Hackers invadiram o popular gerenciador de senhas LastPass, e disso surgiram algumas questões óbvias: se o serviço que você usa para guardar suas senhas de invasões é invadido, você ainda deveria usá-lo? Como proteger o acesso às suas senhas?

>>> Qual é o gerenciador de senhas mais seguro?
>>> Os erros comuns que enfraquecem a sua senha “forte”

As vantagens

Há bons motivos para se usar um gerenciador de senhas. Isso é mil vezes melhor que usar uma mesma senha para tudo. Você provavelmente entende a necessidade de usar senhas complicadas, longas e únicas, e vê o gerenciador de senhas como uma solução razoável para acompanhar todas as suas senhas (considerando que a senha mais popular ainda é 123456, relativamente falando, você é um DEUS da segurança de dados pessoais).

Os gerenciadores de senhas como LastPass, 1Password e KeePass têm a mesma premissa: eles armazenam em um local “seguro” todas as suas senhas – exceto, é claro, a senha mestra para o serviço, que é necessária para utilizá-lo. O LastPass e outras opções web armazenam as suas senhas em bases de dados criptografadas na nuvem, que é inerentemente vulnerável.

Enquanto isso, o KeePass e o 1Password armazenam tudo localmente, o que significa que eles criptografam e guardam as suas senhas em um dispositivo da sua escolha, como um celular ou um computador. Isso é muito mais seguro, uma vez que elas não estarão na internet, mas é uma forma menos conveniente de guardá-las. Para saber mais, confira o nosso comparativo detalhado aqui.

Os gerenciadores de senhas são interessantes pois facilitam o trabalho de ter uma senha complexa e única para cada serviço que você usa, tornando necessário memorizar apenas uma dela. Muitos vão gerar longas senhas para você, e uma auditoria virtual julga se elas são fracas ou fortes.

Mas a ideia básica — memorizar apenas uma senha para acessar todas as outras — tem suas desvantagens: caso alguém invada o aplicativo, essa pessoa terá acesso a todas as suas senhas.

Mas, mas, mas…

Na maioria dos gerenciadores, você pode criar uma série de senhas longas e difíceis, mas você fica à mercê da segurança de um único serviço. E aí entra a questão: qual é o nível de segurança destes serviços?

Existe sempre um risco ao usar gerenciadores de senhas, mas eles também atenuam o perigo de usar senhas mais fracas. Além disso, nenhum dos principais gerenciadores, como o LastPass ou o 1Password, sofreram uma invasão grave o suficiente que vazou informações dos usuários, então eles ainda são serviços intactos.

Vamos avaliar a invasão do LastPass: ele é um dos gerenciadores de senhas mais populares e respeitados do mercado, então essa não foi uma invasão qualquer.

Mesmo após ser invadido, e mesmo que certas informações tenham sido acessadas, e mesmo pedindo que os usuários troquem a senha mestra, o LastPass acredita que os hackers não tiveram acesso às senhas dos usuários graças ao rigoroso sistema de criptografia deles.

Essa é a segunda invasão (informada ao público) que o LastPass sofre em quatro anos. Isso mostra que existem brechas na segurança, mas nenhuma das vezes os invasores conseguiram driblar a proteção criptográfica.

Pesquisadores encontraram inúmeras falhas de segurança no LastPass ano passado, as quais foram encontradas também em gerenciadores web, como PasswordBox, RoboForm, My1Login e NeedMyPassword. O LastPass, no entanto, era dono da falha mais séria: um bug na função “bookmarklets” permitia que hackers implantassem códigos maliciosos que poderiam ser usados para roubar informações de login de outros sites. A empresa corrigiu a falha prontamente, após um aviso dos pesquisadores, então ela nunca chegou a ser usada.

As senhas são o problema

Senhas são um pesadelo. Você precisa de uma para cada serviço digital que usa, mas nossos cérebros não são bons o suficiente para memorizar sequências longas e complicadas, e uma senha simples é descoberta com extrema facilidade. Você corre um risco toda vez que usa alguma senha.

Este é um clássico caso de o menor de dois males. A não ser que você escreva a sua senha em uma folha e a guarde fisicamente, você terá que lidar com a vulnerabilidade digital.

Por enquanto, a esperança para nos livrar das senhas é a biometria, algo que gigantes da tecnologia estão adotando cada vez mais: isso inclui a impressão digital (em smartphones da Apple, Samsung e HTC); o reconhecimento facial (no Android e Windows 10); e de íris. Também é possível usar pendrives como uma medida adicional de segurança (no caso do Google, por exemplo). No entanto, isso ainda não é tão difundido.

Dois fatores

É uma realidade imperfeita, mas para estar seguro nela, é crucial que você ative a autenticação por dois fatores sempre que puder — incluindo gerenciadores de senhas — além de escolher uma senha mestra bem complexa. Você pode até melhorar a sua proteção usando o LastPass em um pendrive como autenticação.

Normalmente, você faz login usando apenas seu nome de usuário e senha, então qualquer pessoa que saiba suas credenciais consegue entrar como se fosse você. Adicionar um segundo fator – neste caso, o celular – significa que mesmo que a sua senha seja comprometida, sua conta está segura.

A autenticação por dois fatores significa, em geral, que você usa uma senha e um código numérico para fazer login nos serviços. Este código é recebido por SMS ou gerado automaticamente por um app no seu smartphone. Dessa forma, você estará seguro mesmo que alguém roube a sua senha. Veja aqui como ativar isso nos serviços que você usa.

Pode ser um pouco mais inconveniente usar a autenticação por dois fatores, mas é o custo de manter suas informações privadas mais seguras. É uma relação custo-benefício que você precisará fazer. De um jeito ou de outro, proteja-se.

Foto por Jacqui Brown/Flickr