Escolher o gerenciador de senhas mais adequado para ti
Última revisão: August 18, 2023
As violações de senhas são comuns e, se utilizar a mesma senha em todos os sítios, isso pode ceder acesso a pessoas mal-intencionadas que tentam usar essa senha noutros sítios para entrar nas suas contas. A melhor forma de se proteger é utilizar uma senha única para cada sítio (e autenticação de dois fatores , quando possível). Um gerenciador de senhas é um programa que facilita este processo, criando e armazenando senhas únicas e fortes para ti.
Um gerenciador de senhas gera senhas longas e únicas, armazena essas senhas naquilo a que normalmente se chama seu "cofre de senhas" e, em seguida, pode preencher o nome de utilizador e a senha por ti quando fazer login num site. Protege todas as senhas atrás de uma única "senha mestra", o que significa que só tem de se lembrar de uma senha em vez de dezenas. Dependendo da implementação do gerenciador de senhas, pode significar que é importante tornar essa senha mestra tão forte quanto possível e configurar a autenticação de dois fatores na sua conta de gerenciador de senhas. Na maioria dos casos, o gerenciador de senhas também sincroniza suas senhas entre diferentes dispositivos - como o telemóvel e o computador - para que possa iniciar sessão a partir de qualquer dispositivo.
Quando pode querer evitar um gerenciador de senhas anchor link
Um bom gerenciador de senhas faz tudo que pode para mitigar potenciais problemas de segurança, mas é importante não esquecer:
- A utilização de um gerenciador de senhas cria um único ponto de falha.
- Os gerenciadores de senhas são um alvo óbvio para adversários.
É por isso que deve ter uma senha mestra forte e ativar a autenticação de dois fatores sempre que possível. Mas se for alvo de um adversário poderoso, como um governo, é importante escolher cuidadosamente o gerenciador de senhas certo e configurá-lo para segurança máxima.
Se, por qualquer motivo, não quiser utilizar gerenciador de senhas, deve continuar a usar uma senha única para cada início de sessão. Acreditamos que escrevê-las e guardá-las num local seguro, como a carteira, é melhor do que tentar memorizá-las.
Como escolher um gerenciador de senhas adequado para mim? anchor link
Cada pessoa tem necessidades diferentes para um gerenciador de senhas e o que funciona para uma pessoa pode não funcionar para outra. A maioria dos gerenciadores de senhas de qualidade, mesmo as opções pagas, oferecem algum tipo de período experimental para testa-los, e sugerimos que utilize esse tempo de experiencia quando tiver tempo para fazer.
Modelo de negócio
A empresa por detrás de um gerenciador de senhas tem que ganhar dinheiro de alguma forma. Pode ser através de uma taxa de assinatura, ou pode ter como alvo os utilizadores empresariais e oferecer software gratuito ou barato a todos os demais. Pesquise os planos de assinatura que a empresa oferece, quais funcionalidades podem estar bloqueadas se não for pago e quais são as ferramentas gratuitas, se existirem. Com taxas de assinatura pagas, tenha cuidado especial com planos que aumentam de preço após do primeiro ano. Alguns gerenciadores de senhas pagos podem oferecer planos familiares, em que o utilizador e a sua família têm acesso ao serviço a um preço reduzido. Normalmente, estes planos dão a cada família o seu próprio cofre privado, mas também é possível compartilhar facilmente as senhas quando necessário. Isto pode ser útil para contas compartilhadas, como serviços públicos ou serviços de fluxo de dados (streaming). Não esqueça que o gerenciador da conta pode ser capaz de recuperar (e, por conseguinte, revelar) as senhas de um membro da família, pelo que só deve confiar no gerenciador da conta até certo ponto.
Suporte para autenticação de dois fatores
Uma vez que o gerenciador de senhas bloqueia todas as senhas importantes atrás de uma única senha, é melhor procurar um gerenciador de senhas que suporte a autenticação de dois fatores. Com a autenticação de dois fatores, se alguém tiver acesso à sua senha mestra, continuará a precisar desse segundo fator para acessar a sua conta. Alguns gerenciadores de senhas também podem ter outras formas inovadoras de segurança, como a "Chave Secreta" do 1Password, que vale a pena investigar.
Extensões do navegador e suporte para várias plataformas
A maioria dos gerenciadores de senhas funciona em todos os locais onde é necessário acessar a senhas, incluindo aplicações de ambiente de trabalho para Windows, Mac ou Linux e aplicações móveis para Android ou iPhone. Quando cria uma senha num dispositivo, esta fica disponível em todos os demais. A maioria dos gerenciadores de senhas também suporta extensões de navegador no ambiente de trabalho, o que permite o gerenciador de senhas preencher automaticamente as senhas quando chega a uma página de início de sessão (login), sem necessidade de copiar e colar. Se for alvo de adversário poderoso, pode optar por não ativar o preenchimento automático do navegador, uma vez que as extensões do navegador são o local mais comum para as vulnerabilidades do gerenciador de senhas. Mas para a maioria das pessoas, a funcionalidade de preenchimento automático de uma senha não é apenas uma conveniência, mas uma proteção importante contra o golpe de phishing.
Cópias de segurança encriptadas de ponta a ponta
Como a maioria dos gerenciadores de senhas sincroniza senhas entre dispositivos, armazenando o seu cofre de senhas online, é importante que a empresa utilize encriptação de ponta-a-ponta nesses cofres. Ninguém, nem mesmo a empresa que cria o gerenciador de senhas, deve poder acessar as suas senhas. Antes de escolher o gerenciador de senhas, consulte as funcionalidades e a documentação do mesmo para certificar de que contém detalhes sobre seus métodos de encriptação.
Os gerenciadores de senhas mais populares não incluem forma de desativar a sincronização com a nuvem. Existem, contudo, alguns gerenciadores de senhas mais especializados, nomeadamente o KeePassXC, que dão mais controle sobre onde (e se) o seu cofre de senhas é armazenado online. Tenha em atenção que, embora seja de código aberto, o KeePassXC não foi submetido a auditorias de segurança e existem muitos projetos com nomes semelhantes (incluindo KeePass, KeePassX e KeeWeb), por isso certifique-se de que utiliza o correto. Sem a sincronização de senhas ou as cópias de segurança online fornecidas pelo gerenciador de senhas, pode ser difícil utilizar este tipo de gerenciador de senhas no dia a dia.
Auditorias de segurança independentes e programas de recompensa por erros
Alguns gerenciadores de senhas populares submetem seu software a auditorias de segurança independentes. Embora não sejam perfeitas, oferecendo apenas um relatório num determinado momento de tempo do software, estas auditorias indicam que o programador está trabalhando ativamente para proteger seu software. Às vezes, estes relatórios são tornados públicos, mas nem sempre. Também pode ser uma vantagem quando o programador oferece um programa de recompensa por falhas, que fornece uma forma para investigadores de segurança independentes apresentarem quaisquer problemas que possam encontrar. Alguns exemplos de gerenciadores de senhas que participam em auditorias de segurança incluem:
Esta lista não é exaustiva, nem deve ser considerada uma recomendação, mas dá-lhe uma ideia do que tendem a ser estas auditorias.
É uma boa ideia procurar quaisquer notícias sobre um gerenciador de senhas para garantir que não é regularmente alvo de notícias sobre falhas de segurança, brechas, violações de privacidade ou qualquer outra coisa que o possa fazer duvidar da sua confiabilidade.
Atualizações ativas de software
Dedique alguns minutos a consultar o histórico de atualizações de uma aplicação móvel para garantir que a aplicação é atualizada frequentemente com suporte para os sistemas operacionais mais recentes. O desenvolvimento ativo nem sempre tem a ver apenas com funcionalidades, tem também com a garantia que o software funciona de forma consistente com cada atualização - tanto as principais como as secundárias - com os sistemas operacionais que utiliza e mostra que os programadores estão a par das actualizações de segurança.
Portabilidade
Qualquer bom gerenciador de senhas permite-lhe levar consigo as suas informações de login e senha se decidir trocar de software. Embora isto possa parecer complicado, a transferência de senhas entre gerenciadores de senhas é normalmente um processo simples em que exporta um arquivo CSV com todas as senhas e, em seguida, importa esse mesmo arquivo para um novo gerenciador de senhas. Consulte a documentação do gerenciador de senhas para ter instruções mais específicas sobre como fazer isso.
E o gerenciador de senhas incorporado no meu navegador? anchor link
A Google, Apple e Mozilla oferecem as suas próprias versões de gerenciadores de senhas. Embora, tecnicamente, seja possível acessar as senhas armazenadas nestes gerenciadores de senhas em todos os sistemas operacionais, aplicações e dispositivos, as soluções da Google e da Apple tendem a funcionar melhor quando se utilizam os seus navegadores (Chrome da Google ou Safari da Apple) ou sistemas operacionais (Android, ChromeOS, iOS ou macOS). O gerenciador de senhas da Mozilla só funciona no Firefox e não pode ser facilmente integrado noutro local. Outros navegadores da Web podem oferecer tipo semelhante de gerenciador de senhas, mas não esqueça de pesquisar como criptografa os dados antes de usá-lo.
Às vezes, opções baseadas no navegador também não dispõem de funcionalidades adicionais oferecidas por software autónomo que pode ou não querer utilizar, como notas encriptadas, armazenamento de respostas a perguntas de segurança (para as quais deve considerar a uso de respostas aleatórias), memorização de contas em que utilizou o login único (como fazer login num serviço com sua conta Google) e opções robustas de compartilha de senhas familiares.
O melhor gerenciador de senhas é aquele que vai utilizar e, uma vez que estão bem integrados no sistema operacional , as opções baseadas no navegador podem ser mais fáceis de utilizar se nunca uso antes um gerenciador de senhas. Uma vez que estejam integrados nos navegadores, oferecem proteção contra o golpe de phishing sem a potencial insegurança das extensões do navegador. No entanto, a segurança predefinida de cada um é diferente: O iCloud Keychain da Apple é encriptado de ponta-a-ponta por predefinição, mas o gerenciador de senhas da Google não é. Em vez disso, o Google oferece uma forma de ativar uma frase-passe que inicia a "encriptação no dispositivo", mas é necessário acessar manualmente às definições para ativar essa funcionalidade, algo que deve ser feito. A Mozilla fornece detalhes sobre como o Firefox lida com encriptação.