O que é um gerenciador de senhas?
Era uma vez, nos primeiros anos da Internet, você podia ter um punhado de senhas para algumas aplicações web essenciais que usava para fazer compras, estudar, manter-se conectado e trabalhar. Hoje, as coisas são bem mais complicadas. Em média, diz-se que as pessoas precisam se lembrar de cerca de 100 senhas.
Embora a tecnologia prometa facilitar nossas vidas, e geralmente o faça, cada novo site e aplicativo que assinamos é outra senha que temos de lembrar. Para a maioria, tornou-se impossível lembrar de todas. Pense em você mesmo – você reutiliza suas senhas em várias contas (assim como dois terços dos usuários da Internet)? Isso é uma grande furada.
Usando listas gigantes de senhas roubadas (também conhecidas como "dumps") compradas na dark web, os cibercriminosos podem usar força bruta para acessar outros sites ou usar senhas antigas para extorquir usuários em golpes. Este é o efeito dominó de violação de dados. Uma violação leva a outra e outra e assim por diante.
Consta que a maioria das violações de dados são causadas por senhas comprometidas, fracas e reutilizadas. Alguém aí usa 1234567?
Então, como chegamos até aqui e o que podemos fazer a respeito?
O famoso webcomic xkcd “Password Strength” explicou da melhor forma: “Através de 20 anos de esforço, treinamos todos para usar senhas que são difíceis para os humanos se lembrarem, mas fáceis para os computadores adivinharem.”
É verdade. Há 20 anos, os profissionais de cibersegurança admoestavam os consumidores por não mudarem as senhas padrão em dispositivos IoT (como seu roteador de Internet) ou por usar senhas fáceis de adivinhar como “12345” ou “senha”. Daí surgiu a senha longa e forte que o xkcd faz piada: uma palavra comum com uma mistura de letras maiúsculas e minúsculas, pelo menos um número e um símbolo.
Ao criar uma nova conta, os sites exigem que criemos senhas longas e fortes. Caso contrário, nem sequer podemos criar uma conta. Assumindo que você passe pela fase de criação de conta, logo você vai esquecer a cifra tipo máquina Enigma que acabou de criar e se resignar a usar o link “Esqueceu a Senha?” como sua opção diária de login.
Felizmente, você não precisa lembrar de todas essas senhas. Um gerenciador de senhas pode memorizá-las por você.
Malwarebytes Labs define um gerenciador de senhas como “um aplicativo de software projetado para armazenar e gerenciar credenciais online. Ele também gera senhas. Geralmente, essas senhas são armazenadas em um banco de dados criptografado e trancadas atrás de uma senha mestre.”
Uma vez que todos os seus nomes de usuário e senhas de conta forem inseridos no cofre, sua senha mestre é a única que você precisa memorizar. Ao inserir sua senha mestre, você desbloqueia seu cofre de senhas, e daí pode recuperar qualquer senha de que precisar.
Quais são os benefícios de usar um gerenciador de senhas?
Você não precisa mais memorizar todas as suas senhas. Você só precisa se lembrar da senha mestre que desbloqueia seu cofre de senhas. E se você optar por um gerenciador de senhas baseado em nuvem, pode acessar seu cofre de senhas de qualquer lugar, em qualquer dispositivo.
Eles podem gerar senhas altamente seguras automaticamente para você. Os gerenciadores de senhas geralmente oferecem a opção de usar uma senha gerada automaticamente sempre que você criar uma nova conta em um site ou aplicativo. Essas senhas aleatórias são longas, alfanuméricas e essencialmente impossíveis de adivinhar.
Eles podem alertá-lo sobre um site de phishing. Aqui está um glossário rápido sobre golpes de phishing. Emails de spam são falsificados para parecerem que vêm de um remetente legítimo, como um amigo, membro da família, colega de trabalho ou organização com a qual você faz negócios. Links contidos no email direcionam para sites maliciosos igualmente falsificados projetados para coletar credenciais de login. Se você estiver usando um gerenciador de senhas baseado em navegador, ele não irá preencher automaticamente os campos de nome de usuário e senha, já que não reconhece o site como o vinculado à senha.
Eles podem ajudar seus beneficiários quando você falecer. Isso é chamado de herança digital. No caso do seu falecimento, sua família ou quem você designar para administrar seu patrimônio terá acesso ao seu cofre de senhas.
Gerenciadores de senhas economizam tempo. Além de apenas armazenar senhas para você, muitos gerenciadores de senhas também preenchem automaticamente as credenciais para um acesso mais rápido às contas online. Além disso, alguns podem armazenar e preencher automaticamente nome, endereço, email, número de telefone e informações de cartão de crédito. Isso pode ser uma grande economia de tempo ao fazer compras online, por exemplo.
Muitos gerenciadores de senhas sincronizam entre diferentes sistemas operacionais (SO). Se você é usuário de Windows no trabalho e de Mac em casa, usa Android de segunda a sexta e iOS nos finais de semana, poderá acessar rapidamente suas senhas independentemente de qual plataforma estiver usando. O mesmo vale para todos os navegadores mais populares, como Chrome, Firefox, Edge, Internet Explorer e Safari.
Eles ajudam a proteger sua identidade. De certa forma, os gerenciadores de senhas ajudam a proteger contra o roubo de identidade, e aqui está o porquê. Ao usar uma senha exclusiva para cada site, você está essencialmente segmentando seus dados em cada site e aplicativo que usa. Se um criminoso invadir uma de suas contas, ele não poderá necessariamente acessar nenhuma das outras. Não é à prova de falhas, mas é uma camada adicional de segurança que você certamente apreciará após uma violação de dados.
Os gerenciadores de senhas são seguros?
Gerenciadores de senhas foram hackeados, mas seu histórico geral em relação à segurança dos dados do usuário é muito bom. O gerenciador de senhas LastPass sofreu algumas violações de dados – assim como algumas outras ferramentas de gerenciadores de senhas. Existem muitos gerenciadores de senhas respeitáveis que usam criptografia e são seguros para usar em 2023. Um exemplo é o NordPass Password Manager, que também está na lista dos gerenciadores de senhas mais seguros segundo Cyber News.
É importante lembrar que se seu telefone estiver infectado com malware, seu gerenciador de senhas também pode ser comprometido. Portanto, manter seu software anti-malware e antivírus atualizado é essencial.
Quais são os tipos de gerenciadores de senhas?
Gerenciadores de senhas baseados em desktop armazenam suas senhas localmente em seu dispositivo, como seu laptop, em um cofre criptografado. Você não pode acessar essas senhas de outro dispositivo, e se perder o dispositivo, perde todas as senhas armazenadas lá. Gerenciadores de senhas instalados localmente são uma ótima opção para pessoas que não querem que seus dados sejam armazenados na rede de outra pessoa. Alguns gerenciadores de senhas instalados localmente equilibram privacidade e conveniência permitindo a criação de vários cofres de senhas em seus dispositivos e sincronizando-os quando você se conecta à Internet.
Gerenciadores de senhas baseados em nuvem armazenam suas senhas criptografadas na rede do provedor de serviços. O provedor de serviços é diretamente responsável pela segurança de suas senhas. O principal benefício dos gerenciadores de senhas baseados em nuvem, sendo 1Password e NordPass bons exemplos, é que você pode acessar seu cofre de senhas de qualquer dispositivo, contanto que tenha uma conexão com a Internet. Gerenciadores de senhas baseados na web podem vir de diferentes formas—mais comumente como uma extensão de navegador, aplicativo de desktop ou aplicativo móvel.
Single sign-on (SSO). Ao contrário de um gerenciador de senhas que armazena senhas exclusivas para cada aplicativo que você usa, o SSO permite que você use uma senha para todos os aplicativos. Pense no SSO como seu passaporte digital. Ao entrar em um país estrangeiro, um passaporte diz aos oficiais da alfândega e imigração que seu país de cidadania garante por você e que você deve ser autorizado a entrar com o mínimo de complicações. Da mesma forma, ao usar SSO para fazer login em um aplicativo, você não precisa verificar sua identidade. Em vez disso, o provedor de SSO garante sua identidade. As empresas preferem o SSO a gerenciadores de senhas por algumas razões. Principalmente, o SSO é uma maneira segura e conveniente para os funcionários acessarem os aplicativos de que precisam para realizar seu trabalho. Os SSOs também reduzem o tempo que a TI gasta resolvendo problemas e redefinindo senhas esquecidas.
Melhores práticas para senhas
Não reutilize senhas. Nem mesmo com um gerenciador de senhas. Em vez disso, crie senhas únicas para cada site e deixe seu gerenciador de senhas fazer o que foi projetado para fazer. Use um gerador de senhas forte seguro para criar senhas únicas para todas as suas contas.
Crie senhas complexas. Muitos gerenciadores de senhas sugerem automaticamente senhas fortes sempre que você cria uma conta para um novo site. Caso contrário, tente usar uma combinação aleatória de letras e números, alternando entre maiúsculas e minúsculas. Quanto mais complexa e sem sentido, melhor—ainda mais porque você não precisará lembrá-la. O gerenciador de senhas fará isso. A única diferença principal é na criação de sua senha mestre (a que desbloqueia todas as outras senhas). Esta você precisará lembrar, então a menos que tenha uma memória fotográfica, tente pensar em algo memorável para você, mas não facilmente rastreável até sua identidade. Então, adicione algumas letras maiúsculas, algumas minúsculas, e alguns caracteres especiais, e você terá um cofre de senhas bem protegido.
Use uma frase senha. Ao criar sua senha mestre (a que desbloqueia suas outras senhas), tente usar uma passphrase; ou seja, uma série de palavras que são fáceis de lembrar, mas difíceis de adivinhar. Algo familiar com um toque estranho, por exemplo: “taco feijão sorvete dividido.” Ou apenas um monte de coisas aleatórias que um humano pode facilmente visualizar, mas um computador não: “rato chique abacate neon carro.” Use sua imaginação! Nomes de animais de estimação, crianças, ou outros familiares, ou frases como “Deixe-me entrar!” são bem comuns, e portanto, fáceis para cibercriminosos decifrarem.
Ative a autenticação de dois fatores (2FA) ou multifatores (MFA). Uma das melhores maneiras de proteger qualquer conta, seja um gerenciador de senhas ou não, é ativar o MFA. Com um gerenciador de senhas com MFA habilitado, você será obrigado a verificar sua identidade usando dois ou mais fatores de autenticação, que incluem algo que você conhece, algo que você possui e algo que você é. O que você conhece normalmente é sua senha, mas também pode ser um número PIN. Algo que você possui pode ser seu celular, cartão bancário ou um token de segurança em um pen drive. Por fim, algo que você é pode ser verificado usando biometria, como reconhecimento facial, de voz ou de íris e identificação por impressão digital. Biometria comportamental, como batidas de teclas, também pode ser aplicada.
Essa camada extra de segurança significa que qualquer pessoa tentando acessar sua conta (você mesmo incluído) precisará controlar esses fatores de autenticação adicionais além do nome de usuário e senha. Um exemplo disso seria: Depois de inserir sua senha mestre para acessar o gerenciador de senhas, um código seria enviado para seu celular, que você precisaria inserir antes de acessar o cofre. Uma coisa a ter em mente ao usar seu telefone como fator de autenticação—números de telefone podem ser sequestrados.
Isso é chamado de SIMjacking (também conhecido como troca de SIM) e acontece quando um cibercriminoso, fingindo ser você, convence sua operadora de telefonia a reatribuir seu número para o telefone dele, respondendo com êxito suas perguntas de segurança. Uma pesquisa rápida nas redes sociais é muitas vezes tudo o que os bandidos precisam para encontrar as respostas de que necessitam. E uma vez que os criminosos têm controle do seu telefone, eles têm tudo o que precisam para roubar sua identidade. Portanto, você pode preferir um autenticador baseado em software, como Authy ou Google Authenticator, para contas críticas.
Pense duas vezes antes de usar gerenciadores de senhas gratuitos. Muitos dos gerenciadores de senhas gratuitos mais populares, na verdade, operam sob um modelo de negócio freemium, o que significa que você terá que pagar se quiser as melhores - às vezes essenciais - funcionalidades. Você precisa que suas senhas sincronizem entre navegadores e dispositivos? Você precisa de herança digital? Você precisa compartilhar logins com a família? Você precisa de autenticação multifator? Gerenciadores de senhas gratuitos geralmente não incluem essas funcionalidades. A MFA, em particular, é imprescindível. No debate entre gratuitos vs. pagos, opte por um gerenciador de senhas pago.
Crie uma política de gerenciador de senhas. Aqui vai uma dica para pequenas e médias empresas: Crie uma política de gerenciador de senhas e informe aos funcionários que é permitido usar o gerenciador de senhas para proteger as contas de trabalho. Sua equipe já está usando uma variedade de métodos potencialmente inseguros para tentar gerenciar suas muitas senhas, e a maioria das violações de dados começa com uma senha fraca ou reutilizada. Uma política oficial de gerenciador de senhas é sua primeira linha de defesa contra um ciberataque em sua rede.
Veja também: Passkey
FAQs
O que é um gerenciador de senhas?
Um gerenciador de senhas é um aplicativo de software projetado para armazenar e gerenciar credenciais on-line.
Qual é a finalidade do gerenciador de senhas?
Um gerenciador de senhas ajuda a gerar e armazenar com segurança senhas longas e exclusivas para todas as suas contas on-line. Você deve usar senhas diferentes para todas as suas contas e é difícil lembrar de todas elas.