Porquê utilizar um gestor de palavras-passe - e os nossos 3 principais!
Estamos em 2024, escolha já o melhor gestor de palavras-passe! Por que razão deve utilizar um? São ferramentas fáceis para aumentar a sua privacidade e segurança.
Preciso mesmo de um gestor de palavras-passe?
Todos concordamos que a nossa existência digital requer demasiadas palavras-passe. Todos nós já nos deparámos com a temida mensagem “Quer ler este artigo? Por favor, registe-se criando a sua conta gratuita!” Uma e outra vez, é necessário escolher uma palavra-passe segura e recordá-la. Isto tornou-se demasiado comum à medida que cada vez mais conteúdos estão a ser fechados em jardins murados digitais. Embora este passo vá contra a filosofia de uma Internet livre e aberta, este é o estado atual do ecossistema em linha. Então, como podemos tornar esta atividade mais suportável e, atrevo-me a dizer, agradável?
A resposta é utilizar o melhor gestor de palavras-passe para que já não tenha de fazer malabarismos com várias credenciais de início de sessão na sua memória, guardadas num browser ou escritas numa nota super secreta escondida debaixo do seu teclado. Ao utilizar um gestor de palavras-passe gratuito, apenas terá de se lembrar da sua palavra-passe mestra única para desbloquear o seu cofre de palavras-passe e o gestor tratará do resto.
Os gestores de senhas são peças de software que geram senhas fortes, aleatórias e, o mais importante, únicas, com base em parâmetros definidos pelo utilizador (maiúsculas e minúsculas, sem símbolos especiais, etc.) e armazenam-nas numa base de dados criptograficamente segura chamada cofre. Para desencriptar e visualizar as palavras-passe encriptadas, os utilizadores necessitam de uma palavra-passe mestra forte e, possivelmente, também de alguma forma de autenticação multifactor, como um yubikey ou um código OTP. Se alguém se deparar com um cofre de palavras-passe encriptadas e não tiver os dados de início de sessão necessários, as palavras-passe permanecem seguras e não podem ser utilizadas pelo atacante.
Resumindo: um gestor de palavras-passe pode gerar e guardar todas as suas palavras-passe de forma segura, para que não tenha de se preocupar em esquecê-las. Com um gestor de senhas, pode facilmente utilizar uma senha única e forte para todas as contas online importantes - sem utilizar a mesma senha duas vezes (o que é absolutamente proibido).
Devido à sua facilidade de utilização e segurança excecional, todos deveriam utilizar um gestor de senhas.
Apesar de terem a mesma função geral, o mercado de gestores de palavras-passe explodiu, o que levou a uma grande variedade de funcionalidades disponíveis para escolher o melhor gestor de palavras-passe. Em última análise, a utilização de QUALQUER gestor de palavras-passe aumenta a sua postura de segurança e acrescenta uma camada adicional de proteção às suas contas. Existem algumas diferenças importantes entre alguns dos principais gestores de palavras-passe disponíveis e gostaríamos de esclarecer e explicar a sua utilização, vantagens e possíveis desvantagens. Desta forma, pode escolher o melhor gestor de palavras-passe para as suas necessidades pessoais ou empresariais, mas comecemos por uma questão mais geral:
Os gestores de palavras-passe são seguros?
Se é novo no mundo dos gestores de palavras-passe, pode perguntar a si próprio se os gestores de palavras-passe são verdadeiramente seguros. A resposta é: sim. Os gestores de palavras-passe são conhecidos pela sua segurança e todos os especialistas em cibersegurança concordam que a utilização de gestores de palavras-passe é a melhor forma de aumentar a sua segurança online. Os gestores de palavras-passe utilizam uma encriptação forte para proteger as suas palavras-passe, o que constitui uma defesa sólida contra os cibercriminosos. Muitos gestores de palavras-passe utilizam encriptação pós-quântica segura, como AES 256 ou superior, recomendada pelo governo dos EUA para proteger dados sensíveis num mundo pós-quântico.
Características a procurar
As funcionalidades necessárias de um gestor de palavras-passe podem variar de pessoa para pessoa com base nas preferências ou necessidades de segurança, mas existem algumas funcionalidades que não devem ser comprometidas. A primeira destas características obrigatórias é a capacidade de gerar palavras-passe aleatórias. Isto pode parecer óbvio, mas também existem práticas alternativas utilizadas por alguns gestores de palavras-passe que envolvem simplesmente guardar uma palavra-passe escolhida mentalmente num ficheiro encriptado. Um gestor de senhas deve ser capaz de criar senhas aleatórias de comprimento e escolha de caracteres variados. Ao evitar utilizar as palavras-passe mais comuns, as suas contas ficam muito mais seguras. Um bom exemplo pode ser encontrado no KeyPassXC, um gestor de palavras-passe local com um bom conjunto de opções para gerar palavras-passe seguras. Pode gerar palavras-passe fortes, únicas e aleatórias com um único clique. Ao gerar estas palavras-passe aleatórias, é boa prática certificar-se de que têm, pelo menos, 20 caracteres, mas se não precisa de se lembrar delas, por que não fazer uma grande quantidade? É tão fácil quando se utiliza um gestor de palavras-passe.
Suporte para autenticação multifactor
Para além da capacidade de gerar e guardar palavras-passe seguras, é uma grande vantagem em termos de qualidade de vida se a sua janela de gestão única também puder incluir as suas opções de autenticação multifactor. Uma palavra-passe segura, por si só, não é suficiente para manter a segurança das suas contas em linha. Quase todas as plataformas online oferecem a opção de adicionar um segundo fator de autenticação e a sua configuração não é muito difícil. Uma vantagem de utilizar um gestor de senhas que suporta a autenticação TOTP é que pode afastar-se dos códigos de autenticação por SMS, que não são seguros e podem ser facilmente interceptados por um ataque de troca de SIM. Esta funcionalidade permite a geração de códigos TOTP que são utilizados para confirmar o início de sessão após a introdução do nome de utilizador e da palavra-passe correctos. Se quiser aumentar a sua segurança, recomendamos a utilização de um dispositivo U2F como um Yubikey, que é totalmente suportado no Tuta.
Suporte para Passkeys ou Passphrases
As Passkeys são o mais recente passo na tentativa de vencer o crescente cansaço das palavras-passe que os utilizadores da Internet enfrentam sem comprometer a segurança das suas contas. As Passkeys funcionam com base na criptografia de chave emparelhada, que cria uma chave privada e pública no seu dispositivo. A chave pública é partilhada com o servidor, enquanto a chave privada permanece armazenada de forma segura no dispositivo local. Ao tentar iniciar sessão, o sítio Web em questão exigirá esta chave específica do dispositivo, caso contrário, o início de sessão falhará. O suporte para passkeys vem instalado nas versões mais recentes dos dispositivos iOS, Google e Microsoft, mas também é suportado em alguns dos melhores gestores de palavras-passe, como o Keeper ou o Bitwarden. As palavras-passe não vão desaparecer tão cedo, mas podemos fazer figas para que acabem por ser eliminadas.
Um gerador de senhas está embutido diretamente no Tuta e pode ser usado ao se inscrever para uma nova conta. Naturalmente, certifique-se de que guarda esta frase e o seu código de recuperação no seu gestor de palavras-passe recentemente instalado.
Verificação de violação de dados
Alguns produtos oferecem a possibilidade de verificar o seu cofre de palavras-passe em relação a informações de violação de dados e alertam-no se uma das suas credenciais de início de sessão tiver sido exposta num incidente de violação. Esta funcionalidade pode dar-lhe uma boa indicação de que as suas contas podem estar vulneráveis, sem que tenha de se manter constantemente atualizado sobre a violação de dados do dia. Se não estiver interessado em adquirir um dos serviços que oferecem esta funcionalidade, também pode visitar HaveIBeenPwned para verificar se o seu endereço de correio eletrónico, nome de utilizador ou palavra-passe foi incluído numa violação. (Em geral, não é uma boa prática andar a colar a sua palavra-passe por aí, mas se utilizar nomes de utilizador e palavras-passe únicos, pode determinar se ocorreu uma violação).
Características a evitar
Fonte fechada
Tornou-se um lugar comum e uma boa prática lançar projectos de software como código aberto. Existe uma garantia de segurança através da transparência, uma vez que se todos os olhos puderem rever o código, os erros podem ser encontrados e corrigidos mais rapidamente. Esta prática é especialmente importante para os projectos que envolvem a encriptação e o armazenamento seguro dos dados dos clientes. Se as empresas estão a desenvolver o seu próprio esquema de encriptação e não divulgam este código para uma análise aberta e honesta, deve ter cuidado, porque não sabemos o que se passa nos bastidores e não temos qualquer prova de que os nossos dados estão verdadeiramente seguros.
Modelos de preços predatórios
Dependendo dos modelos de preços e de subscrição disponíveis, algumas empresas podem tentar prendê-lo a uma subscrição para “desbloquear” funcionalidades básicas de segurança. Um exemplo disto pode ser o BitWarden, embora seja uma excelente escolha como gestor de palavras-passe baseado na nuvem, negar aos utilizadores gratuitos o acesso ao seu autenticador parece um pouco errado, uma vez que deixa estes utilizadores em risco de segurança se não estiverem dispostos a dar o passo para pagar pelo serviço. A segurança deve estar disponível por defeito e a autenticação multifactor não é um luxo, é uma necessidade.
Gratuito, mas a que custo?
Muitos serviços oferecem uma versão gratuita do seu produto, mas esta pode vir com funcionalidades em falta. Certas necessidades, como a sincronização na nuvem, podem não ser algo que esteja à procura, mas o suporte para 2FA, quer como entradas TOTP, quer como um passo de autenticação adicional para abrir o seu gestor de palavras-passe, não deve estar bloqueado atrás de uma barreira de pagamento. Enquanto algumas empresas bloqueiam funcionalidades, há uma série de excelentes projectos de código aberto que são totalmente gratuitos e oferecem excelentes funcionalidades, mas que podem exigir algum conhecimento técnico ou um pouco de esforço para funcionarem exatamente como gostaria.
O equilíbrio entre conveniência e segurança
Isto depende muito do seu modelo de ameaça, mas fico nervoso quando sincronizo palavras-passe com qualquer servidor de nuvem alojado externamente. Um exemplo de como isso é preocupante é o incidente de violação no LastPass em agosto de 2022. Um agente malicioso conseguiu comprometer um servidor que alojava dados de clientes e descarregar informações pessoais juntamente com cofres de palavras-passe encriptadas. Estes dados poderiam ser utilizados para ataques de spearphishing utilizando os dados comprometidos dos clientes. Ou pior, se os clientes do LastPass não usassem senhas mestras fortes para o seu cofre, todas as informações de senha armazenadas no gerenciador de senhas poderiam ser descriptografadas. Incidentes como este são uma ameaça para todos os gestores de palavras-passe que alojam o(s) seu(s) cofre(s) num ambiente de servidor na nuvem e isto deve ser considerado.
Os serviços que funcionam apenas localmente evitam completamente este tipo de ameaça e exigiriam um ataque direto à sua máquina para comprometer o seu cofre de senhas.
Para mim, o risco não vale a conveniência adicional, mas talvez eu seja um desses tipos “paranóicos”. Prefiro muito mais utilizar um gestor de palavras-passe local, com uma palavra-passe muito forte e várias cópias de segurança encriptadas. Este tipo de violação também não é possível se mantiver uma lista de palavras-passe escrita fisicamente num cofre seguro. Se esse cofre for comprometido, é provável que o problema seja maior do que apenas uma violação de dados.
Para informações de login financeiro, como criptomoedas, vale a pena considerar essa possibilidade. Após a violação do LastPass, um relatório afirma que a violação levou diretamente à perda de mais de 35 milhões de dólares.
Comparações de recursos dos principais provedores
Nosso Best Of para 2024
Os três principais
1. Bitwarden: O Bitwarden combina todos os recursos de que você precisa com um preço mensal baixo de US $ 1, ou mesmo de graça. Seu software é lançado em código aberto, o que permite a revisão do código pela comunidade, para que você possa confiar que não há nada obscuro acontecendo que possa afetar sua segurança.
2. 1Password: O 1Password combina todas as funcionalidades que procura a um baixo custo de subscrição. Por $2,99 para indivíduos ou $5 para um plano familiar de 5 utilizadores, pode ter a certeza de que os seus dados estão seguros e que podem ser convenientemente partilhados com os seus entes queridos quando e se necessário.
3. Keeper: O Keeper combina a gestão e partilha seguras de palavras-passe com a opção de partilhar ficheiros entre os seus perfis de utilizador. Se precisar de partilhar uma digitalização de um documento sensível, não precisa de recorrer ao WhatsApp, pode enviá-lo rapidamente sem comprometer a sua privacidade e segurança. Atualmente a 2,92 dólares por mês, o Keeper também oferece uma avaliação gratuita de 30 dias que lhe permitirá testar o serviço antes de se comprometer.
Alternativas FOSS
1. Pass: O Pass é um gestor de senhas gratuito e de código aberto que começou como uma opção para utilizadores de Linux/Unix. O software básico do Pass é uma interface de linha de comando que armazena cada senha como seu próprio arquivo criptografado exclusivo. Construído com um compromisso de simplicidade, o Pass é uma abordagem simples à gestão de palavras-passe. Existem vários complementos que podem ser utilizados se preferir uma GUI e também pode ativar a sincronização na nuvem se pretender alojar o seu próprio gestor de senhas baseado na nuvem. Esta é a solução perfeita para os mais técnicos ou para aqueles que procuram aprender.
2. KeePassXC: O KeePassXC é um gestor de senhas de código aberto disponível para Mac, Windows e Linux. Existem também portas de terceiros disponíveis para que possa manter as suas palavras-passe seguras no Android e iOS. O KeyPassXC inclui todas as funcionalidades de que necessita num gestor de palavras-passe e está disponível de forma totalmente gratuita. A sincronização na nuvem é possível, mas para isso terá de a alojar você mesmo.
3. Bitwarden: O Bitwarden é novamente listado aqui porque está comprometido com a segurança do software de código aberto. Ao manter o seu código à vista do público, os utilizadores podem ter a certeza de que os seus dados estão verdadeiramente seguros.
3 melhores gerenciadores de senhas gratuitos
1. KeePassXC
2. Bitwarden (versão gratuita)
3. Pass
Pode encriptar mais do que os seus e-mails! Mantenha as suas palavras-passe seguras.
Esperemos que por esta altura tenhamos respondido à sua pergunta - “Preciso de um gestor de palavras-passe?” Os gestores de palavras-passe tornaram-se um ponto não negociável na construção de uma forte postura de segurança online. Não só poupam o seu cérebro, como também podem criar palavras-passe matematicamente fortes e únicas. Esta combinação, independentemente de optar por permanecer no local ou mudar para um fornecedor de serviços na nuvem, já retira as suas contas da lista de potenciais alvos. Ao escolher entre serviços, é importante analisar honestamente o seu modelo de ameaças. Tem interesse em ameaças persistentes avançadas, como o serviço de informações de uma nação industrializada? Nesse caso, os seus requisitos serão muito diferentes dos de um cidadão comum que apenas pretende criar uma palavra-passe forte para uma conta do Instagram. A segurança não é uma solução única para todos e não é uma corrida de velocidade. Terá de decidir cuidadosamente onde estão os seus pontos fracos, equilibrar conveniência e segurança e perceber que este passo não será o último na sua jornada de privacidade.
Se quiser levar a sua segurança para o nível seguinte, combinar o seu gestor de palavras-passe com um fornecedor de correio eletrónico encriptado de ponta a ponta seguro, como o Tuta, é um excelente primeiro passo. Não só as suas palavras-passe estarão mais seguras contra os piratas informáticos, como os seus dados também estarão seguros quando estiverem em repouso e através da rede. Um fator importante a ter em conta ao escolher um serviço de correio eletrónico é que a maioria dos serviços oferece a opção de redefinir a sua palavra-passe por correio eletrónico. As redefinições de palavra-passe por correio eletrónico constituem uma grave ameaça à sua identidade online - se a sua conta de correio eletrónico for pirateada, quase todas as suas contas, como PayPal, Amazon, Facebook e Twitter, podem ser facilmente controladas pelo atacante através de simples redefinições de palavra-passe. É por isso que a escolha de um serviço de correio eletrónico seguro - em combinação com a utilização de um dos melhores gestores de palavras-passe analisados neste artigo - é a melhor forma de obter a máxima segurança online.
Registe-seagora para obter a sua conta Tuta gratuita.
E não se esqueça de começar a utilizar um gestor de palavras-passe hoje mesmo!
Fique seguro. 🔒