Sim, estou aqui para dizer com franqueza que nunca usei um gerenciador de senhas antes. Não é como se eu nunca tivesse pensado em me inscrever em um. Continuo sendo atraído a tentar opções diferentes, mas uma parte de mim sempre sente coceira ao colocar tudo os ovos na mesma cesta, especialmente quando as violações de dados nos lembram constantemente como isso pode ser ruim ideia. Eu sei que não estou sozinho neste barco porque, bem, velhos hábitos são difíceis de morrer. Achei que estaria “mais seguro” se lembrasse das minhas senhas ou as anotasse em algum lugar. Mas com uma lista crescente de contas online, estou finalmente lutando para criar senhas exclusivas e fortes para cada uma delas. Portanto, minha resolução técnica para 2023 foi dar uma chance aos gerenciadores de senhas, então aqui estamos.
Escolher um bom gerenciador de senhas pode ser complicado, e o grande número de opções disponíveis não torna isso mais fácil. Aprendi bastante durante minha jornada e espero que essas dicas possam ajudar você na sua também.
Procure os recursos que você deseja
A maioria dos gerenciadores de senhas faz muito mais do que apenas preencher suas senhas em um formulário de login. Keeper, por exemplo, é um gerenciador de senhas rico em recursos que também pode armazenar informações de cartão de crédito, bloquear arquivos e fotos em um cofre seguro, ajudá-lo a compartilhar suas senhas e muito mais. 1Password também vem com muitos recursos e pode realizar tarefas adicionais, como remover segredos da área de transferência e alertá-lo sobre violações de segurança.
É importante entender o que você deseja do seu gerenciador de senhas, a menos que queira seguir a trilha interminável cheia de opções. Afinal, não adianta pagar um prêmio por todos os extras se você não vai usá-los. Talvez você já tenha uma pasta segura em seu smartphone para bloquear arquivos e fotos importantes, ou não precise pagar por novidades como Dark Web Monitoring e alertas. Em vez disso, procure recursos úteis que sejam importantes para você.
Aqui estão recursos importantes que recomendo procurar:
- Suporte multiplataforma para acessar e gerenciar suas senhas salvas em qualquer dispositivo ou plataforma
- Autenticação multifator para proteger seu cofre de senhas
- Acesso off-line para garantir que você mantenha sua senha mesmo quando não estiver online
- Suporte a extensões de navegador para garantir que você possa acessar sua senha independentemente do navegador que você usa
Por exemplo, eu estava procurando um gerenciador de senhas para me ajudar a evitar a reutilização das mesmas senhas em contas diferentes. Cheguei a um ponto em que estava começando a reutilizar algumas de minhas senhas, deixando assim a porta aberta para que pessoas mal-intencionadas invadissem várias contas. Resumindo, priorizei um gerador de senhas simples e seguro em vez de um com recursos sofisticados para evitar gastar mais do que gostaria como um novo cliente. Sua milhagem pode variar, no entanto.
A criptografia de ‘conhecimento zero’ é importante
A maioria dos gerenciadores de senhas também usa criptografia segura, como AES de 256 bits e XChaCha20, para bloquear sua senha antes que ela saia do dispositivo. Portanto, mesmo que você use um serviço gerenciador de senhas que salva sua senha em um servidor remoto, ela pode não estar imediatamente acessível aos hackers que tentam roubá-la. Todos os gerenciadores de senhas confiáveis usam técnicas de criptografia complexas para proteger seu cofre, para que você não fique no escuro ao entregar informações importantes.
Bitwarden, por exemplo, usa criptografia AES-CBC de 256 bits para os dados do seu cofre e PBKDF2 SHA-256 para derivar sua chave de criptografia. Todos os seus dados são criptografados ou com hash antes de serem enviados aos servidores remotos e só podem ser descriptografados com a chave derivada de sua senha mestra. O NordPass, por outro lado, usa o XChaCha20, que é mais rápido e fácil de implementar do que os métodos padrão.
Recomendo escolher apenas aqueles que usam uma solução de criptografia de conhecimento zero, o que significa que eles não podem ler ou compartilhar suas informações confidenciais. É claro que não há como ficar 100% seguro online, mas ajuda se você cobrir o básico.
Escolha gerenciadores de senhas com backups seguros
Também é importante escolher gerenciadores de senhas que permitam criar um backup de todas as suas senhas criptografadas, caso o servidor remoto que contém todas as suas senhas falhe. Alguns gerenciadores de senhas criam um backup da senha criptografada, enquanto outros simplesmente permitem que você crie um backup dos dados descriptografados em um formato legível por humanos. De qualquer forma, é importante criar um backup caso você perca o acesso ao seu cofre devido a algum erro de servidor e se encontrar em uma situação em que não poderá mais acessar suas contas on-line.
Olhando para o acidente recente do LastPass e como ele lidou com a situação, sei que nunca deixarei um backup das minhas senhas online, mesmo que esteja criptografado. Você sempre pode criar um backup manual e descarregar uma cópia de todas as suas senhas, mas certifique-se de movê-las e armazená-las com segurança para evitar que caiam em mãos erradas.
Verifique a biometria e outras formas de fazer login
A autenticação multifator (MFA), como mencionei anteriormente, é um dos recursos mais importantes a se procurar em um gerenciador de senhas. Você deve combinar uma senha forte com autenticação de dois fatores (2FA) ou até mesmo autenticação biométrica, como impressão digital ou digitalização facial. A proteção biométrica geralmente atua como uma camada adicional, portanto, você ainda precisará usar sua senha mestra e qualquer login em duas etapas habilitado. Não existem muitas camadas de segurança, especialmente quando apenas uma senha/chave pode desbloquear um cofre cheio de dados confidenciais.
Também é importante notar que a configuração de MFA ou autenticação biométrica não é uma alternativa à sua senha mestra. Você ainda precisará da chave principal para descriptografar os dados do cofre antes de acessá-los após passar por camadas adicionais. Tecnicamente, você só precisará inserir a senha mestra uma vez para cada dispositivo, pois os dados do cofre do servidor são automaticamente baixados e armazenados localmente. Isso também me leva ao próximo – e provavelmente o mais importante – ponto.
Não esqueça sua senha mestra!
Quase todos os gerenciadores de senhas modernos operam com criptografia de conhecimento zero, portanto, não podem ler ou recuperar sua senha mestra. Alguns deles oferecem ferramentas para recuperar a senha caso você a esqueça, mas você não pode usá-las a menos que tenha pré-autorizado essas opções. Algumas dessas opções incluem:
- Uma dica de senha: Seu gerenciador de senhas enviará a você a dica de senha (se você tiver uma configurada) por e-mail.
- Acesso usando contato de emergência: desde que a opção de acesso de emergência esteja ativada em sua conta, você poderá entrar em contato com seu contato de emergência para recuperar o acesso ao seu cofre.
- Redefinição de senha de administrador: aqueles com uma conta corporativa podem entrar em contato com seus administradores para redefinir e recuperar o acesso às suas contas.
As opções de recuperação mencionadas acima só funcionarão se você as tiver autorizado anteriormente. Alguns gerenciadores de senhas como o Dashlane também permitem recuperar sua senha mestra usando autenticação biométrica, mas mesmo isso só funcionará se você a tiver ativado antes de esquecer a senha mestra.
Todos os gerenciadores de senhas modernos operam com criptografia de conhecimento zero, portanto, não podem ler ou recuperar sua senha mestra.
Se nenhuma dessas opções lhe der acesso, você não terá outra opção a não ser excluir sua conta e iniciar uma nova. Isso também significa que você perderá os itens armazenados em seu cofre, portanto terá que redefinir suas informações de login para cada conta.
Começando um iniciante
Fiquei tão impressionado quanto você provavelmente está agora, depois de ler tudo. Se você não se sente confortável em configurar um gerenciador de senhas para todas as suas contas, por que não começar a usá-lo para algumas contas básicas ou casuais? Você sabe, aqueles que você pode ter criado para verificar uma avaliação gratuita ou ler um artigo atrás de um acesso pago.
Também recomendo testar o terreno com gerenciadores de senhas gratuitos antes de se comprometer com uma assinatura premium. Como alguém relativamente novo no mundo dos gerenciadores de senhas, comecei a usar o Bitwarden para me familiarizar com contas de baixo risco. O Bitwarden vem com todos os itens essenciais e não bloqueia nada importante em um acesso pago. Também é totalmente de código aberto, o que significa que você pode revisar, auditar e contribuir com o código do Bitwarden no GitHub.
Também fico tranquilo sabendo que posso ignorar o armazenamento em nuvem da Bitwarden e toda a pilha de infraestrutura do host na plataforma de minha escolha. Novamente, tudo se resume aos recursos que você deseja, portanto, procure diferentes opções e selecione aquela que você acha que funciona melhor para o seu caso de uso. Você sempre pode conferir nosso coleção dos melhores gerenciadores de senhas assim que você conhecer os meandros e estiver pronto para entrar em ação.