Arrombar e entrar

Não entendo como uma empresa de gerenciamento de senhas pode gerenciar uma lista de senhas com garantia de que não será invadida como qualquer outro serviço. Por favor, explique-me como isso é seguro.

Enviado por Tom, via comentários do blog

Os gerenciadores de senhas são serviços que permitem armazenar todas as suas senhas em um só lugar, e a única coisa que você precisa para acessá-los é uma senha principal (ou mestra). Então, o que impede alguém de invadir os servidores da empresa de gerenciamento de senhas para roubar seu conjunto completo de senhas salvas ou, igualmente útil, sua senha principal?

Vamos voltar por um momento para discutir os benefícios de usar um gerenciador de senhas em primeiro lugar.

Você provavelmente tem dezenas de contas online e, portanto, dezenas de senhas para fazer login nessas contas. Com muitos sites sugerindo a inclusão de letras, números, símbolos, uma contagem mínima de caracteres etc., as senhas podem ficar complicadas. Você pode recorrer ao uso da mesma senha em várias contas ou uma fórmula que permite ajustar ligeiramente suas várias senhas. 

Existem várias questões aqui. Senhas repetidas ou semelhantes tornam você especialmente vulnerável porque, no caso de violação de dados muito comum, um hacker pode usar uma senha revelada para tentar adivinhar suas senhas para várias outras contas. 

O outro problema é que é quase impossível para o ser humano médio lembrar de várias senhas fortes diferentes - e por forte queremos dizer longas e aleatórias. Uma senha curta é muito mais vulnerável contra ataques de força bruta, em que um bot é configurado para tentar várias combinações de senha. Um não aleatório - um que tenha frases comuns, por exemplo - também pode ser mais fácil de decifrar do que um que não tenha significado. (Uma exceção são as frases secretas geradas aleatoriamente , em que palavras reais aleatórias compõem a senha.)

Para ter inúmeras senhas fortes, você precisa de um sistema que permita que você não precise se lembrar delas. É para isso que servem os gerenciadores de senhas.

Veja como funciona. Você insere todos os seus detalhes de login no aplicativo gerenciador de senhas. Funciona como um cofre e, como tal, você precisa de uma chave para acessá-lo, que seria sua senha principal. É a única coisa que você precisa lembrar ao usar um gerenciador de senhas. Você também pode configurá-lo para usar sua biometria (impressão digital ou FaceID) para acessar seu cofre. 

Alguns gerenciadores de senhas também permitem que você guarde detalhes como informações de contato, detalhes do cartão de crédito e até informações médicas. Faz sentido que você se preocupe em colocar todas as suas informações em um só lugar. Afinal, se um gerenciador de senhas for invadido, muitas informações sobre você cairão nas mãos de terceiros.

Infelizmente, a segurança não é absoluta – você só pode mitigar o risco, não eliminá-lo – e, como mostrou a recente violação de dados no Lastpass , os gerenciadores de senhas podem ser invadidos. Então, por que os especialistas em segurança cibernética continuam defendendo o uso de gerenciadores de senhas? A resposta curta: suas senhas permanecem indecifráveis.

Tudo se resume à criptografia. Quando você armazena senhas (ou quaisquer dados) em um gerenciador de senhas, essas informações devem ser criptografadas. Gerenciadores de senhas confiáveis ​​usam criptografia AES de 256 bits para proteger suas senhas - o mesmo padrão de criptografia usado por militares, bancos e Strong The One e Avance Network. 

Se um terceiro conseguir invadir os servidores de um gerenciador de senhas e roubar os dados do usuário, eles ainda não seriam capazes de decifrá-los graças à criptografia. Para que conste, o Lastpass criptografou as senhas dos usuários, mas deixou algumas informações – como URLs – não criptografadas, o que aumentou o risco à privacidade dos usuários. Idealmente, todos os dados seriam criptografados.

Além disso, a maioria dos gerenciadores de senhas emprega criptografia de conhecimento zero. Seus dados são criptografados em seu dispositivo antes de serem enviados ao servidor. Quando você o descriptografa digitando sua senha principal ou usando sua biometria, tudo acontece novamente no seu dispositivo.

Isso significa que a empresa não tem acesso à sua senha principal ou a nenhuma das senhas de sua conta — portanto, elas não podem ser roubadas. Ninguém além de você pode desbloquear seu cofre de senhas. 

Um aspecto desse design é que, se você perder sua senha principal (e o código de recuperação, oferecido pela maioria dos gerenciadores de senhas), perderá tudo o que salvou no gerenciador de senhas. Mas isso é um recurso, não um bug.

Os gerenciadores de senhas podem empregar medidas de segurança adicionais para proteger seus dados, como fortalecimento de chave PBKDF2 e criptografia de ponta a ponta. Isso varia de acordo com os provedores, por isso é sempre melhor fazer sua pesquisa antes de escolher um gerenciador de senhas.

Em termos de funcionalidade, a maioria dos gerenciadores de senhas também pode ajudá-lo a gerar uma senha longa e aleatória para qualquer conta, e você pode configurar o serviço para preencher automaticamente seus detalhes de login ao tentar acessar um site.

Se houver algum ponto fraco em potencial no uso de um gerenciador de senhas, é sua senha principal. Os gerenciadores de senhas podem fazer tudo o que podem para manter seus dados fora do alcance de terceiros, mas definir uma senha primária forte - e mantê-la para você mesmo - ainda depende de você. Se você definir uma senha fácil de adivinhar ou comum , seu gerenciador de senhas não será seguro. Você deve definir uma senha principal forte e habilitar a autenticação de dois fatores para seu gerenciador de senhas, se estiver disponível.