Pode começar sem arriscar senhas de alto valor
Se os riscos acima o fazem relutar em usar um Password Manager para todas as suas contas, considere começar com aquelas senhas que você menos se preocuparia em perder ou ser comprometido.
Por exemplo, você provavelmente não se importa com uma senha usada para criar uma assinatura de teste de sete dias para um programa de software, artigos de notícias, ou pesquisa. Se você fizer compras em muitos sites diferentes, você pode ter dezenas de contas que protegem cópias da mesma informação: número do seu cartão de crédito, número de telefone, e endereço. Nenhuma dessas informações é muito secreta, sua responsabilidade é limitada se o número do seu cartão de crédito for roubado, e é fácil redefinir a senha para a maioria dos sites de compras, recebendo um e-mail com senhas de reset.
Ao começar com suas senhas de valor mais baixo, você pode se familiarizar com a forma como os gerentes de senhas funcionam enquanto as conseqüências dos erros são baixas. À medida que você ganha experiência, você também entenderá melhor os riscos e benefícios. Você pode descobrir que quando você não tiver mais que criar, lembrar e digitar aquelas senhas de valor mais baixo, você pode colocar um pouco do esforço economizado na proteção de senhas para contas de valor mais alto.
Você também pode usar seu gerenciador de senhas para gerar senhas aleatórias que você não deve salvar. Você provavelmente vai querer escrevê-las. Você deve ser capaz de aprender senhas aleatórias para algumas contas ao longo do tempo apenas usando-as.
A maioria dos usuários pode começar sem comprar ou baixar novo software. Se você usa principalmente o Safari ou o Chrome, ambos os navegadores têm gerenciadores de senhas que irão gerar senhas aleatórias para você. Eu não vou cobrir o Brave, Edge ou Firefox porque, no momento em que escrevo isto, eles não geram senhas.
Embora você deva considerar gerentes de senhas autônomos, especialmente se estiver armazenando senhas para suas contas mais valiosas, você pode facilmente importar para eles as senhas que você salvou enquanto tentava os gerentes de senhas embutidos no Chrome ou Safari.
Uma razão para ir além do Chrome é que ele não identificará quais senhas você reutilizou entre sites . A auditoria das palavras-passe reutilizadas é essencial para obter os benefícios de segurança que um gestor de palavras-passe pode oferecer. A maioria dos gerenciadores de senhas independentes oferecem um recurso de auditoria e o gerenciador de senhas incorporado ao Safari (Apple’s Keychain) recentemente adicionou também um.
Even se você tentar não armazenar senhas importantes no seu gerenciador de senhas, ainda vale a pena revisar periodicamente quais senhas você salvou e quais são reutilizadas – algumas contas que pareciam sem valor quando você as criou podem se tornar mais valiosas com o tempo. Alguns gerentes de senhas também indicarão se algumas de suas senhas são obviamente fracas (por exemplo, se elas aparecem em listas de senhas comuns). Se você quiser substituir suas senhas antigas, a quantidade de trabalho pode ser assustadora. Você não precisa esperar até ter tempo suficiente para mudá-las todas de uma vez; priorize e comece.
Alas, gerentes de senhas que testam se você reutilizou uma senha só o farão se você permitir que eles armazenem essa senha. Se você só armazena senhas para contas de baixo valor, o gerenciador de senhas só poderá dizer quais de suas senhas de baixo valor foram reutilizadas. Não conheço nenhum gerenciador de senhas que irá alertá-lo se você digitar uma senha que você salvou para outro site na página atual. Não há nenhuma razão técnica para a maioria dos gestores de senhas não poderem alertá-lo sobre tal reutilização, então espero que alguns o façam em breve.
Aprenda uma senha mestra forte
A maioria dos gestores de senhas protege suas senhas com mais uma senha -comumente chamada de senha mestra. Os gestores autónomos de palavras-passe pedir-lhe-ão para criar uma palavra-passe principal quando as começar a utilizar. Se você usar o navegador Chrome do Google para armazenar suas senhas e compartilhá-las entre dispositivos, suas senhas serão armazenadas pelo Google e protegidas pela senha da sua Conta do Google (juntamente com quaisquer segundos fatores que você possa estar usando). O chaveiro iCloud da Apple depende principalmente das senhas e funcionalidades de desbloqueio do seu dispositivo para proteger os seus dados regularmente, mas tem uma senha mestra fallback chamada código de segurança iCloud .
Não utilize uma senha mestra que tenha utilizado para mais nada. Isto deve ser repetido porque você provavelmente aprendeu a advertir contra a reutilização da senha tendo recebido tais conselhos para contas com as quais você não se importa. Ao contrário dessas senhas sem valor, a senha mestra que protege todas as suas outras senhas realmente deve ser única.
Se estiver usando o gerenciador de senhas do Chrome sincronizado através da sua Conta do Google e não estiver 100% certo de que sua Conta do Google tem uma senha forte e única, crie uma nova (depois de se certificar de ter um plano de recuperação para se esquecer dessas novas senhas, conforme discutido abaixo). Este também é um bom momento para reavaliar se você deve ter uma autenticação de dois fatores para essa conta. Da mesma forma, se você estiver usando o iCloud Keychain da Apple, não reutilize uma senha como seu Código de Segurança iCloud.
Sua senha mestra deve ser gerada aleatoriamente e longa o suficiente para proteger sua senha, mesmo que os atacantes consigam obter a lista de senhas criptografadas de um site e tentem quebrar essa criptografia. Para garantir que sua senha seja realmente aleatória, deixe seu gerenciador de senhas gerá-la (ou use dados e uma lista de palavras). Muitas pessoas acreditam falsamente que podem gerar aleatoriedade ao invocar letras na sua mente ou bater no teclado, mas muitos dos processos mentais que pensamos como aleatórios não são realmente aleatórios. Um bom gerenciador de senhas usará um gerador de números criptográficos aleatórios para garantir que sua senha seja suficientemente aleatória (e os dados são uma fonte de aleatoriedade física testada ao longo do tempo que você pode verificar a justiça simplesmente rolando-os).
Sua senha mestra deve ter pelo menos 12 caracteres minúsculos ou cinco palavras. Por que usar caracteres minúsculos ou palavras quando você provavelmente foi instruído (e coagido) a usar caracteres e símbolos em maiúsculas no passado? Se você tiver que digitar a senha em um dispositivo com teclado na tela (como o do seu telefone), cada letra ou símbolo em letras maiúsculas pode exigir pressionamentos extras de teclas. Você pode obter a mesma segurança, e economizar muita frustração, tornando sua senha em letras minúsculas apenas 30% mais longa do que se fosse uma caixa mista . Em outras palavras, uma senha gerada aleatoriamente com 13 caracteres minúsculos, que pode ser digitada com 13 toques de tecla, é tão segura quanto uma senha mista com 10 caracteres, que pode exigir muito mais.
Não espere aprender sua nova senha mestra imediatamente – muito poucas pessoas podem aprender uma seqüência longa gerada aleatoriamente em uma sessão. Ao invés disso, a melhor maneira de aprender sua senha mestra é anotá-la e usá-la com freqüência. Configure o seu gerenciador de senhas para exigir que você a insira novamente pelo menos uma vez por dia até que você a saiba, e só descarte sua cópia impressa depois de tê-la inserido com segurança da memória por muitos dias. Embora a capacidade das pessoas de aprender senhas aleatórias não seja bem estudada, pesquisas que eu e meus colaboradores realizamos sugerem que serão necessários entre 10 e 30 usos para lembrá-la. (Essa pesquisa investiga técnicas que os gerentes de senhas poderiam usar para ajudá-lo a aprender senhas mestras fortes, mas nenhuma oferece atualmente qualquer ajuda.)
Finalmente, não assuma que você não perderá sua cópia impressa da senha mestra antes de memorizá-la, ou que você não vai esquecer mais tarde.
Factor recovery into choosing a password manager
Desde que uma das maiores diferenças entre password managers é o processo de recuperação dos seus dados se perder a sua password mestra, não deve escolher um password manager sem pesquisar o seu processo de recuperação de emergência. Depois de fazer a sua escolha, a primeira coisa que deve fazer, juntamente com a escolha da sua senha mestra, é configurar este processo de recuperação. Você pode precisar dela muito em breve, pois é mais provável que você esqueça uma senha mestra logo após criá-la, e antes de tê-la aprendido através do uso repetido.
Embora as conseqüências de perder suas senhas possam parecer pequenas quando você estiver configurando as coisas, e não tenha nenhuma senha salva para perder ainda, você pode rapidamente se tornar dependente do seu gerenciador de senhas. Você pode incorretamente assumir que, uma vez que você tenha aprendido sua senha, você nunca a esquecerá. Embora seja mais comum esquecer as senhas logo após criá-las, também é comum esquecê-las após um período de não usá-las. Por exemplo, você pode esquecer após as próximas férias que você planejou, ou, como um amigo aprendeu alguns anos atrás, após uma estadia não planejada no hospital.
Por que cada produto lida com a recuperação de forma diferente? Em parte, porque é um problema realmente difícil mesmo para empresas que estão entre as maiores, melhor financiadas e mais conhecidas por sua grande usabilidade. Considere o iCloud da Apple, que armazena o chaveiro iCloud utilizado pelo Safari. Uma forma de recuperar uma conta iCloud é através do suporte ao cliente, mas os hackers têm enganado os agentes de suporte para que comprometam as contas dos usuários, inclusive para um repórter de alto nível em 2012. Assim, a Apple também ofereceu aos usuários a opção de armazenar uma senha gerada aleatoriamente para usar na recuperação (a Apple chamou isso de Recovery Key) e configurar suas contas para que o suporte ao cliente não pudesse alterar sua senha. Poucos usuários adotaram chaves de recuperação, e alguns que adotaram ficaram chateados quando descobriram que, na verdade, o suporte ao cliente não poderia mais ajudá-los quando precisassem. A Apple deixou de oferecer as Recovery Keys em 2015 . Atualmente, a Apple permite que as senhas sejam redefinidas após a verificação dos clientes através de seu número de telefone, apesar desse processo ser bastante vulnerável a ataques.
Se isso não fosse ruim o suficiente, os requisitos que determinam se o suporte ao cliente redefinirá a senha ou outras credenciais do usuário não estão disponíveis para o público. Das empresas que permitem que o suporte ao cliente redefina as credenciais dos usuários, eu não conheço nenhuma que compartilhe as regras que eles usam para tomar decisões sobre o que é necessário para voltar a entrar. Sem essas regras, os usuários não podem saber as condições sob as quais poderão recuperar sua conta e sob quais condições um atacante pode tomar conta da sua conta. Vale a pena repetir isto: estas empresas esperam que você lhes confie sua conta, mas não lhe dirão as regras que ditam se você continuará a poder acessá-la ou se um atacante pode roubá-la de você .
Rather do que confiar em regras opacas de suporte ao cliente, muitos gerentes de senhas usam soluções que são menos vulneráveis a ataques, mas mais vulneráveis a perdas acidentais.
Abra os gerentes de senhas de origem KeePass e PasswordSafe (o gerenciador de senhas original) deixam para você encontrar uma maneira de armazenar e fazer backup do arquivo contendo suas senhas, juntamente com a chave usada para proteger (criptografar) os dados nesses arquivos. Portanto, se você quiser compartilhar suas senhas entre máquinas, você precisará criar uma conta de armazenamento de arquivos online (por exemplo, DropBox). Seu backup pode ser uma cópia escrita da senha principal e da senha para a conta de compartilhamento de arquivos. Se você usar autenticação de dois fatores nessa conta, você precisará de um backup para isso também.
LastPass, Keeper , e Dashlane permitem que você pré-autorize contatos de emergência para acessar sua conta…desde que eles também tenham uma conta com o mesmo gerenciador de senhas. Esse requisito está em vigor porque esses produtos usam criptografia para garantir que seus amigos, mas não as empresas, serão capazes de obter acesso a esses dados. Isto ajuda a protegê-lo se o serviço deles for invadido ou se um atacante se fizer passar por você para a equipe de suporte ao cliente deles. A desvantagem é que um atacante que comprometa a conta do seu contato poderá então comprometer a sua. Você pode reduzir a chance de isso acontecer colocando um tempo de atraso antes que suas informações possam ser liberadas para o seu contato de emergência. Se você conhece pessoas usando um desses produtos que você confiaria para ser seu contato de emergência, esse produto pode ser melhor para você do que aqueles que seus contatos não usam.
Com 1Senha, seu segredo principal está na verdade em duas partes: uma chave secreta, que o software armazena em cada dispositivo que você colocou suas senhas, e sua senha principal. Para usar um novo dispositivo com 1Password, você tem que transferir a sua chave secreta para ele. Você pode fazer backup de sua chave secreta gerando um “kit de emergência”, um PDF que você pode imprimir e que contém seu segredo e espaço para anotar sua senha mestra. (Espero que a sua caligrafia seja melhor que a minha.) Como LastPass e Dashlane, 1Password criou o seu serviço online para que eles não guardem estes segredos e para que o suporte ao cliente não possa ajudar um atacante – ou você – a ter acesso aos seus dados sem eles. Ao contrário do LastPass e Dashlane, seu processo de recuperação não requer nenhuma interação com o serviço, ou com qualquer outra pessoa. Isto faz da 1Password indiscutivelmente a opção mais privada, mas há um custo para cada cliente ter este nível de privacidade: 1Password não pode saber que fracção de clientes imprimiram kits de recuperação, quantos os utilizaram com sucesso, nem quantos perderam as suas passwords para sempre. Os únicos dados que eles recebem para ajudá-los a melhorar a confiabilidade do seu processo de recuperação vêm do que os usuários se voluntariam se eles entrassem em contato com o suporte.
Se você estiver usando o Chrome com uma Conta do Google e autenticação de dois fatores, você pode obter dez senhas de recuperação de uso único (números de oito dígitos que eles chamam de códigos de backup), que podem substituir um dos seus dois fatores . A Google recomenda que você os “imprima ou faça download”. O Google também armazena esses códigos e, portanto, ao contrário de senhas bem gerenciadas e geradas aleatoriamente, seus códigos podem ser comprometidos se o Google sofrer uma violação.
Se você usar um segredo de recuperação impresso com Chrome ou 1Password, ou se você criar o seu próprio para KeePass ou PasswordSafe, você precisará decidir onde armazenar seus segredos de recuperação depois de imprimi-los. Um cofre ou um cofre doméstico pode ser apropriado, especialmente se já o tiver ou precisar dele de qualquer forma. Não há nenhuma razão técnica para não poder partilhar impressões dos seus segredos de recuperação com os seus amigos. Se o fizesse, talvez não quisesse que a folha dissesse para quem é, pois excluindo esse facto poderia fornecer uma pequena quantidade de defesa, caso fosse roubada. Outra opção é dar a dois contatos de confiança metade de um código, ou três contatos de confiança dois terços de cada código (para que quaisquer dois contatos possam ajudá-lo).
Se você não gostar de nenhuma das opções acima, poderá imprimir todas as suas senhas periodicamente ou escrevê-las. Se você imprimir, você estará confiando que sua impressora esteja segura e tenha uma conexão de rede segura com essa impressora.
Sua senha de e-mail principal também requer consideração especial ao planejar sua estratégia de recuperação, uma vez que muitas outras senhas podem ser redefinidas por e-mail. Esta pode ser a senha mais importante para mudar para uma senha gerada aleatoriamente, mas também é a senha que você mais precisará para perder o acesso ao seu gerenciador de senhas. Se você estiver mudando essa senha, você deve considerar anotá-la ou fazer backup dela também.