Um gestor de palavras-passe é uma ferramenta que armazena todas as suas credenciais de acesso, preenchendo-as automaticamente nos seus navegadores e aplicações móveis. Mas será que confiar as suas palavras-passe a uma aplicação e guardá-las num único local é realmente uma boa ideia?
A resposta é sim. Recomendamos vivamente o uso de um gestor de palavras-passe, pois é uma solução muito mais segura do que outros métodos de gestão de credenciais. Vejamos por que razão são uma escolha segura.
Gestores de palavras-passe são mais seguros do que alternativas
Um gestor de palavras-passe guarda as suas credenciais num cofre digital seguro, acessível com uma única palavra-passe principal e, opcionalmente, um método de autenticação de dois fatores para aumentar a segurança.
Com os gestores de palavras-passe, pode usar palavras-passe fortes e únicas em todos os sites e aplicações. Para a maioria das pessoas, isto é praticamente impossível de fazer manualmente – quem consegue memorizar passwords complexas e diferentes para cada site que usa? Os gestores de palavras-passe podem gerar e memorizar passwords como “aZ$8g#tX_9pQ1”.
Se não utilizar um gestor de palavras-passe, provavelmente não se lembrará de todas as credenciais fortes e únicas que precisa. O mais comum é as pessoas reutilizarem as mesmas palavras-passe em vários sites – o que é muito perigoso. Se ocorrer uma fuga de dados num site, isso significa que as suas contas noutros sites também estarão vulneráveis. Um atacante só precisa de tentar iniciar sessão com a mesma combinação de e-mail e palavra-passe.
Poderá tentar criar palavras-passe “únicas” com base num padrão. Por exemplo, a sua palavra-passe base poderá ser “segredo_123@”. Ao aceder ao Facebook, poderá utilizar “segredo_123_fb@”, e assim por diante. Desta forma, teria várias palavras-passe únicas das quais se conseguiria lembrar. Mas a verdade é que as suas palavras-passe tornam-se previsíveis. E o que acontece quando um site não permite caracteres especiais, ou limita o número de dígitos, impedindo que o seu método funcione?
Com um gestor de palavras-passe, só precisa de criar e lembrar-se de uma palavra-passe principal.
Embora seja necessário confiar no gestor de palavras-passe que escolher, é mais seguro do que as alternativas. Os gestores de palavras-passe que recomendamos nunca foram comprometidos, ao contrário do que aconteceu com muitas pessoas que reutilizaram palavras-passe. A exploração de palavras-passe reutilizadas é uma forma comum de os piratas informáticos acederem a contas nos dias de hoje.
Como os gestores de palavras-passe protegem as suas credenciais
Recomendamos – juntamente com muitos outros sites – o 1Password e o LastPass como as melhores opções. Ambos protegem o seu cofre de palavras-passe com uma forte encriptação (AES-256), mesmo quando armazenado na nuvem. As palavras-passe guardadas no seu PC, smartphone ou tablet são protegidas por uma palavra-passe principal, que as torna ilegíveis para quem não a conhece. Em dispositivos modernos, também pode desbloquear o seu cofre com autenticação biométrica – como Face ID ou Touch ID em iPhones.
Ambos os serviços garantem que a palavra-passe principal nunca sai do seu dispositivo, e que não conseguem aceder às suas palavras-passe mesmo que quisessem – não têm conhecimento zero das suas credenciais. Ambos passaram por auditorias e revisões de código de terceiros. Nenhum sofreu uma violação de segurança grave, e ambos são transparentes em relação aos métodos de proteção de dados. Consulte os sites do 1Password e do LastPass para mais detalhes.
Prefere uma solução de código aberto? Existem gestores de palavras-passe de código aberto como o Bitwarden e o KeePass. Pode usar estas aplicações para armazenar as suas palavras-passe nos seus próprios dispositivos ou servidores. Por exemplo, pode configurar o seu próprio servidor de sincronização para o Bitwarden, ou sincronizar manualmente uma base de dados KeePass entre os seus dispositivos. Provavelmente será mais complexo e trabalhoso, e as aplicações não serão tão intuitivas, mas se preferir software de código aberto, existem opções disponíveis.
Pode confiar nas empresas gestoras de palavras-passe?
Em última análise, está a depositar confiança nas empresas que gerem as suas palavras-passe. Embora as empresas prometam manter as suas credenciais seguras, podem atualizar o seu software para capturar as suas palavras-passe, ou sofrer uma falha de segurança grave que exponha as suas credenciais. As empresas são auditadas em termos de segurança, mas e se deixarem de o ser?
É um risco, de facto. Confia no seu gestor de palavras-passe da mesma forma que confia em qualquer aplicação. O mesmo se aplica a qualquer aplicação no seu PC ou a muitas extensões de navegadores: podem espionar as suas atividades e reportar as suas palavras-passe, números de cartão de crédito e outras comunicações a terceiros.
No entanto, isso ainda não aconteceu. Estas são empresas conceituadas no ramo da segurança. É provavelmente mais perigoso instalar extensões aleatórias para o navegador – que muitas vezes têm acesso a tudo o que acontece no seu navegador e podem enviar esses dados para outro local – do que guardar as suas palavras-passe num gestor de palavras-passe.
Usamos e recomendamos gestores de palavras-passe
Seguimos os nossos próprios conselhos e usamos gestores de palavras-passe como o 1Password e o LastPass. Os gestores de palavras-passe integrados em navegadores como o Chrome e o Safari têm melhorado, mas não são tão completos nem tão poderosos.
Para além da segurança, os gestores de palavras-passe oferecem muitos benefícios em termos de conveniência. Pode partilhar facilmente as suas palavras-passe com um amigo, membro da família ou colega de trabalho. Pode preencher automaticamente as credenciais no seu telemóvel sem as digitar – mesmo num iPhone ou iPad. Gestores como o 1Password e o LastPass enviam alertas se alguma das suas palavras-passe tiver sido comprometida num ataque, e recomendam as alterações necessárias. É uma grande melhoria em relação a tentar gerir as suas palavras-passe sem qualquer ajuda.