Esta é uma análise aprofundada do Passwork, uma solução de gestão de senhas auto-hospedada, ideal para empresas que buscam maior controle sobre suas credenciais.
A necessidade de senhas fortes é um tema recorrente, porém, a realidade é que criar e gerenciar essas senhas pode ser complexo.
Usuários comuns da internet possuem inúmeras contas (eu mesmo tenho mais de 200), e criar longas sequências aleatórias para cada uma delas é uma tarefa pouco atrativa.
É humanamente impossível memorizar todos esses caracteres únicos para cada acesso. A prática antiga de anotar as senhas em papel também não é uma solução viável.
A resposta para esse desafio reside em um gerenciador de senhas, especialmente se você não estiver utilizando autenticação sem senha.
Para quem não está familiarizado, um gerenciador de senhas armazena seus logins, gera senhas robustas, preenche formulários automaticamente e oferece diversas outras funcionalidades que tornam a internet mais segura e fácil de usar.
Mesmo com todos os benefícios que essas ferramentas oferecem, apenas 31% das pessoas as utilizam no ambiente de trabalho:
Embora a segurança pessoal seja uma responsabilidade individual, não se deve permitir que a negligência nessa área afete a segurança de uma empresa.
Nesse contexto, um gerenciador de senhas local surge como a alternativa mais segura para qualquer organização. Assim, você minimiza os riscos para suas credenciais, mesmo que o fornecedor do gerenciador de senhas sofra um ataque.
Vamos analisar o Gerenciador de Senhas Passwork, um software que pode ser implementado tanto localmente quanto na nuvem. Embora ambas as versões sejam semelhantes, a auto-hospedada se destaca por sua riqueza em recursos, e é nela que focaremos.
Vamos começar a análise.
Passwork: Gerenciador de Senhas Local
Sediado na Finlândia, o Passwork pode ser instalado em servidores Windows e Linux, bem como através de uma imagem Docker. O software oferece guias detalhados para instalação em diversas plataformas suportadas.
O Passwork vem com funcionalidades empresariais de alto nível, como:
- Criptografia AES-256
- Código fonte auditável
- Gestão de usuários baseada em funções
- Registro completo de atividades
- Autenticação de dois fatores
- Integração AD/LDAP
- Compatibilidade SSO com SAML
- Aplicativo móvel
- Extensões para navegadores
- Importação/Exportação em JSON/CSV
- API de senhas
- Temas claros e escuros
Nas próximas seções, vamos testar na prática alguns desses recursos. Isso ajudará você a decidir se o Passwork atende às suas expectativas.
Criação e Compartilhamento de Cofres
O primeiro passo como administrador é criar um cofre de senhas. Existem dois tipos: Organização e Privado.
Os cofres da organização são geridos pelo administrador do gerenciador de senhas, que é a primeira conta criada no sistema. Posteriormente, o administrador pode conceder privilégios semelhantes ou selecionados a outros usuários para cada cofre.
Além disso, o administrador do cofre pode compartilhar um cofre específico por meio de um link de compartilhamento com limite de tempo e acesso restrito, utilizando a opção “Criar link” localizada no canto inferior direito da imagem anterior.
Adicionar usuários ao cofre também é um processo rápido. É possível convidar vários usuários já registrados enviando um convite diretamente ou criando um link e compartilhando-o com o grupo desejado.
É importante notar que o administrador precisa criar os perfis de usuário (que serão abordados posteriormente) antes de enviar os convites.
Por outro lado, os Cofres Privados são geridos pelos próprios usuários. Contudo, um usuário pode compartilhar seu cofre privado com qualquer outro colaborador ou organização.
Gestão de Usuários
A gestão de usuários é uma área crucial para qualquer negócio. Com base em seu plano de assinatura, você pode criar até 100 contas.
Esse processo é realizado através do botão “Criar usuários”. É necessário inserir o nome de usuário, função, e-mail e status de associação.
Em seguida, você obtém as credenciais de login específicas para compartilhar com o usuário desejado.
Além disso, é possível criar funções e compartilhar URLs de registro com convites.
O objetivo principal de atribuir funções é criar grupos apropriados e gerenciar permissões de forma centralizada para todos os membros de um grupo.
Essa funcionalidade também indica o número de participantes em cada grupo e os cofres aos quais eles têm acesso.
Importação/Exportação de Senhas
A importação de senhas é um recurso essencial, especialmente se você estiver migrando de outra ferramenta de gestão de senhas ou começando do zero. Em ambos os casos, é necessário preparar os dados nos formatos JSON ou CSV.
De maneira semelhante, a exportação de dados permite baixar todos os cofres juntos ou selecioná-los individualmente nos formatos JSON ou CSV.
Além disso, é possível importar (ou exportar) dados diretamente em um cofre específico.
Basta clicar nas reticências horizontais e escolher a opção desejada no menu suspenso.
Também é possível adicionar manualmente uma entrada de senha utilizando o botão “+ Adicionar senha”.
O gerador de senhas integrado permite usar números, letras minúsculas e maiúsculas, além de caracteres especiais, tanto de forma conjunta quanto separadamente.
O sistema também oferece a possibilidade de definir múltiplos nomes de usuário e senhas para o mesmo URL simultaneamente.
Segurança
Não apenas agentes externos, mas também funcionários podem comprometer a segurança das empresas.
Assim, o Passwork oferece aos administradores ferramentas para implementar as melhores práticas de segurança, de acordo com cada situação.
O histórico de atividades é a primeira ferramenta de monitoramento. Ele está acessível por meio da opção “Histórico” (indicada pelas reticências horizontais) dentro de cada cofre.
O histórico completo de todas as atividades também está disponível no painel lateral esquerdo, na seção de registro de atividades.
Essa seção é muito útil e apresenta detalhes de cada atividade realizada por cada usuário em todos os cofres.
O registro inclui atividades administrativas, como criação de cofres e usuários, exclusão e compartilhamento de senhas, e virtualmente tudo o que acontece nos cofres.
É importante ressaltar que essas informações só são visíveis para os respectivos administradores de cada cofre.
O conjunto de opções fornecidas nas Configurações do Passwork permite um controle preciso sobre a criação de cofres, seu conteúdo, compartilhamento e outras ações.
Por exemplo, o administrador pode impor a autenticação de dois fatores, regular o compartilhamento de senhas e a criação de cofres por usuários não administradores, definir o logout automático e habilitar chaves de API com restrição de tempo, entre outras opções.
O Painel de Segurança é outra funcionalidade voltada para a segurança.
Em resumo, ele fornece informações sobre a segurança geral das senhas. É possível verificar a força e a idade das senhas para redefini-las adequadamente. Além disso, o Passwork marca automaticamente as senhas que foram acessadas por funcionários que foram removidos do sistema, facilitando a restrição de acesso aos serviços corporativos para colaboradores desligados.
Em suma, o Passwork demonstra uma boa atenção à segurança, oferecendo recursos para organizações de todos os portes.
Integração LDAP/AD
O Passwork pode ser integrado ao seu LDAP corporativo, evitando que os usuários precisem memorizar mais uma senha.
A ideia é utilizar o diretório LDAP/AD para autenticar no Passwork, em vez de configurar informações de login nativas.
Para ativar essa funcionalidade, o primeiro passo é configurar um servidor LDAP/AD clicando em “Adicionar servidor”. Em seguida, insira as informações do servidor, teste a conexão e salve as configurações.
Posteriormente, você precisa ativar a opção “Habilitar autorização LDAP” na página inicial das configurações de LDAP.
É possível desabilitar qualquer servidor por meio de uma chave de alternância ao lado de cada nome de servidor. Também existe a opção “Debug” abaixo do botão “Adicionar servidor”, que permite verificar a autorização LDAP/AD.
Configurações de SSO
O Single Sign-On (SSO) visa simplificar ainda mais a gestão de senhas.
Basicamente, o SAML SSO permite utilizar uma combinação universal de nome de usuário e senha para acessar um conjunto de aplicativos web. Isso elimina a necessidade de memorizar várias credenciais para cada conta.
Essa funcionalidade é muito útil se você já utiliza um provedor de identidade SAML ou planeja começar a utilizá-lo.
Para utilizar o SSO, basta configurar as informações fornecidas (como na imagem) com seu provedor de identidade (IdP). Isso permitirá que os usuários façam login no Passwork com o IdP existente.
O processo é semelhante ao login social e oferece uma maneira simples de conceder acesso aos usuários desejados.
API de Senhas
Esta é a forma mais rápida de criar ou alterar o conteúdo de um cofre.
É possível recuperar a chave de API nas configurações de API e utilizá-la para criar, atualizar e buscar senhas nos cofres que você gerencia ou aos quais tem acesso.
A documentação da API disponível na seção “Manuais” é detalhada e oferece exemplos que demonstram tudo o que é possível realizar através da API do Passwork.
Além disso, o conector JS facilita a integração com sua infraestrutura existente.
Extensão de Navegador e Aplicativo Móvel
A extensão de navegador do Passwork é compatível com Chrome, Firefox, Edge e Safari. Clique em “Configurações” e depois em “Usuários”, e encontre as extensões de navegador em “CONECTAR APLICATIVOS”.
Em seguida, baixe a extensão e insira o endereço do host para habilitá-la.
A extensão de navegador lista todos os cofres, possui o gerador de senhas e todos os recursos vitais da aplicação web.
É possível usar a extensão com um PIN para evitar ter que inserir a senha de autorização sempre. A interface da extensão também oferece temas claros e escuros.
De maneira similar, você pode baixar o aplicativo móvel para Android e iOS. No momento da escrita desta análise, o Passwork exige que seu smartphone acesse os servidores de hospedagem via LAN ou VPN.
Após baixar o aplicativo móvel, ele solicita uma verificação de código QR (a partir da aplicação desktop) para obter acesso aos cofres.
Diferentemente da extensão de navegador, o aplicativo móvel é mais robusto e tenta replicar a experiência desktop em telas menores. Você terá acesso aos cofres e poderá usar os recursos colaborativos do aplicativo, o que o torna um gerenciador de senhas perfeito para uso em qualquer lugar.
Conclusão
Esta foi uma análise prática do Passwork auto-hospedado para empresas. A documentação detalhada e o suporte rápido tornaram nossa experiência muito tranquila.
Além disso, a conta demo é perfeita para avaliar os pontos fortes do software e sua adequação para suas necessidades.