This post is also available in: Português
Não há mal algum em questionar a segurança de sistemas que armazenam senhas. Pelo contrário; é sinônimo de maturidade em um mercado que cresce a passos largos, levando a um processo de melhoria constante que resulta em soluções cada vez mais confiáveis.
Como se sabe, os gerenciadores de senhas são aplicativos que armazenam com segurança os detalhes de login para todos os tipos de sites, serviços online e sistemas corporativos. A maioria dos gerenciadores de senhas não apenas guarda vários nomes de usuário e passwords, mas também criam senhas únicas e fortes para seus inúmeros logins.
Nesse contexto, essas soluções geralmente usam várias camadas de criptografia e outras proteções com o intuito de manter seus dados a salvo. Então, para acessar seus logins, tudo o que o usuário precisa fazer é criar – e lembrar – uma senha mestra segura. Assim, é importante ressaltar que soluções do tipo existem nas versões local – com dados armazenados no dispositivo – ou baseadas em cloud computing, o que significa que os dados são gravados na nuvem. Seja como for, ambas as modalidades têm prós e contras de segurança.
Um bom gerenciador de senhas tem várias camadas de segurança e proteção para evitar violações e proteger suas senhas de serem reveladas no caso de uma violação. Há também recursos extras de segurança, como autenticação biométrica, para garantir que apenas usuários autorizados façam login.
Dessa maneira, a segurança é um ponto crucial para a maioria dos serviços de gerenciamento de senhas. Muitos deles oferecem recursos como geradores de senhas, fornecendo passwords exclusivos e ultrasseguros, com lembretes para alterar as senhas regularmente. Alguns exigem a troca constante, bem como a proibição de usar combinações utilizadas anteriormente – a famosa “reciclagem” de senhas.
São ações cada vez mais necessárias. Algumas pesquisas realizadas pelo Google mostraram que 52% dos entrevistados repetiam a mesma senha em vários serviços online, sendo que 13% confessaram usar a mesma senha para tudo. Essas práticas são desaconselhadas; diversas listas de vazamento de senhas ficam disponíveis por meses e anos em fóruns de cibercriminosos, e são periodicamente verificadas pelos golpistas quanto ao seu funcionamento. Assim, aquela senha “123456” que foi usada por determinado usuário no passado será testada via software pelos crackers para ver se ainda está funcionando, já prevendo que muitas pessoas voltam a usar senhas antigas.
Ameaças
O risco mais óbvio de usar um gerenciador de senhas é que ele mantém todas as suas informações confidenciais de login em um só lugar. Assim, uma violação pode ser catastrófica. É por isso que muitos gerenciadores de senhas usam várias camadas de segurança, que reduzem bastante a chance de suas senhas serem vazadas.
Contudo, a maioria dos principais gerenciadores de senhas nunca teve uma violação de segurança relevante. Embora alguns serviços tenham revelado vulnerabilidades, elas normalmente são resolvidas sem incidentes. Assim, é mais provável que alguém não autorizado possa acessar manualmente uma conta por encontrar algum papel com o password escrito à mão. No entanto, recursos comuns, como autenticação multifator, podem proteger contra situações do tipo.
Outro risco que é indiscutivelmente mais provável do que uma invasão é a possibilidade de não conseguir o acesso ao gerenciador de senhas por conta da perda ou esquecimento da senha mestra. Alguns gerenciadores têm um plano de contingência para esses casos, com códigos de recuperação que o usuário pode inserir. Entretanto, para segurança dos próprios usuários, geralmente existem poucas soluções com opções para esse tipo de acesso de emergência.
Custo versus segurança
Alguns serviços de gerenciamento de senhas oferecem planos gratuitos e também uma versão paga. De um modo geral, os planos free ainda conferem um nível adequado de segurança. Por exemplo, determinados planos grátis criptografam as informações e trazem autenticação multifator para protegê-las. No entanto, suas versões pagas dão segurança adicional, como monitoramento da dark web, para detectar se alguma informação pessoal ou senha vazou. Um plano sem custos que não oferece toda a gama de recursos de segurança ainda pode ser útil para armazenar senhas menos importantes, mas para empresas o ideal é investir em soluções pagas, cujos preços estão cada vez mais atrativos.
Os planos gratuitos também costumam restringir outros recursos. Por exemplo, podem funcionar apenas em um único dispositivo, oferecer suporte a um número muito pequeno de senhas ou fornecer suporte limitado ao cliente.
Usar ou não usar?
Os gerenciadores de senhas são ferramentas úteis. Especialistas em segurança cibernética geralmente consideram os gerenciadores de senhas como soluções confiáveis e funcionais. Ainda que a ideia de ter todas as senhas em um só lugar possa ser desconfortável para alguns, é extremamente improvável que uma senha mestra possa ser roubada. É mais provável que qualquer vazamento venha de uma fonte alternativa, como um provedor de e-mail ou um banco de dados de clientes de um serviço de compras online.
Mesmo que seja mais fácil usar as mesmas duas ou três senhas para tudo, deixando de lado os gerenciadores, trata-se de algo arriscado e que pode causar grandes problemas se uma das combinações usadas com frequência vazar. Essa é outra razão importante para usar esses programas. Afinal, qualquer gerenciador de senhas que se preze deve ser capaz de gerar passwords fortes e exclusivos, que protegerão melhor do que uma senha baseada no nome de um animal de estimação ou membro da família, por exemplo.
Outro benefício associado aos gerenciadores de senhas tem relação com o alvo de ataques. Devido ao seu alto nível de segurança, dificilmente os gerenciadores ficam na mira de cibercriminosos. A maioria dos ataques tende a ocorrer na empresa onde a conta é mantida, como um banco ou uma loja online, por exemplo.
Um relatório da IBM sobre violações de segurança cibernética em 2020 lista o setor financeiro e de seguros como os mais atacados, compreendendo 23% de todos os ataques – seguido por manufatura, energia e varejo. Mesmo que nem todos esses ataques tenham como objetivo roubar senhas de usuários ou dados semelhantes, está claro que os ataques cibernéticos perseguem as empresas que administram as contas, e não um repositório de passwords de usuários comuns. Para muitos golpistas virtuais, parece ser mais vantajoso conseguir milhares de logins de clientes de bancos do que invadir gerenciadores de senhas, que podem conter apenas acessos a serviços pouco rentáveis na visão dos cibercriminosos.
Ainda assim, é preciso cautela. Se as credenciais do gerenciador de senhas forem roubadas, o usuário precisará alterar todas as senhas – e pensar na possibilidade de mudar para outro gerenciador. Se a senha vazada for aquela que se usa em várias contas ou sites, o correto é alterar todas essas senhas – mesmo que a violação tenha afetado apenas uma conta diretamente, pois os crackers ainda podem tentar usar uma senha vazada para acessar outras contas.
Vale a pena lembrar mais uma vez: as novas combinações devem ser fortes, com uma mistura de letras maiúsculas e minúsculas, números e caracteres especiais, ou ainda frases, que facilitam o processo de memorização da senha. É importante evitar palavras comuns, que possam tornar a senha mais fácil de adivinhar. A maioria dos gerenciadores de senhas pode gerar passwords aleatórios fortes, sendo recomendável usar esse recurso para conseguir segurança extra.
Recursos de segurança comuns em gerenciadores de senhas
- Criptografia:
os dados são traduzidos em códigos para não ser decifrado. Os gerenciadores de senhas geralmente usam criptografia AES-256 de nível militar, considerada extremamente difícil e demorada para burlar, sendo que alguns gerenciadores usam várias camadas de criptografia semelhantes a esse método.
- Arquitetura de conhecimento zero:
Muitos gerenciadores de senhas são projetados para que o sistema nunca “saiba” sua senha mestra. Isso significa que sua senha mestra – que é a chave para todas as outras senhas – nunca pode ser vazada, pelo simples fato de que ele não registra tal informação.
- Login biométrico:
Assim como em um smartphone, muitos gerenciadores de senhas permitem que os usuários façam login com impressões digitais ou reconhecimento facial. Em alguns casos, ambos são utilizados, duplicando a segurança.
- Autenticação multifator:
Isso exige que os usuários tenham acesso a vários dispositivos para fazer login. Por exemplo, se você estiver fazendo login em um laptop, pode ser necessário confirmar o login no celular. Do contrário, o acesso não é concluído.
- Monitoramento da dark web:
alguns gerenciadores de senhas verificam continuamente a dark web (onde as informações roubadas às vezes são vendidas ou publicadas) em busca de violações de seus dados pessoais. São fóruns clandestinos que podem conter milhares de credenciais furtadas, ou seja, locais nos quais ninguém quer ver seus dados presentes.
Você já conhece o OSTEC Push?
O OSTEC Push é um canal de notícias e outras informações relevantes sobre o universo da segurança digital, para que você esteja sempre atualizado.
O conteúdo é enviado através do WhatsApp, e para ter acesso, basta que você faça duas coisas simples e rápidas.
1º Cadastre em seus contatos o número (48) 3052-8526 como “OSTEC Push”, para que você possa receber as mensagens;
2º Cadastre seu número de WhatsApp neste link.
Pronto, viu como é simples e rápido?
A partir desse momento você receberá os novos conteúdos diariamente direto no seu celular!
Compartilhe com seus contatos para que eles também possam se cadastrar e receber nossos conteúdos.
This post is also available in: Português
