Atualmente, não existe uma resposta simples para a pergunta no título deste artigo. Recentemente, tem havido várias notícias relacionadas com os diferentes gestores de palavras-passe que detalharemos a seguir. Mas, antes de mais, é necessário contextualizar e explicar o que é um gestor de palavras-passe.
Segundo a Wikipedia, os gestores de palavras-passe são:
“Um gestor ou administrador de palavras-passe é um programa de computador que é utilizado para armazenar muitos pares de utilizadores/palavras-passe. A base de dados onde esta informação é armazenada é encriptada utilizando uma única chave (palavra-chave principal), de modo que o utilizador só tem de memorizar uma palavra-passe para aceder a todas as outras. Isto facilita a gestão de palavras-passe e incentiva os utilizadores a escolherem palavras-passe complexas sem receio de não as poderem lembrar mais tarde.”[1]
Com esta explicação podemos compreender como gestor de palavras-passe um programa ou software onde armazenamos as palavras-passe e só temos de nos lembrar de uma palavra-passe que nos permita ter acesso às demais; esta palavra-passe que temos de nos lembrar é a principal, conforme indicado e sem a qual não teremos acesso à nossa base de dados de palavras-passe.
Mas há já algum tempo que alguns gestores de palavras-passe não requerem a principal, estes gestores são os já incorporados nos navegadores web dos nossos dispositivos. Recentemente, apareceu nas notícias um malware chamado “Redline Stealer”, que explora a base de dados utilizada por alguns navegadores para armazenar palavras-passe. Nesta base de dados podem-se localizar o utilizador e a palavra-passe, o URL do website, bem como quando o utilizador fez o último login ou mesmo quantas vezes se acedeu a um website.
Este malware está a ser utilizado por cibercriminosos em algumas das campanhas que estamos a ver neste momento, onde as notícias sobre a última variante da Covid-19 chamada Ómicron são usadas como isco; FortiGuard Labs[2] detectou estas campanhas e indica que mesmo que o efeito causado por este malware não seja catastrófico para os computadores infectados, a informação obtida pode ser muito perigosa uma vez que pode ser utilizada para ações maliciosas ou vendida a terceiros.
Com tudo isto, acreditamos que devemos ter muito cuidado com os gestores de palavras-passe inseridos nos navegadores, uma vez que o acesso às mesmas é muito fácil, como já foi demonstrado.
Como alternativa aos gestores incorporados, temos gestores baseados em software, mas devemos salientar que alguns dos mais populares gestores de palavras-passe não estão isentos de notícias onde a sua segurança é posta em causa. Desde o final de 2021, suspeita-se que a LastPass sofreu uma quebra de segurança na qual as palavras-passe principais dos utilizadores que utilizam este software foram expostas.
A empresa afirma que não houve qualquer incidente de segurança e assegura que nenhuma informação foi comprometida, no The Verge[3] indicam o seguinte: “A nossa investigação descobriu, entretanto, que alguns destes alertas de segurança, que foram enviados para um subconjunto limitado de utilizadores LastPass, foram provavelmente acionados por engano. Como resultado, ajustámos os nossos sistemas de alerta de segurança e esta questão foi resolvida”.
Mas isto não convence os utilizadores da LastPass, uma vez que a suspeita de fuga de dados ainda existe.
Como recomendação, a ativação da autenticação de dois fatores é enfatizada para aceder às credenciais armazenadas e, assim, adicionar sempre outro fator à autenticação com este serviço, não só algo que eu conheço como palavra-passe principal, mas também algo que eu tenho como um código gerado numa aplicação móvel.
Depois de todos os “incidentes” indicados anteriormente, gostaria de comentar a minha experiência com um destes gestores de palavras-passe. Há quase um ano que utilizo um gestor para todas as minhas palavras-passe, no início é um pouco frustrante porque, como recomendação, somos instruídos a não as reutilizar e, gradualmente, tenho vindo a redefinir todas as palavras-passe dos diferentes serviços web que utilizo no meu dia a dia ou que já utilizei.
Todas são geradas aleatoriamente pelo gestor e durante quase 6 meses posso dizer que só memorizei 3 palavras-passe, a palavra-passe principal, a do banco e a do computador. O resto das palavras-passe deleguei ao gestor, o que tem sido a minha surpresa, quando se trata de ver quantas guardei hoje, pois tenho 123 palavras-passe armazenadas que penso que seria impossível para mim aprender de cor.
Uma das vantagens dos gestores de palavras-passe, especialmente se forem baseados em assinaturas, são os serviços de segurança que acrescentam. No meu caso, o software diz-me se estou a reutilizar palavras-passe, se são fracas, ou se a minha palavra-passe ou conta esteve envolvida num incidente de segurança, caso em que somos aconselhados a alterá-la o mais rapidamente possível. Este serviço utiliza pesquisas na teia escura para ver se as nossas contas foram comprometidas.
Em conclusão, gostaríamos de salientar que os gestores de palavras-passe são um instrumento essencial hoje em dia, dado o número de contas que temos para o trabalho, compras, etc. Mas, mesmo sendo uma ferramenta essencial, não significa que não exija manutenção e cuidados, porque, como já explicámos, não existe 100% de segurança e devemos estar sempre alerta para ver se houve uma fuga de informação.
Referências:
[1] https://es.wikipedia.org/wiki/Gestor_de_contrase%C3%B1as
[2] https://www.fortinet.com/blog/threat-research/omicron-variant-lure-used-to-distribute-redline-stealer
[3] https://www.theverge.com/2021/12/28/22857485/lastpass-compromised-breach-scare
Se você quiser mais informações sobre a Satec, entre em contato conosco aquí 👈