25 de mar de 2013

Gerenciando suas senhas com mais segurança




Você, como um cidadão digital, deve ter, na sua lista de serviços que usufrui, um e-mail, não tem? Ou até mais de um, para separar assuntos pessoais dos profissionais, não é? Também deve fazer compras online, pela praticidade. Participa de redes sociais, fóruns de discussão. Deve também utilizar o internet banking para fazer transações financeiras. E a pergunta que faço é: como você faz para criar e manter suas senhas de acesso para esses serviços todos? Aposto que você repete a mesma senha em vários desses serviços, estou certo?


Pois saiba que isso não é recomendado. Graças ao avanço da tecnologia, hoje existem métodos que tornam possível a quebra de algumas senhas, principalmente as mais simples. O método de força bruta, por exemplo, permite alguém que possua os recursos corretos decifrar uma senha com dez caracteres em quatro horas. Isso mesmo. Em apenas quatro horas o hacker será capaz de saber sua senha, e se utilizar a mesma senha em vários lugares será uma dor de cabeça e tanto para você. Aterrorizante não?

Gerar e manter uma senha segura somente em sua memória não é tarefa fácil, e por isso não é incomum que as senhas mais comuns pela internet sejam como "password", "123456" e "12345678". Porém hoje temos ferramentas que nos auxiliam a gerar senhas mais seguras e também a gerenciá-las de maneira mais fácil e organizada. O CERT.br (Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil) criou uma cartilha com recomendações para a criação e manutenção de senhas seguras. Microsoft e Google também dão as suas recomendações para criação de senhas seguras. A Microsoft inclusive tem um verificador de senhas, que te diz o quão segura ela é. Existem algumas ferramentas no mercado, porém hoje vou falar de duas das mais famosas: LastPass e 1Password.

Esses programas funcionam como "cofres" para suas senhas. Eles guardam todas elas em um arquivo criptografado (em seu computador ou nos servidores do serviço), acessível apenas a quem possuir a senha mestra (que você define). Os campos de autenticação dos sites são automaticamente preenchidos pelo plugin do serviço, instalado em seu navegador. Assim, você não digita a senha do site diretamente.

1Password

Opção comum entre usuários de Mac, o 1Password é muito conhecido. Não utilizo, mas conheço pessoas que utilizam e só falam bem. Sua versão para Windows é mais recente, acredito que visando atingir um novo público. É um programa muito bonito, e sua usabilidade é um dos pontos altos. Apenas uma ressalva: apenas a versão para Mac tem um visual bonito. A versão para Windows parece um programinha shareware que você encontra num desses sites de downloads. Lamentável.

O programa provê integração com os principais navegadores, autopreenchimento de logins em sites, gerador de senhas fortes e segurança. E é por isso que você quer um gerenciador de senhas. O 1Password usa o algoritmo AES para critografar suas senhas, com chaves de 128 bits. Ele permite também que você faça o controle de licenças de software, adicione arquivos as suas entradas no programa,  e muitas outras coisas. Dê uma olhada no site do programa, pois as funcionalidades podem variar de acordo com a versão.

O 1Password salva suas senhas em um arquivo criptografado local, e não na internet. Se preferir a comodidade e a mobilidade da nuvem, você pode utilizar algum serviço de armazenamento online. Eles recomendam o Dropbox para isso, mas existem outras opções também.

Existem versões mobile do 1Password para Android e iOS, permitindo a sicronização entre PC / Mac e sua solução mobile através do Dropbox (que eles recomendam). Para iOS existe uma documentação e suporte no site da empresa. Para Android quase nada. Fica o mistério!

Abaixo um vídeo de apresentação do 1Password para Mac:


O 1Password não é um software gratuito. Para desfrutar de suas funcionalidades você desembolsa a módica quantia de $49 por usuário por plataforma, ou então compra o "bundle" (licenças para Windows e Mac) por $69 por usuário. Existem planos "familiares" que você pode ver aqui. Você também pode baixar a versão de avaliação por trinta dias.

LastPass

É uma alternativa ao 1Password. Alternativa gratuita por sinal. E isso não desmerece o programa. O LastPass é bem semelhante (em funcionalidades) ao seu concorrente, porém o armazenamento das senhas acontece em duas etapas. No seu computador e nos servidores do LastPass, ambos os casos tudo está criptografado.

A criptografia começa no computador local, usando AES de 256-bit, assim sua senha já chega aos servidores do LatsPass criptografada. Somente você possui a chave de criptografia, assim o LastPass não consegue acessar os dados que você envia. Se houver algum vazamento de informações nos servidores dele, quem roubar as informações também não conseguirá acessá-las, pois não terá a chave de descriptografia. Existe a possibilidade de você ativar a autenticação em dois passos (two steps), que além da senha pedirá para que você entre com o valor de algumas posições de uma matriz que lhe será gerada.

Seu funcionamento é, essencialmente, semelhante ao 1Password. Você instala uma extensão para o seu navegador (tem para Firefox, Chrome, IE e Safari) e com sua senha mestra (mais sua matriz de autenticação, caso opte pela autenticação em dois passos) o LastPass fará a autenticação no site que escolher dentro da lista de sites que você salvou no serviço, com o usuário e senha de cada um. Muito prático e seguro.

O LastPass também permite que você o use para guardar, além de senhas de sites, senhas de wifi, notas seguras, dados de cartão de crédito, identidades (para automatizar o preenchimento de formulários), além de possuir um gerador de senhas seguras. Existem outras funções interessantes que você pode conferir aqui.

Charles Rezende publicou um vídeo explicando como utilizar o LastPass. Veja:


O uso do LastPass em PCs é gratuito, porém se quiser usá-lo em seus dispositivo mobile, existem aplicativos LastPass para Android e iOS, porém você precisará pagar uma anuidade de $12. É barato, porém como não faço uso do aplicativo mobile, nunca o testei nem tive que assinar o serviço. O que aprovo é a versão gratuita, que recomendo não só por ser uma excelente ferramenta, mas por tornar mais fácil e seguro o gerenciamento de suas senhas.

Considerações finais

Não há solução 100% segura para o gerenciamento de senhas. O que você pode fazer é diminuir os riscos a ponto de torná-los aceitáveis. Por exemplo, se você guarda sua senha numa agenda, será mais provável que você perca a mesma ou seja assaltado do que o site que guarda suas senhas criptografadas seja hackeado. Mas note que é só "menos provável" e não "impossível". Tenha em mente que sua segurança depende mais de você do que de outras coisas, então crie senhas seguras, mantenha-se informado sobre brechas de segurança em serviços importantes para você e, se for um pouquinho paranoico (assim como eu), ative a autenticação em dois passos. Isso tornará extremamente mais difícil a vida de quem quiser violar sua privacidade.

Recomendo que pare e pense nessas soluções de gerenciamento de senhas. Elas são seguras dentro do que se propõe a fazer, tem um custo relativamente pequeno e irá te poupar muitas dores de cabeça e neurônios. São práticas de usar e uma vez que as experimente tenho certeza que não vai querer usar outra coisa.

Nenhum comentário:

Postar um comentário