenciadores de senhas são seguros?
Os gerenciadores de senhas foram hackeados, mas seu histórico geral no que diz respeito à proteção dos dados do usuário é muito bom. O gerenciador de senhas LastPass sofreu algumas violações de dados, assim como algumas outras ferramentas de gerenciamento de senhas. Há muitos gerenciadores de senhas de boa reputação que usam criptografia e são seguros para uso em 2023. Um exemplo é o NordPass Password Manager, que também está na lista dos gerenciadores de senhas mais seguros da Cyber News.
É importante lembrar que, se o seu telefone estiver infectado com malware, seu gerenciador de senhas também poderá ser violado. Portanto, é essencial manter seu software antimalware e antivírus atualizado.
Quais são os tipos de gerenciadores de senhas?
Os gerenciadores de senhas baseados em desktop armazenam suas senhas localmente no dispositivo, como o laptop, em um cofre criptografado. Não é possível acessar essas senhas de nenhum outro dispositivo e, se você perder o dispositivo, perderá todas as senhas armazenadas nele. Os gerenciadores de senhas instalados localmente são uma ótima opção para pessoas que simplesmente não querem que seus dados sejam armazenados na rede de outra pessoa. Alguns gerenciadores de senhas instalados localmente atingem um equilíbrio entre privacidade e conveniência, permitindo que você crie vários cofres de senhas em seus dispositivos e sincronize-os quando se conectar à Internet.
Os gerenciadores de senhas baseados em nuvem armazenam suas senhas criptografadas na rede do provedor de serviços. O provedor de serviços é diretamente responsável pela segurança de suas senhas. O principal benefício dos gerenciadores de senhas baseados na nuvem, sendo o 1Password e o NordPass bons exemplos, é que você pode acessar seu cofre de senhas de qualquer dispositivo, desde que tenha uma conexão com a Internet. Os gerenciadores de senhas baseados na Web podem ser fornecidos em diferentes formas - geralmente como uma extensão de navegador, aplicativo de desktop ou aplicativo móvel.
Logon único (SSO). Ao contrário de um gerenciador de senhas que armazena senhas exclusivas para cada aplicativo que você usa, o SSO permite que você use uma senha para cada aplicativo. Pense no SSO como seu passaporte digital. Ao entrar em um país estrangeiro, o passaporte informa aos funcionários da alfândega e da imigração que o seu país de cidadania atesta sua identidade e que você deve ter permissão para entrar com o mínimo de problemas. Da mesma forma, ao usar o SSO para fazer login em um aplicativo, não é necessário verificar sua identidade. Em vez disso, o provedor de SSO atesta sua identidade. As empresas preferem SSOs a gerenciadores de senhas por alguns motivos. Principalmente, o SSO é uma maneira segura e conveniente de os funcionários acessarem os aplicativos de que precisam para realizar seu trabalho. As SSOs também reduzem o tempo que a TI gasta na solução de problemas e na redefinição de senhas esquecidas.
Práticas recomendadas de senha
Não reutilize senhas. Mesmo com um gerenciador de senhas. Em vez disso, crie senhas exclusivas para cada site e deixe o gerenciador de senhas fazer o que ele foi projetado para fazer. Use um gerador de sen has seguras e fortes para criar senhas exclusivas para todas as suas contas.
Crie senhas complexas. Muitos gerenciadores de senhas sugerem automaticamente senhas fortes sempre que você cria uma conta em um novo site. Caso contrário, tente usar uma combinação aleatória de letras e números e alterne entre letras maiúsculas e minúsculas. Quanto mais complexa e sem sentido, melhor, especialmente porque você não precisará se lembrar dela. O gerenciador de senhas fará isso. A única diferença importante é a criação da senha mestra (aquela que desbloqueia todas as outras senhas). Você precisará se lembrar dela, portanto, a menos que tenha uma memória eidética, tente pensar em algo que seja memorável para você, mas que não possa ser facilmente rastreado até sua identidade. Em seguida, adicione algumas letras maiúsculas, algumas letras e alguns caracteres sofisticados, e você terá um cofre de senhas bem protegido.
Use uma frase secreta. Quando se trata de criar sua senha mestra (aquela que desbloqueia as outras senhas), tente usar uma frase secreta, ou seja, uma série de palavras fáceis de lembrar, mas difíceis de adivinhar. Algo familiar com um toque estranho, por exemplo: "split de sorvete de burrito de feijão". Ou apenas um monte de coisas aleatórias que um ser humano pode visualizar facilmente, mas um computador não: "fancy rat neon avocado car". Use sua imaginação! Animais de estimação, filhos ou outros nomes de família, ou frases como "Let me in!" são muito comuns e, portanto, fáceis de serem decifradas pelos criminosos cibernéticos.
Habilite a autenticação de dois fatores (2FA) ou a autenticação multifator (MFA). Uma das melhores maneiras de proteger qualquer conta, com ou sem gerenciador de senhas, é ativar a MFA. Com um gerenciador de senhas habilitado para MFA, você deverá verificar sua identidade usando dois ou mais fatores de autenticação, que incluem algo que você sabe, algo que você possui e algo que você é. O fator que você conhece normalmente é a sua senha, mas também pode ser um número PIN. Algo que você possui pode ser seu telefone celular, cartão bancário ou um token de segurança em um pen drive. Por fim, o que você é pode ser verificado por meio de biometria, como reconhecimento facial, de voz ou de íris e identificação por impressão digital. A biometria comportamental, como o pressionamento de teclas, também pode ser aplicada.
Essa camada extra de segurança significa que qualquer pessoa que tente fazer login na sua conta (inclusive você) precisará controlar esses fatores de autenticação adicionais além do nome de usuário e da senha. Um exemplo disso seria: Depois de digitar sua senha mestra para acessar o gerenciador de senhas, um código seria enviado ao seu celular, que você precisaria digitar antes de acessar o cofre. Um aspecto a ser lembrado ao usar seu telefone como fator de autenticação: os números de telefone podem ser sequestrados.
Isso é chamado de SIMjacking (também conhecido como SIM-swapping) e acontece quando um criminoso cibernético, fazendo-se passar por você, convence sua operadora de telefonia a reatribuir seu número de telefone para o telefone dele, respondendo com êxito às suas perguntas de segurança. Uma pesquisa rápida nas mídias sociais geralmente é tudo o que os criminosos precisam para obter as respostas de que precisam. E quando os criminosos têm o controle do seu telefone, eles têm tudo o que precisam para roubar sua identidade. Portanto, você deve procurar um autenticador baseado em software, como o Authy ou o Google Authenticator, para contas críticas.
Pense duas vezes nos gerenciadores de senhas gratuitos. Muitos dos gerenciadores de senhas gratuitos mais populares operam, na verdade, com um modelo de negócios freemium, o que significa que você precisa pagar se quiser os melhores recursos - às vezes essenciais. Você precisa que suas senhas sejam sincronizadas entre navegadores e dispositivos? Você precisa de uma herança digital? Precisa compartilhar logins com a família? Você precisa de autenticação multifator? Os gerenciadores de senhas do site Free geralmente não incluem esses recursos. A MFA, em particular, é imprescindível. No debate entre gratuito e pago, opte por um gerenciador de senhas pago.
Crie uma política de gerenciamento de senhas. Esta é uma dica para empresas de pequeno e médio porte: Crie uma política de gerenciador de senhas e informe aos funcionários que não há problema em usar um gerenciador de senhas para proteger suas contas de trabalho. Sua equipe já está usando uma miscelânea de métodos potencialmente inseguros para tentar gerenciar suas muitas senhas, e a maioria das violações de dados começa com uma senha fraca ou reutilizada. Uma política oficial de gerenciador de senhas é a sua primeira linha de defesa contra um ataque cibernético à sua rede.
Veja também: Chave de acesso
Perguntas frequentes
O que é um gerenciador de senhas?
Um gerenciador de senhas é um aplicativo de software projetado para armazenar e gerenciar credenciais on-line.
Qual é a finalidade do gerenciador de senhas?
Um gerenciador de senhas ajuda a gerar e armazenar com segurança senhas longas e exclusivas para todas as suas contas on-line. Você deve usar senhas diferentes para todas as suas contas e é difícil lembrar de todas elas.