Início » Software » Por que você deveria usar um gerenciador de senhas

Por que você deveria usar um gerenciador de senhas

Por
3 anos atrás

Nunca estivemos tão bem servidos de gerenciadores de senhas. E isso tem criado algumas dúvidas: no Tecnogrupo, é comum alguém perguntar qual aplicativo escolher e, não raramente, alguém responder questionando por que utilizar um — afinal, você poderia guardar as senhas na memória ou aproveitar o recurso nativo do navegador, certo?

Até poderia, mas essas não são as melhores decisões. Eis algumas respostas para quem ainda não se convenceu a utilizar um gerenciador de senhas.

cadeado-seguranca-cofre-senha

Não é melhor guardar as senhas na memória?

Se você tem essa dúvida, eu só posso deduzir três coisas:

  1. Você tem cadastro em pouquíssimos serviços;
  2. Seu cérebro tem capacidade de memorização impressionante e você precisa ser estudado pela ciência;
  3. Você reaproveita as mesmas senhas em todos os cadastros.
cerebro-memoria-cabeca

As duas primeiras hipóteses são improváveis, então vamos para a terceira: não é recomendável utilizar a mesma senha em mais de um serviço, por mais forte que seja a combinação. Você frequentemente lê notícias de serviços que foram atacados e tiveram seus bancos de dados expostos, junto com as senhas dos usuários. E certamente já deve ter recebido email de algum deles pedindo para que você troque sua combinação.

Se você reaproveita as senhas em vários serviços, corre o risco de ter todas as suas contas acessadas indevidamente caso alguém descubra sua combinação. Caso isso aconteça, não consigo nem imaginar a trabalheira que você terá para redefinir a senha em todos eles e verificar se seus dados estão intactos ou se ninguém fez compras não autorizadas com seu cartão de crédito.

Como nenhuma pessoa normal consegue guardar tantas combinações na memória, os gerenciadores de senhas são a melhor opção para organizar seus segredos.

Não é mais prático salvar tudo no navegador?

Os principais navegadores já possuem recursos para salvar senhas, então por que você deveria utilizar um aplicativo dedicado para isso?

Pode até ser mais prático, mas essa não é a melhor opção, nem a mais segura. No caso do Chrome para Windows, por exemplo, o arquivo de senhas é salvo em %UserProfile%\AppData\Local\Google\Chrome\User Data\Default\Login Data. Os dados são criptografados pelo navegador, mas a “chave” para decifrá-los é justamente sua conta de usuário do Windows — ou seja, qualquer aplicativo que você executar conseguirá ter acesso às senhas.

Mesmo no caso de navegadores que adotam uma abordagem mais segura, como o Firefox, no qual você pode definir uma senha-mestra independente, esses recursos ainda ficam atrás porque não fazem nada além do básico, que é salvar senhas.

1password

Já os gerenciadores de senhas trazem recursos que facilitam a organização. As funções variam dependendo do aplicativo, mas praticamente todos possuem geradores de senhas (assim você não precisa pensar em uma combinação), criptografam os dados com um algoritmo forte (só quem souber a senha-mestra poderá abrir seu cofre de senhas), têm opção para salvar os dados na nuvem (você pode carregar suas senhas para todo lugar e acessá-las no smartphone) e embutem recursos de segurança (mostram senhas duplicadas, velhas ou fracas).

Além disso, como os gerenciadores de senhas normalmente são multiplataforma, você pode trocar de navegador ou sistema operacional a qualquer momento e não fica dependente de um ecossistema específico só porque suas senhas estão armazenadas nos servidores do Google, da Apple ou da Microsoft.

No meu caso, eu também aproveito os gerenciadores de senhas para guardar informações de maneira segura — algo como um “banco de dados de segredos”. 1Password e LastPass são dois aplicativos que permitem salvar, além de senhas e cartões de crédito, notas de texto seguras.

Não é melhor salvar tudo num arquivo do bloco de notas?

Sério?

Mas os gerenciadores de senhas são realmente seguros?

Esta é, provavelmente, a maior preocupação: quem garante que suas informações salvas no gerenciador de senhas não serão roubadas? E a resposta mais correta é: ninguém.

Mas há motivos para confiar nos gerenciadores de senhas — ao menos nos mais conhecidos. O caso negativo mais recente aconteceu em junho de 2015, quando o LastPass sofreu um ataque e os hashes de autenticação foram acessados indevidamente. No entanto, os cofres dos usuários continuaram protegidos (eles não são armazenados no mesmo local) e as informações são salvas com proteção por hardware para dificultar ou impedir que a criptografia seja quebrada.

chave-cadeado-seguranca

Se você é realmente paranoico e não confia na nuvem, pode utilizar um gerenciador de senhas que possua opção para armazenar os dados apenas localmente, sem enviá-los para nenhum servidor. O 1Password, por exemplo, permite salvar o banco de dados no HD e sincronizar com o smartphone pela rede local. O KeePassX, que é open source, nem possui integração nativa com a nuvem — você precisa configurar tudo manualmente se quiser ter acesso às senhas em qualquer lugar, armazenando seu cofre em serviços como Dropbox e Google Drive.

Online ou não, os gerenciadores de senhas são melhores que confiar na sua memória, utilizar o recurso nativo do navegador ou guardar tudo num desprotegido senhas.txt.

Como começar?

Não é o foco deste artigo fazer um comparativo de gerenciadores de senhas, mas dá para sugerir os mais conhecidos — se você já utiliza um aplicativo do gênero que não foi listado, sinta-se livre para indicá-lo nos comentários.

  • 1Password. É o meu preferido, mas é caro (US$ 49,99 para OS X ou Windows). Permite gerar senhas facilmente memorizáveis e digitáveis, guarda códigos de autenticação em duas etapas (abandonei o Authy), possui boa integração com o iOS (preenche as senhas nos aplicativos e no Safari), tem interface bem trabalhada e salva dados confidenciais que não posso perder.
  • LastPass. É um dos mais utilizados, porque funciona em praticamente qualquer navegador e qualquer plataforma. As informações são armazenadas nos servidores do LastPass, criptografadas com AES–256. É gratuito, mas a sincronização com dispositivos móveis é restrita aos assinantes Premium (US$ 12 por ano).
  • KeePassX. A interface não é das mais amigáveis, mas é a melhor opção para os mais desconfiados. O código do aplicativo é aberto e pode ser analisado a qualquer momento. É possível configurar a força da criptografia e seus dados não são enviados para nenhum lugar. É um fork do KeePass, que só funciona no Windows. Gratuito e recomendado pela EFF (Electronic Frontier Foundation).
  • Dashlane. Praticamente um LastPass mais completo (e mais caro): fornece acesso às senhas na web, funciona bem nas principais plataformas e sincroniza os dados entre todos os dispositivos. O recurso mais bacana é o que permite trocar todas as suas senhas com um clique: o aplicativo se encarrega de gerar as combinações e acessar suas contas online. A assinatura paga custa US$ 39,99 por ano.

Boa sorte com as suas senhas!

Mais sobre: