Querido Lifehacker,

Estou atrás de um gerenciador de senhas depois que vocês me convenceram de que eu realmente preciso de senhas únicas e aleatórias para cada site. O meu navegador sempre me pergunta se quero salvar meus logins. Devo dizer sim? Ou eu preciso de um gerenciador de senhas dedicado? Se sim, qual deles é o mais seguro? Ajudem-me!

Assinado,
Muitos e Muitos Logins.

Querido MML,

Gerenciadores de senhas são todos feitos para tirar-lhe o fardo de lembrar de centenas de senhas únicas — uma necessidade se você quiser minimizar os riscos relacionados à segurança. Há muitas opções à sua escolha, incluindo o recurso nativo de salvar senhas dos navegadores. Vamos dar uma olhada nessas ferramentas e em como elas se saem umas contra as outras em termos de segurança.

Salvando logins no seu navegador

Internet Explorer, Chrome, Firefox e outros navegadores podem salvar seus logins e informações básicas de formulários para auto-preenchimento. Isso é bem conveniente, porque você não precisa baixar e configurar outro aplicativo, mas não é a solução mais segura, ou a mais robusta.

Como funcionam: os navegadores guardam suas senhas em bancos de dados criptografados ou entradas de registros armazenadas localmente em seu computador. Se o navegador tiver o recurso de sincronizar seus dados entre seus computadores ou outros dispositivos, a informação é salva em formato criptografado em uma conta online (por exemplo, Google se estiver usando o Chrome, ou sua conta Firefox Sync na Mozilla).

WebBrowserPassViewFraqueza na segurança: o maior problema em salvar as senhas no seu navegador é que não é muito difícil alguém ganhar acesso ao seu computador e, de quebra, a todas as suas senhas. No Chrome, por exemplo, você (ou quem quer que esteja usando o seu PC) por ir às configurações do navegador e clicar em um botão para exibir todas as senhas na aba de preferências para revelar todas elas. O Internet Explorer é mais seguro porque ele não deixa você ver as senhas salvas. Ambos, entretanto, usam a sua senha do computador como defesa para os dados criptografados. Devido a isso, é fácil ter as suas senhas reveladas com ferramentas como a WebBrowserPassView, da Nirsoft. Se utilitários de terceiros como esse podem recuperar os dados, um malware rodando na sua conta de usuário pode fazer o mesmo.

A opção mais segura: o WebBrowserPassView não consegue recuperar senhas que estejam criptografadas com uma senha-mestra, porém. Isso torna o Firefox a opção mais segura dentre esses três navegadores quando o assunto é gerenciamento de senhas, porque você consegue criptografar e proteger com senha seus logins no Firefox com uma única senha-mestra. Se você não configurá-la no Firefox (coisa que não é ativada por padrão), estará sujeito aos mesmos riscos dos outros navegadores.

Gerenciadores de senhas baseados na web

Gerenciadores de senhas baseados na web são um grande salto em relação a tê-las salvas em seu navegador. Esses webapps oferecerem recursos mais robustos como a geração de senhas aleatórias seguras, auditoria das suas senhas e o armazenamento de informações confidenciais adicionais (cartões de crédito, números de seguro, notas etc).

Como funcionam: gerenciadores de senhas online como o LastPass e o Roboform Everywhere criptografam o seu banco de dados de senhas e lhe dá uma única chave — na forma de uma senha-mestra que apenas você sabe. Toda a criptografia e descriptografia ocorre localmente, no seu computador. Como essas empresas não têm a a chave criptográfica, mesmo que seus servidores sejam invadidos, os caras maus não conseguirão ter acesso aos seus dados…

Fraqueza na segurança: …a menos que a sua senha-mestra não seja uma forte ou que você use a mesma senha em outros sites (mas, hey, não é exatamente isso que você está tentando evitar usando um gerenciador de senhas?). Ano passado o LastPass passou pela experiência de um possível problema de segurança que pode ter aberto uma brecha, mas disse aos usuários que eles estavam protegidos desde que estivessem usando senhas-mestras fortes e que não fossem palavras que constem no dicionário (outra recomendação básica, aliás). Além disso, embora o LastPass (e outras empresas que oferecem gerenciadores de senhas online) seja bastante franca acerca de problemas de segurança e o risco seja minimizado porque você detém a chave criptográfica, você ainda precisa precisa ter confiança quando seus dados (mesmo criptografados) estão armazenados nos servidores de alguém.

A opção mais segura: o LastPass é líder entre os gerenciadores de senhas online porque ele é fácil de usar e pode ser bloqueado facilmente. As opções de segurança do LastPass permitem que você adicione um forte esquema de autenticação em dois passos, restringir o acesso por país e habilitar outros recursos, como um email de segurança dedicado e acesso móvel restrito.

LastPass

O novato Dashlane é um possível concorrente, entretanto. Embora ele não tenha todos os truques de segurança e opções do LastPass, com o Dashlane você pode optar por manter as suas senhas guardadas apenas localmente ou fazer a sincronia seletiva de recursos individuais. Isso a torna uma solução híbrida — meio baseado na nuvem, meio local.

Gerenciadores de senhas locais (desktop)

Desconfortável com as suas senhas guardadas em ambiente online? Os gerenciadores de senhas mais seguros não guardam dados na web, mas rodam offline em seu computador. Mas isso tem alguns comprometimentos — usabilidade e conveniência.

Como funcionam: gerenciadores de senhas locais funcionam de forma similar aos online. Eles têm recursos similares de criação de senhas, preenchimento automático de formulários e notas seguras. Eles apenas salvam o banco de dados criptografado localmente, no seu computador, em vez de em algum servidor online. Os mais populares são o KeePass, 1Password, SplashID e a versão desktop do Roboform.

Fraqueza na segurança: a maior fraqueza para gerenciadores de senhas locais é a falta de acessibilidade. Sem algumas gambiarras, você não consegue a conveniente sincronia e o acesso instantâneo aos seus logins a partir de qualquer dispositivo, o que pode ser um obstáculo para pessoas que usam esses gerenciadores o tempo todo, em vários locais. Isso também significa que você não conseguirá se logar em outros dispositivos (já que a senha mais segura é aquela da qual você não se lembra).

Para muitos desses casos, você pode sincronizar o banco de dados através de vários computadores usando o Dropbox, mas isso traz de volta o risco do armazenamento na nuvem. Por outro lado, você ainda tem várias camadas de segurança: um hacker precisaria primeiro ter acesso à sua conta no Dropbox (difícil se você configurou a autenticação em dois passos) e, então, hackear o seu banco de dados de senhas criptografado. As chances de isso acontecer são menos prováveis do que a de perde um notebook, por exemplo.

A opção mais segura: o KeePass ganha não apenas por ser o único open source, mas também por ter a maior gama de recursos de segurança e as informações mais profundas sobre a sua segurança. O programa protege contra ataques de dicionário à sua senha-mestra, mantém as suas senhas criptografadas enquanto está rodando e tem controles de edição de senhas com segurança reforçada. Você pode usar um arquivo-chave em vez de uma senha-mestra para aumentar a segurança ou combiná-la com o método tradicional, de senha, para proteger mesmo os seus dados. O KeePass também é portátil e suporta uma tonelada de plugins.

KeePass

Os outros programas também estão entre os melhores gerenciadores de senhas e também trazem segurança bastante forte. Você talvez acabe preferindo um deles por um ou outro recurso. O SplashID é a opção mais barata e pode sincronizar as versões desktop e móveis via Wi-Fi. (O SplashID diz estar trabalhando em uma versão com sincronia via nuvem que não dependa de serviços de terceiros, como Dropbox e iCloud.) O 1Password é um pouco caro, mas tem uma bela interface e uma excelente integração com navegadores. Ele é bem menos complicado e mais fácil de sair usando do que o KeePass. O app desktop do Roboform só funciona no Windows, mas tem todos os recursos de um sólido gerenciador de senhas, incluindo preenchimento automático em navegadores, integração com eles e a criação de senhas aleatórias.

Qual eu deveria usar?

Resumindo, um gerenciador de senhas local como o KeePass é a opção mais segura, mas menos conveniente. As baseadas na nuvem, como o LastPass, são definitivamente mais amigáveis e seguras no quesito furto local do que as embutidas em navegadores, mas você não tem controle sobre onde os dados ficam guardados.

Aqui tem uma comparação entre preços e recursos para ajudá-lo na escolha (clique para ampliar a tabela):

Tabela comparativa.

Independentemente da sua decisão, o mais importante é ter uma senha-mestra realmente segura e outra senha, também forte, protegendo a conta de usuário no seu computador.

Atenciosamente,
Lifehacker.