GESTOR DE PALAVRAS-PASSE

Um gestor de palavras-passe é uma aplicação de software concebida para armazenar e gerir credenciais online. Normalmente, estas palavras-passe são armazenadas numa base de dados encriptada e bloqueadas por uma palavra-passe mestra. 

GERADOR DE PALAVRAS-PASSE

O que é um gestor de palavras-passe?

Em tempos, durante os primeiros anos da Internet, poderá ter tido um punhado de palavras-passe para algumas aplicações Web essenciais que utilizava para fazer compras, estudar, manter-se ligado e trabalhar. Atualmente, as coisas são muito mais complicadas. Em média, é referido que as pessoas precisam de se lembrar de cerca de 100 palavras-passe.

Embora a tecnologia prometa facilitar a nossa vida, e geralmente facilita, cada novo sítio Web e aplicação em que nos inscrevemos é mais uma palavra-passe que temos de memorizar. Para a maioria, tornou-se impossível lembrarmo-nos de todas elas. Pense em si próprio - reutiliza as suas palavras-passe em várias contas (tal como dois terços dos utilizadores da Internet)? Isto é um grande não-não.

Utilizando listas gigantescas de palavras-passe roubadas (também conhecidas como "dumps") compradas na darkweb, os cibercriminosos podem fazer força bruta para entrar noutros sites ou utilizar palavras-passe antigas para extorquir utilizadores em esquemas fraudulentos. Este é o efeito dominó da violação de dados. Uma violação leva a outra e a outra e assim por diante.

Segundo consta, a maioria das violações de dados é causada por palavras-passe comprometidas, fracas e reutilizadas. 1234567, alguém? 

Então, como é que chegámos aqui e o que é que podemos fazer?

banda desenhada da força da palavra-passe

A famosa banda desenhada do xkcd "Password Strength" explicou-o melhor: "Ao longo de 20 anos de esforço, conseguimos treinar toda a gente a usar palavras-passe que são difíceis de memorizar para os humanos, mas fáceis de adivinhar para os computadores."

É verdade. Há 20 anos, os profissionais de cibersegurança advertiam os consumidores por não alterarem as palavras-passe predefinidas nos dispositivos IoT (como o router da Internet) ou por utilizarem palavras-passe fáceis de adivinhar como "12345" ou "password". Daí surgiu a palavra-passe longa e forte com que o xkcd brinca: uma palavra comum com uma mistura de letras maiúsculas e minúsculas, pelo menos um número e um símbolo.

Ao criar uma nova conta, os sítios Web exigem que criemos palavras-passe longas e fortes. Se isso não acontecer, nem sequer nos é permitido criar uma conta. Se passarmos a fase de criação de conta, vamos esquecer imediatamente a cifra da máquina Enigma que acabámos de criar e resignar-nos a utilizar a ligação "Esqueceu-se da palavra-passe?

Felizmente, não tem de se lembrar de todas essas palavras-passe. Um gestor de palavras-passe pode lembrar-se delas por si.

Malwarebytes Labs define um gestor de palavras-passe como "uma aplicação de software concebida para armazenar e gerir credenciais online. Também gera palavras-passe. Normalmente, estas palavras-passe são armazenadas numa base de dados encriptada e bloqueadas por uma palavra-passe mestra".

Depois de todos os nomes de utilizador e palavras-passe das suas contas terem sido introduzidos na caixa-forte, a sua palavra-passe mestra é a única que tem de memorizar. A introdução da palavra-passe mestra desbloqueia o cofre de palavras-passe e, a partir do cofre, pode recuperar qualquer palavra-passe de que necessite.

Quais são as vantagens de utilizar um gestor de palavras-passe?

Já não precisa de memorizar todas as suas palavras-passe. Só precisa de se lembrar da palavra-passe mestra que desbloqueia o seu cofre de palavras-passe. E se optar por um gestor de palavras-passe baseado na nuvem, pode aceder ao seu cofre de palavras-passe em qualquer lugar, a partir de qualquer dispositivo.

Podem gerar automaticamente palavras-passe altamente seguras para si. Normalmente, os gestores de palavras-passe perguntam-lhe se pretende utilizar uma palavra-passe gerada automaticamente sempre que cria uma nova conta num Web site ou aplicação. Estas palavras-passe aleatórias são longas, alfanuméricas e essencialmente impossíveis de adivinhar.

Podem alertá-lo para um sítio de phishing. Aqui está uma breve explicação sobre esquemas de phishing. Os e-mails de spam são falsificados para parecerem vir de um remetente legítimo, como um amigo, familiar, colega de trabalho ou organização com a qual tem negócios. As ligações contidas no e-mail direcionam para sites maliciosos igualmente falsificados, concebidos para recolher credenciais de início de sessão. Se estiver a utilizar um gestor de palavras-passe baseado no browser, este não preencherá automaticamente os campos de nome de utilizador e palavra-passe, uma vez que não reconhece o Web site como o que está associado à palavra-passe.

Podem ajudar os seus beneficiários quando falecer. A isto chama-se uma herança digital. Em caso de morte, a sua família ou a pessoa que designar para administrar os seus bens terá acesso ao seu cofre de palavras-passe.

Os gestores de palavras-passe poupam tempo. Para além de guardarem as palavras-passe por si, muitos gestores de palavras-passe também preenchem automaticamente as credenciais para um acesso mais rápido às contas online. Além disso, alguns podem armazenar e preencher automaticamente o nome, a morada, o e-mail, o número de telefone e as informações do cartão de crédito. Isto pode ser uma grande poupança de tempo quando faz compras online, por exemplo.

Muitos gestores de palavras-passe sincronizam-se entre diferentes sistemas operativos (SO). Se for um utilizador Windows no trabalho e um utilizador Mac em casa, usar o seu Android de segunda a sexta-feira e recorrer ao iOS aos fins-de-semana, poderá aceder rapidamente às suas palavras-passe, independentemente da plataforma em que estiver. O mesmo se aplica a todos os navegadores Web mais populares, ou seja, Chrome, Firefox, Edge, Internet Explorer e Safari.

Ajudam a proteger a sua identidade. De uma forma indireta, os gestores de palavras-passe ajudam a proteger contra o roubo de identidade, e eis porquê. Ao utilizar uma palavra-passe única para cada site, está essencialmente a segmentar os seus dados em cada site e aplicação que utiliza. Se um criminoso invadir uma das suas contas, não conseguirá necessariamente entrar em nenhuma das outras. Não é infalível, mas é uma camada adicional de segurança que certamente apreciará no rescaldo de uma violação de dados.

Os gestores de palavras-passe são seguros?

Os gestores de palavras-passe foram alvo de pirataria informática, mas o seu historial geral no que diz respeito à segurança dos dados dos utilizadores é muito bom. O gestor de senhas LastPass sofreu algumas violações de dados - o mesmo aconteceu com algumas outras ferramentas de gestão de senhas. Existem muitos gestores de palavras-passe respeitáveis que utilizam encriptação e são seguros para utilização em 2023. Um exemplo é o NordPass Password Manager, que também está na lista dos gestores de palavras-passe mais seguros da Cyber News.

É importante lembrar que, se o seu telemóvel estiver infetado com malware, o seu gestor de palavras-passe também pode ser violado. Por isso, é essencial manter o seu software anti-malware e antivírus atualizado.

Quais são os tipos de gestores de palavras-passe?

Os gestores de senhas baseados em computadores de secretária armazenam as suas senhas localmente no seu dispositivo, como o seu computador portátil, num cofre encriptado. Não é possível aceder a essas palavras-passe a partir de qualquer outro dispositivo e, se perder o dispositivo, perderá todas as palavras-passe aí armazenadas. Os gestores de palavras-passe instalados localmente são uma excelente opção para as pessoas que simplesmente não querem que os seus dados sejam armazenados na rede de outra pessoa. Alguns gestores de palavras-passe instalados localmente conseguem um equilíbrio entre privacidade e conveniência, permitindo-lhe criar vários cofres de palavras-passe nos seus dispositivos e sincronizá-los quando se liga à Internet.

Os gestores de palavras-passe baseados na nuvem armazenam as suas palavras-passe encriptadas na rede do fornecedor de serviços. O fornecedor de serviços é diretamente responsável pela segurança das suas palavras-passe. A principal vantagem dos gestores de palavras-passe baseados na nuvem, sendo o 1Password e o NordPass bons exemplos, é que pode aceder ao seu cofre de palavras-passe a partir de qualquer dispositivo, desde que tenha uma ligação à Internet. Os gestores de palavras-passe baseados na Web podem assumir diferentes formas - geralmente como uma extensão do browser, uma aplicação de ambiente de trabalho ou uma aplicação móvel.

Início de sessão único (SSO). Ao contrário de um gestor de palavras-passe que armazena palavras-passe únicas para cada aplicação que utiliza, o SSO permite-lhe utilizar uma palavra-passe para cada aplicação. Pense no SSO como o seu passaporte digital. Quando entra num país estrangeiro, um passaporte informa os funcionários da alfândega e da imigração de que o seu país de nacionalidade o protege e que deve ser autorizado a entrar com o mínimo de problemas. Da mesma forma, ao utilizar o SSO para iniciar sessão numa aplicação, não é necessário verificar a sua identidade. Em vez disso, o fornecedor de SSO confirma a sua identidade. As empresas preferem as SSOs aos gestores de palavras-passe por algumas razões. Em primeiro lugar, o SSO é uma forma segura e cómoda de os funcionários acederem às aplicações de que necessitam para fazer o seu trabalho. As SSO também reduzem o tempo que as TI gastam a resolver problemas e a repor palavras-passe esquecidas.

Melhores práticas em matéria de palavras-passe

Não reutilize as palavras-passe. Mesmo com um gestor de palavras-passe. Em vez disso, crie palavras-passe exclusivas para cada site e deixe o seu gestor de palavras-passe fazer aquilo para que foi concebido. Utilize um gerador de palavras-passe seguras e fortes para criar palavras-passe exclusivas para todas as suas contas.

Crie palavras-passe complexas. Muitos gestores de palavras-passe sugerem automaticamente palavras-passe fortes sempre que cria uma conta num novo site. Caso contrário, tente utilizar uma combinação aleatória de letras e números e alterne entre maiúsculas e minúsculas. Quanto mais complexa e sem sentido for, melhor - especialmente porque não terá de a memorizar. O gestor de palavras-passe fará isso. A única diferença fundamental é a criação da sua palavra-passe mestra (a que desbloqueia todas as outras palavras-passe). A menos que tenha uma memória eidética, tente pensar em algo memorável para si, mas que não seja fácil de identificar. Em seguida, adicione algumas letras maiúsculas, algumas letras e alguns caracteres extravagantes e terá um cofre de palavras-passe bem protegido.

Utilize uma frase-chave. Quando se trata de criar a sua palavra-passe mestra (a que desbloqueia as outras palavras-passe), tente utilizar uma frase-passe, ou seja, uma série de palavras fáceis de lembrar, mas difíceis de adivinhar. Algo familiar com um toque estranho, por exemplo: "split de gelado de burrito de feijão". Ou apenas uma série de coisas aleatórias que um humano consegue visualizar facilmente, mas que um computador não consegue: "carro de abacate de néon de rato chique". Usa a tua imaginação! Animais de estimação, filhos ou outros nomes de família, ou frases como "Deixa-me entrar!" são demasiado comuns e, por isso, fáceis de decifrar pelos cibercriminosos.

Ativar a autenticação de dois factores (2FA) ou a autenticação multifactor (MFA). Uma das melhores formas de proteger qualquer conta, com ou sem gestor de palavras-passe, é ativar a MFA. Com um gestor de palavras-passe ativado para MFA, ser-lhe-á pedido que verifique a sua identidade utilizando dois ou mais factores de autenticação, que incluem algo que sabe, algo que possui e algo que é. O fator que conhece é normalmente a sua palavra-passe, mas também pode ser um número PIN. Algo que possui pode ser o seu telemóvel, cartão bancário ou um token de segurança numa pen USB. Por último, o que é pode ser verificado através de dados biométricos, como o reconhecimento facial, de voz ou da íris e a identificação de impressões digitais. A biometria comportamental, como as teclas premidas, também pode ser aplicada.

Esta camada extra de segurança significa que qualquer pessoa que tente iniciar sessão na sua conta (incluindo você próprio) terá de controlar esses factores de autenticação adicionais para além do nome de utilizador e da palavra-passe. Um exemplo disto seria: Depois de introduzir a sua palavra-passe mestra para aceder ao gestor de palavras-passe, seria enviado um código para o seu telemóvel, que teria de introduzir antes de aceder ao cofre. Um aspeto a ter em conta ao utilizar o telemóvel como fator de autenticação: os números de telemóvel podem ser desviados.

Chama-se SIMjacking (também conhecido como SIM-swapping) e acontece quando um cibercriminoso, fazendo-se passar por si, convence o seu operador telefónico a reatribuir o seu número de telefone ao telefone dele, respondendo com êxito às suas perguntas de segurança. Muitas vezes, basta uma pesquisa superficial nas redes sociais para os criminosos obterem as respostas de que necessitam. E quando os criminosos controlam o seu telemóvel, têm tudo o que precisam para roubar a sua identidade. Por conseguinte, pode optar por um autenticador baseado em software, como o Authy ou o Google Authenticator, para contas críticas.

Pense duas vezes nos gestores de palavras-passe gratuitos. Muitos dos gestores de palavras-passe gratuitos mais populares funcionam, na verdade, com um modelo de negócio freemium, o que significa que tem de pagar se quiser as melhores funcionalidades - por vezes essenciais. Precisa que as suas palavras-passe sejam sincronizadas entre navegadores e dispositivos? Precisa de uma herança digital? Precisa de partilhar logins com a família? Precisa de autenticação multi-fator? Os gestores de palavras-passe gratuitos não costumam incluir estas funcionalidades. A MFA, em particular, é imprescindível. No debate entre gratuito e pago, opte por um gestor de palavras-passe pago.

Criar uma política de gestão de palavras-passe. Eis uma dica para as pequenas e médias empresas: Crie uma política de gestão de palavras-passe e informe os funcionários de que não há problema em utilizar um gestor de palavras-passe para proteger as suas contas de trabalho. A sua equipa já está a utilizar uma miscelânea de métodos potencialmente inseguros para tentar gerir as suas muitas palavras-passe e a maioria das violações de dados começa com uma palavra-passe fraca ou reutilizada. Uma política oficial de gestão de palavras-passe é a sua primeira linha de defesa contra um ataque informático à sua rede.

Ver também: Chave de acesso

FAQs

O que é um gestor de palavras-passe?

Um gestor de palavras-passe é uma aplicação de software concebida para armazenar e gerir credenciais online. 

Para que serve um gestor de palavras-passe?

Um gestor de palavras-passe ajuda-o a criar e a guardar em segurança palavras-passe longas e únicas para todas as suas contas online. Deve utilizar palavras-passe diferentes para todas as suas contas e é difícil lembrar-se de todas elas.