Início » Software » Por que você deveria usar um gerenciador de senhas

Por que você deveria usar um gerenciador de senhas

Por
2 anos atrás
Já conhece a nova extensão do Tecnoblog? Baixe Agora

cadeado-seguranca-cofre-senha

Nunca estivemos tão bem servidos de gerenciadores de senhas. E isso tem criado algumas dúvidas: no Tecnogrupo, é comum alguém perguntar qual aplicativo escolher e, não raramente, alguém responder questionando por que utilizar um — afinal, você poderia guardar as senhas na memória ou aproveitar o recurso nativo do navegador, certo?

Até poderia, mas essas não são as melhores decisões. Eis algumas respostas para quem ainda não se convenceu a utilizar um gerenciador de senhas:

Não é melhor guardar as senhas na memória?

Se você tem essa dúvida, eu só posso deduzir três coisas:

  1. Você tem cadastro em pouquíssimos serviços;
  2. Seu cérebro tem capacidade de memorização impressionante e você precisa ser estudado pela ciência;
  3. Você reaproveita as mesmas senhas em todos os cadastros.

cerebro-memoria-cabeca

As duas primeiras hipóteses são improváveis, então vamos para a terceira: não é recomendável utilizar a mesma senha em mais de um serviço, por mais forte que seja a combinação. Você frequentemente lê notícias de serviços que foram atacados e tiveram seus bancos de dados expostos, junto com as senhas dos usuários. E certamente já deve ter recebido email de algum deles pedindo para que você troque sua combinação.

Se você reaproveita as senhas em vários serviços, corre o risco de ter todas as suas contas acessadas indevidamente caso alguém descubra sua combinação. Caso isso aconteça, não consigo nem imaginar a trabalheira que você terá para redefinir a senha em todos eles e verificar se seus dados estão intactos ou se ninguém fez compras não autorizadas com seu cartão de crédito.

Como nenhuma pessoa normal consegue guardar tantas combinações na memória, os gerenciadores de senhas são a melhor opção para organizar seus segredos.

Não é mais prático salvar tudo no navegador?

Os principais navegadores já possuem recursos para salvar senhas, então por que você deveria utilizar um aplicativo dedicado para isso?

Pode até ser mais prático, mas essa não é a melhor opção, nem a mais segura. No caso do Chrome para Windows, por exemplo, o arquivo de senhas é salvo em %UserProfile%\AppData\Local\Google\Chrome\User Data\Default\Login Data. Os dados são criptografados pelo navegador, mas a “chave” para decifrá-los é justamente sua conta de usuário do Windows — ou seja, qualquer aplicativo que você executar conseguirá ter acesso às senhas.

Mesmo no caso de navegadores que adotam uma abordagem mais segura, como o Firefox, no qual você pode definir uma senha-mestra independente, esses recursos ainda ficam atrás porque não fazem nada além do básico, que é salvar senhas.

1password

Já os gerenciadores de senhas trazem recursos que facilitam a organização. As funções variam dependendo do aplicativo, mas praticamente todos possuem geradores de senhas (assim você não precisa pensar em uma combinação), criptografam os dados com um algoritmo forte (só quem souber a senha-mestra poderá abrir seu cofre de senhas), têm opção para salvar os dados na nuvem (você pode carregar suas senhas para todo lugar e acessá-las no smartphone) e embutem recursos de segurança (mostram senhas duplicadas, velhas ou fracas).

Além disso, como os gerenciadores de senhas normalmente são multiplataforma, você pode trocar de navegador ou sistema operacional a qualquer momento e não fica dependente de um ecossistema específico só porque suas senhas estão armazenadas nos servidores do Google, da Apple ou da Microsoft.

No meu caso, eu também aproveito os gerenciadores de senhas para guardar informações de maneira segura — algo como um “banco de dados de segredos”. 1Password e LastPass são dois aplicativos que permitem salvar, além de senhas e cartões de crédito, notas de texto seguras.

Não é melhor salvar tudo num arquivo do bloco de notas?

Sério?

Mas os gerenciadores de senhas são realmente seguros?

Esta é, provavelmente, a maior preocupação: quem garante que suas informações salvas no gerenciador de senhas não serão roubadas? E a resposta mais correta é: ninguém.

Mas há motivos para confiar nos gerenciadores de senhas — ao menos nos mais conhecidos. O caso negativo mais recente aconteceu em junho de 2015, quando o LastPass sofreu um ataque e os hashes de autenticação foram acessados indevidamente. No entanto, os cofres dos usuários continuaram protegidos (eles não são armazenados no mesmo local) e as informações são salvas com proteção por hardware para dificultar ou impedir que a criptografia seja quebrada.

chave-cadeado-seguranca

Se você é realmente paranoico e não confia na nuvem, pode utilizar um gerenciador de senhas que possua opção para armazenar os dados apenas localmente, sem enviá-los para nenhum servidor. O 1Password, por exemplo, permite salvar o banco de dados no HD e sincronizar com o smartphone pela rede local. O KeePassX, que é open source, nem possui integração nativa com a nuvem — você precisa configurar tudo manualmente se quiser ter acesso às senhas em qualquer lugar, armazenando seu cofre em serviços como Dropbox e Google Drive.

Online ou não, os gerenciadores de senhas são melhores que confiar na sua memória, utilizar o recurso nativo do navegador ou guardar tudo num desprotegido senhas.txt.

Como começar?

Não é o foco deste artigo fazer um comparativo de gerenciadores de senhas, mas dá para sugerir os mais conhecidos — se você já utiliza um aplicativo do gênero que não foi listado, sinta-se livre para indicá-lo nos comentários.

  • 1Password. É o meu preferido, mas é caro (US$ 49,99 para OS X ou Windows). Permite gerar senhas facilmente memorizáveis e digitáveis, guarda códigos de autenticação em duas etapas (abandonei o Authy), possui boa integração com o iOS (preenche as senhas nos aplicativos e no Safari), tem interface bem trabalhada e salva dados confidenciais que não posso perder.
  • LastPass. É um dos mais utilizados, porque funciona em praticamente qualquer navegador e qualquer plataforma. As informações são armazenadas nos servidores do LastPass, criptografadas com AES–256. É gratuito, mas a sincronização com dispositivos móveis é restrita aos assinantes Premium (US$ 12 por ano).
  • KeePassX. A interface não é das mais amigáveis, mas é a melhor opção para os mais desconfiados. O código do aplicativo é aberto e pode ser analisado a qualquer momento. É possível configurar a força da criptografia e seus dados não são enviados para nenhum lugar. É um fork do KeePass, que só funciona no Windows. Gratuito e recomendado pela EFF (Electronic Frontier Foundation).
  • Dashlane. Praticamente um LastPass mais completo (e mais caro): fornece acesso às senhas na web, funciona bem nas principais plataformas e sincroniza os dados entre todos os dispositivos. O recurso mais bacana é o que permite trocar todas as suas senhas com um clique: o aplicativo se encarrega de gerar as combinações e acessar suas contas online. A assinatura paga custa US$ 39,99 por ano.

Boa sorte com as suas senhas!

  • Existe também atualmente o Enpass https://www.enpass.io/ Fica a dica

  • Douglas Souza Luz

    Tem também o oneSafe, que está grátis essa semana na App Store.

  • Diogo Nóbrega

    Uma dúvida: nos serviços que utilizam autenticação em duas etapas, eu estaria seguro mesmo utilizando a mesma senha?

    • Christian Hartung

      Sim, se todos os serviços que você usa suportarem autenticação em duas etapas.

      O maior problema é se um serviço for invadido e conseguir obter sua senha. Se o serviço que foi invadido é o que tem a autenticação em duas etapas configurado, conseguiram sua senha (senha, senha mesmo, primeira etapa), podem tentar usar ela em outros serviços. Serviços que podem não ter autenticação em duas etapas.

      Tipo, você colocou autenticação em duas etapas no Facebook, mas não no LinkedIn. Se conseguirem a senha do Facebook, podem tentar usá-la no LinkedIn e obter acesso à sua conta.

      O problema mesmo é que nem todos os serviços tem autenticação em duas etapas.

  • Maicol Oliveira

    Excelente artigo. Eu concordo que o 1password é o melhor de todos. Fiz um comparativo com outros que já usei e se quiserem, podem conferir aqui: http://bit.ly/melhor-gerenciador-senhas

    • Anakin

      Cara, eu fui la no seu blog, mas achei seu review um pouco superficial, eu ja uso o LastPass e pelo que li não me convenceu em nada a mudar, você só fala pra gente testar o trial. Queria que você contasse mais porque realmente você usa agora o 1Password, quais as facilidades que você vê no dia a dia em relação ao outro.

      • Maicol Oliveira

        Opa Anakin, então, basicamente e de forma bem resumida, tem 2 grandes motivos pelo qual optei por usar o 1Password:

        1) Ele é pago e desde que ouvi falar dele, nunca houve vazamento de nenhuma informação ou alguém que tenha conseguido invadir as senhas dos usuários. Esse é o ponto mais forte dele. Eu usava o Lastpass e por duas vezes as senhas todas foram expostas por hackers que invadiram. Tive que trocar e criptografar novamente as senhas no Lastpass.

        2) A integração e usabilidade dele é sem igual. Você pode usar no seu computador, com integração nos browsers e pode acessar tudo também no celular, da mesma forma, adicionando ou removendo senhas em qualquer dispositivo e mantendo a sincronia imediata. No Lastpass isso não era possível. Tinha que ter outro software pra ler as senhas do Lastpass (eu usava o Minikeepass).

        Espero ter ajudado e esclarecido. Estou muito satisfeito com o 1password, que apesar de caro, no meu caso resolveu muitos problemas que eu tinha.

        Abs,
        Maicol

        • Anakin

          Sobre o ponto 2, o Higa disse que ele não vem com sincronização, e o amigo ali até complementou e disse que pode usar o Dropbox pra isso, e o LastPass, que é o que uso, fica tudo sincronizado e não uso nenhum outro software.

          • Maicol Oliveira

            Então, eu também quando usava o Lastpass, deixava o arquivo de senhas no Dropbox. O que eu quis dizer é que No celular, se eu quisesse ver ou editar minhas senhas, eu precisaria fazer a assinatura anual de 11.99 dólares para virar premium e poder usar o APP nativo do Lastpass para celulares.

  • Luciano Lima

    Higa, o valor cobrado pelo 1Password ou LastPass é anual, ou paga-se uma vez com atualizações futuras incluídas?

    • Christian Hartung

      LastPass = anualmente
      1Password = pago uma vez só, mas só funciona com a versão atual do programa (se está na versão 5, você recebe todas as atualizações 5.x, mas não as 6)

      • Anakin

        tudo hoje na assinatura e os cara mantém esse modelo de negócio, poderiam mudar.

        • 1Password é diferente porque não tem um serviço de sincronização próprio (no fundo, ele é só um aplicativo). Para os outros faz sentido cobrar mensalmente/anualmente, porque são serviços.

          • Anakin

            entendi, realmente pra mim não é vantajoso então, uso alguns computadores diferentes, o plugin do lastpass me ajuda muito.

          • Rafael

            Você pode salvar o arquivo de chaves do 1password no Dropbox, por exemplo.
            Inclusive, existe uma opção para fazer isso automaticamente.

          • Anakin

            sim, mas os computadores que uso não são todos meus, a ter que ficar instalando em todas as máquinas, depois pegando o arquivo de chaves e colocando em todas, muito mais fácil o lastpass que é somente um plugin.

        • Christian Hartung

          Aparentemente existe um 1password Families, 5 obamas por mês para uma família de até 5 pessoas.

  • Anakin

    Uso o LastPass porque pra mim o custo benefício é melhor, o valor anual é bem mais barato que o 1Password e o Dashlane.

  • Trovalds

    E o Intel True Key, seria uma boa alternativa? R$ 29,90 por ano.

    EDIT: ele se enrosca na autenticação em 2 etapas.

  • Welington Souza

    Uso o SecureSafe, custa 20 doláres por ano e rola sempre o voucher de desconto. Acho bem prático e tem acesso às minhas senhas em todos os meus dispositivos e navegadores.

  • h1ghland3r

    Decidi migrar minhas senhas para um gerenciador e não quis pagar por isso. Acabei indo com o KeePass, funciona bem no meu Windows e Android, que são as minhas plataformas. Faço upload para o Dropbox, o qual está com autenticação em duas etapas.

    • Marcos Porto

      Como vc utiliza ele no smartphone?

      • h1ghland3r

        Utilizo o Keepass2Android.

  • KeePassX e FIM.

  • Tenho um pouco de medo de usar esses gerenciadores, já que eu acesso minhas contas no PC do trabalho também, e não sei como funciona pra acessar sem instalar software algum.

    Seria interessante um outro post contando detalhadamente como funciona cada um c:

    • Anakin

      você está na mesma situação que eu, uso o lastpass porque é um plugin no navegador, ai só lembrar de deslogar quando for embora, pra mim serve muito bem.

  • Helmut

    Existem algumas técnicas para criar senhas fáceis de memorizar, mas ainda assim, bastante funcionais e relativamente complexas.
    Esse é o tipo de dica que você NÃO deve compartilhar, mas lá vai:

    A idéia toda consiste em criar um “identificador” + um “core” e uma “categoria”.

    Por exemplo:

    Identificador = domínio (3 primeiras letras)
    Core = gato (G4t0)
    Categoria = Redes sociais (S0ci4l)

    @fac=G4t0+S0ci4l* (facebook)
    @twi=G4t0+S0ci4l* (twitter)

    Identificador = domínio
    Core = gato
    Categoria = eCommerce

    @sub=G4t0+L0j4* (submarino)
    @tec=G4t0+L0j4* (tecnosto.re 😉

    PS. Eu utilizo o 1Password em todos os meus PCs, essa idéia surgiu na tentativa de melhorar as senhas da minha mãe, que se recusava a parar de anotar tudo no bloco de notas. Se vocês utilizarem o método acima vão conseguir logar em todas as contas dela 😉

    • grande_dino_2

      Eu ainda uso esse conselho:

      http://imgs.xkcd.com/comics/password_strength.png

      Escolha palavras aleatórias e pronto.
      macacojanelacavalopelado
      24 letras, consideravelmente fácil de lembrar (macaco olhando pela janela viu um cavalo pelado).

      • Adriano Garcez

        Mas sem caractere especial e com palavras que se encontram em dicionário? Já li essa tirinha várias vezes e nunca fez muito sentido para mim.

  • Eduardo Papa

    Baixei no ios o onesafe, estava de graça na appstore. Será que ele presta?? Alguém aqui usa?

  • Weller Santibanez

    Poxa Higa, vim aqui seco achando que teria um comparativo, eu estou inclinado a ter um gerenciador de senhas, mas quero um free ou que tenha preço único, e que dê para sincronizar na nuvem.

    • h1ghland3r

      Keepass. Sincroniza com Dropbox ou Google Drive. Tem a pior interface, mas é gratuito.

      • Saiuke

        LastPass é free agora e tem tudo isso.

        • h1ghland3r

          Mano.. Fazem dois anos… =O
          Hoje em dia tmb uso Last Pass.

  • Uso o Dashlane no Windows e Android. O 1Password seria a melhor opção para mim, se não fosse um produto com experiência 100% Apple.

  • Yago Oliveira

    Desculpa aí, mas com esses valores fica difícil mudar para um gerenciador de senhas…

    • LBM Eng

      que valores

    • Marcos

      KeePass é free meu jovem!

    • Adriano Garcez

      Usa o EnPass. É ilimitado no Windows. Em compensação, não tem versão free para mobile.

    • Karaca valores pra assinatura de 1 ano, mesmo convertendo em real, é um bom investimento e barato…

  • Cesar Rodrigo Bagatoli

    Uso o SafeInCloud faz uns 2 anos já e não troco por outro. Testei recentemente o EnPass, mas é mais caro que o SafeInCloud e pessoalmente não me adaptei a ele. SafeInCloud criptografa os dados no cliente e então sincroniza na nuvem de sua escolha. Quando à apps deste tipo que são gratuítos, se a pessoa já fica com o pé atrás em guardar este tipo de dados em um app pago, imagina em um app free. Boa matéria.

  • Bruno Borret

    Eu utilizo o Enpass. É mais barato, não possui assinatura e possui um client para PC/Mac/Linux de grátis.

  • Hermes Burgers

    pessoal o memoria de todo mundo tem a capacidade de guardar trocentas senhas. Isso ai é só um jeito de vender gerenciador de senha. Você tem que aprender a usar seu cérebro melhor, existem muitas tecnicas. Deixe de ser um cara preguiçoso

  • Bruno ✔

    Não, obrigado.
    Prefiro utilizar senhas semelhantes e verificação por duas etapas quando possível.

  • GiulianoBR

    Uso o LastPass a alguns anos e recomendo assim que posso para meus amigos.Tem senha que nem sei mais qual é, só o LastPass pra me salvar.

  • Josiel Hen

    Eu uso apenas um gerenciador de autenticação por duas etapas (Aunthy), de resto, minhas senhas são semelhantes, diferenciando-se apenas pelo ambiente de cada site.

  • Luis Cesar

    Eu uso um trial do 1password que permite usar ate 20 logins

  • Robson Sobral

    Ter 2FA junto dentro do 1Password não contradiz o propósito do negócio? Deixas as duas autenticações juntas.

    O que não percebi?

    • Adriano Garcez

      Né? Muito improvável, mas, se descobrirem a senha do cofre dele, adeus contas.

  • Keaton

    Uh… KeePassX? E porque não o KeePass original?

    A interface não é das mais amigáveis, mas é a melhor opção para os mais desconfiados.

    A interface do KeepAss é bem amigavel depois que tu aprende a lidar… (talvés não seja a mais bonita, mas é bem organizado e de fácil entendimento)
    [adivinha qual eu uso?]

    Ensinei meu pai a usar o KeepAss, ele anotou algumas senhas e tempos depois esqueceu a senha do db.

    • Marcelo Rocha

      Pensei a mesma coisa

  • Dayman Novaes

    O post já começa com uma suposição de que se não uso gerenciador de senha só posso estar em um dos três casos. Acontece que não estou em nenhum, não uso a mesma senha para nenhum App, não guardo a senha em nenhum lugar e NÃO preciso memorizar todas.

    Uso um exemplo semelhante ao que o cara explicou abaixo, no qual você usa categorias para montar a sua senha.

    Eu tenho uma senha padrão, que não é verbosa, ou seja, quando a pessoa lê, ela não identifica o padrão.

    Por exemplo, se sua mãe chama Maria da Silva, você nasceu em 1990, e gosta de suco, pode fazer algo como:

    Ms19-su90-co

    E para cada aplicativo você inventa um padrão e insere nessa senha, como:

    Facebook – Ms19fa-su90ok-co – inseri fa de FAcebook e ok de faceboOK

    E faz isso para todos. De tal forma que sites que me inscrevi a cinco anos atrás e só fui usar agora, ainda lembro a senha, mesmo que diferente de todas as outras.

    • Bom, mas aí também exige uma certa memorização e lógica, e muita gente tem dificuldade de criar e manter um sistema de criação de senhas assim na cabeça.

  • Douglas Siqueira

    Sou leigo nesse assunto mas não consigo ver diferença em salvar minhas senhas no OneNote e em um desses gerenciadores afinal se alguém acessar meu OneNote irá ver minhas senhas e igual acontece nos gerenciadores né?

    • Duas principais diferenças:
      1. Gerenciadores de senhas automatizam o trabalho de criar e guardar senhas. Eles se integram aos navegadores, permitindo coisas como geração automática de senhas e preenchimento automático.
      2. Os gerenciadores de senhas criptografam seus dados por padrão, sem necessitar armazenar em Plain Text antes.

  • Tálison De Paiva Ribeiro

    Não sou muito paciente para isso, utilizo sempre as mesmas senhas em todos os cadastros, sempre contendo letras maiúsculas e minúsculas, um caracter especial e números.
    Mas mesmo assim guardo todos os links, login e senha (não escrevo a senha e sim coloco códigos que faça eu lembrar) em uma tabela no word protegida com senha e que fica na nuvem… Porém todo vez que vira o ano, eu começo a trocar as senhas conforme eu vou entrando nos cadastros, e por isso, tem cadastros que eu acessei, por exemplo, em 2012 e até hoje nunca mais acessei, ou seja, a senha deste cadastro está com senha antiga, daí neste caso eu preciso acessar o meu arquivo que está na nuvem para descobrir qual é a senha deste cadastro antigo… E assim segue a vida. Já me acostumei com isso e pra mim dá muito certo. E detalhe, não preciso usar muito o arquivo, pois com o tempo eu memorizo o padrão que eu costumo usar.
    Penso no seguinte, se alguém realmente quiser invadir uma conta sua, não é a senha que vai impedir… independente da segurança (minha opinião).

  • Carlos Augusto

    Por que parou de usar o Authy? Estou usando ele e acho bom.

  • Marcelo de Medeiros

    Fiz uma conta Lastpass e baixei a extensão para o chrome com os binários, instalei e digitei meu login e senha para acesso e logo após o lastpass exibe uma tela onde informa que achou senhas gravadas no meu notebook, exibindo somente redes wifi com o nome e as senhas. porém esse notebook é do trabalho e nunca sequer conectei ele a minha rede de casa, então eu pergunto como ele descobriu os nomes e senhas das minhas redes wifi?

    • Adriano Garcez

      Gerenciador de rede do Windows.

      • Marcelo de Medeiros

        Eu iria dizer que seria impossível porque eu nunca tinha conectado esse notebook nessas redes por ser notebook do trabalho, mas, lembrei que conectei minha conta windows apenas uma única vez e deve ter transferido toda a informação do meu notebook pessoal.Espero que tenha sido isso.

  • Adriano Garcez

    Eu uso o 1Password e o EnPass, mas, desde que surgiu a verificação em dois passos, parei de me preocupar com a complexidade das minhas senhas.

  • Patrick

    Eu acho que estou no grupo de pessoas que não tem tantas senhas assim para decorar. Eu comecei a anotar as minhas num rascunho do email, mas ai eu pensei “e se eu esqueço a senha do email” aí eu passei para uma folha mas agora tá num caderno meu e, por enquanto, me serve bem.
    Eram todas as mesmas, praticamente, mas agora eu to trocando diversas, sempre variando com diversas letras e maiúsculas. Tem diversos lugares que a senha está igual mas são lugares que não me importo muito, os principais contém senhas diferentes.

  • Galileu Dev
  • Guardo minhas senhas em um caderno. Mais seguro e barato.

  • Petró

    Eu uso o 1Password no OS X e iOS.

  • Uso o Keeper a dois anos, por $19,90 acho um bom gerenciador de senhas.

  • Maximilian Deister

    e o oneSafe, alguém já usou? recomenda? peguei grátis na AppStore semana passada.

  • Maximilian Deister

    e o oneSafe, alguém já usou? recomenda? peguei grátis na AppStore semana passada.

  • Cacio Frigerio

    uso o lastpass a uns 4 anos. ele é o mais pratico. oferece teste de força de todas as senhas. hoje nao tenho NENHUMA senha repetida em nenhum servico. a 2 anos assino a versao paga. mas soh pq quero acessar automaticamente do smartphone,mas soh se quiser se nao a versao free tem tudo fora isso.

  • Rodrigo Freijanes

    Eu sou muito desconfiado com esses apps. Eu tenho o OneSafe instalado, mas nunca salvei nada nele por receio.

  • Orlando C. Neto

    F-Secure Key você recomenda?

  • Fábio Silva

    Uso Gerenciador de senhas e não entendo como as pessoas não usam, a não ser que utilizam a mesma senha para tudo rs. hoje tudo pede senha. sites, aplicativos. achei que não tinha muitas senhas ao incluir todas verifiquei que tinha 211 senhas cadastradas. Queria comprar o 1Password, mas pagar 200 reais em um software de senhas é um abuso

  • Andre Luiz

    Só atualizando… O LastPass agora permite sincronia com qualquer dispositivo, inclusive móveis, no plano gratuito.