Onde armazenar minhas senhas? É seguro usar serviços em nuvem?

Onde armazenar minhas senhas? É seguro usar serviços em nuvem? Os dados armazenados em um computador são salvos em um local conhecido e controlado. Os dados armazenados em uma nuvem, no entanto, estão espalhados pelo mundo. Então, a verdadeira questão é esta: onde é um lugar mais seguro para armazenar dados confidenciais, como senhas? Um computador local ou em um servidor em algum lugar do mundo?

A verdade é que todos os dados que são baseados em nuvem, assim como os baseados em computadores locais, têm as mesmas vulnerabilidades, como falta de energia, desastres naturais e invasões criminosas. Esses sistemas podem ser fracos, podem cair em esquemas de phishing ou ser atacados por vírus, o que pode colocar todos os dados em risco.

Tenha em mente que quase todos os provedores de serviços em nuvem não fornecem detalhes sobre como eles protegem esses dados, pois isso os deixará vulneráveis ​​a hackers. No entanto, os provedores prometem aos seus clientes que suas informações estão seguras graças a políticas rígidas, criptografia de alto nível e data centers que oferecem a melhor proteção de dados do setor.

Mantendo o controle das senhas

Você tem a escolha, é claro, de usar a mesma combinação de nome de usuário e senha para tudo, mas isso pode ser um problema, pois ao quebrar uma das senhas e qualquer um dos serviços todas os demais serviços estarão vulneráveis.

Felizmente, existem maneiras de gerenciar suas senhas e nomes de usuários, e basta um pequeno investimento em um bom serviço de gerenciamento de senhas.

Esses serviços funcionam tanto em nuvens como em computadores físicos, e a melhor coisa sobre esses serviços é que há apenas uma senha para lembrar, a senha mestra, que dá acesso a todas as outras senhas que você tem para praticamente qualquer site, no entanto para deixar ainda mais robusto esta senha de entrada, a maioria destes serviços de senhas oferecem a implementação do segundo fator de autenticação através de um software token, sms, notificação push ou grupos de tokens pré-definidos (cartão de números token)

O que procurar em um serviço de gerenciamento de senhas

Um bom serviço de gerenciamento de senhas deve:

• Oferecer uma ferramenta geradora de senha que ajuda a criar senhas fortes que não podem ser quebradas. Lembre-se, você não precisará se lembrar dessas senhas para que elas sejam tão complicadas quanto você desejar;
• Possa preencher a entrada de dados sem que vocês tenha que buscar a senha na ferramenta;
• Trabalhe em diferentes navegadores e aqueles que podem sincronizar com vários computadores;
• Oferecer um aplicativo para smartphone;
• Constantemente sincronizar dentro da nuvem;
• Ofereça um alto nível de segurança, usando algorítimos de criptografia forte;
• Possibilite o uso do segundo fator de autenticação;
• Possibilite guardar senhas de aplicativos não web e outras.

Protegendo seus dados

Aqui está a situação. O que mais o tornará mais vulnerável não são esses serviços de gerenciamento de senhas, mas o seu próprio computador, já que ele pode ter um malware existente nele. Além disso, as probabilidades são altas de que ele será alvo de malware no futuro que pode registrar a digitação ou tirar capturas de tela sem o seu conhecimento. Comece a executar varreduras antivírus com frequência e verifique se o software escolhido está atualizado.

Você também pode adicionar outra camada de proteção adicionando o teclado virtual na tela do computador à barra de tarefas e fazendo login na senha principal dessa maneira. Essas teclas são na verdade inseridas pelo mouse e menos prováveis ​​de serem rastreadas.

Alguns provedores têm autenticação de dois fatores (2FA), o que também ajuda a proteger os dados na nuvem e dificulta o acesso dos cibercriminosos às suas contas. A autenticação de dois fatores significa que você deve ter duas formas diferentes de identidade para provar que é quem você diz ser. Por exemplo, uma senha e um número PIN válido para um único acesso.

Os softwares de token mais comuns são o Google Authenticator e o Authy .

O Google Authenticator tem a vantagem de ser aceito pela maioria dos serviços de 2FA, mas tem a desvantagem de que se você perder o seu dispositivo mobile você dependerá do serviço que você usa oferecer uma forma de recuperação do acesso sem o 2FA.

O Authy também é muito bem aceito nos serviços que oferecem o 2FA e tem a vantagem de que você pode utilizá-lo sincronizadamente em mais de um dispositivo, alem de oferecer uma forma de recuperação dos registros de serviços que você fez nele.

Outra forma muito comum de 2FA é o SMS. Neste caso o seu provedor de serviço envia um SMS para o seu celular com um código, que você digitará para a entrar no serviço contratado.

Outro que tem sido muito utilizado também é a notificação Push > neste caso o seu provedor de serviço envia uma tela com um botão de confirmação para o seu celular e ao clicar você entra no serviço.

Por último, mas menos utilizado ou utilizado apenas como último recurso para recuperação do acesso principal, é o cartão de códigos. Neste caso quando você ativa a opção de 2FA o seu provedor de serviço lhe entrega uma coleção de números que você guardará em algum lugar e quando precisar informará um dos números para entrar no serviço.

Razões para usar gerenciadores de senhas baseados em nuvem

Embora haja vários motivos para usar gerenciadores de senha baseados em nuvem, aqui estão os quatro principais:

• Eles são fáceis: você nunca terá que se preocupar em lembrar senhas novamente, e você pode entrar em qualquer site com apenas o clique do mouse.
• Eles estão em todos os seus dispositivos: você pode sincronizar seus dados automaticamente e acessá-los a qualquer momento e em qualquer lugar.
• Eles estão seguros e protegidos: de várias maneiras, você se protegerá contra fraudes online, golpes de phishing e malware.
• Eles são criptografados: todos os seus dados são criptografados e somente você pode desbloqueá-los.
• Utilizando o 2FA, mesmo que seu provedor de gerenciador de senhas seja comprometido, suas senhas armazenadas estarão seguras!

Alguns Gerenciadores de Senhas

Existem vários gerenciadores de senhas que podem ser utilizados. Aqui relaciono alguns que pode ser utilizados a nível particular, para uso em empresas a análise é diferente e não recomendo o uso desta forma. Ao invés disto recomendo o uso de um PAM – Privileged Access Management, que não somente guarda a senhas, mas a protege do conhecimento do usuário e registra todo seu o seu uso.

Para saber mais sobre o PAM veja nossos artigos “Senhasegura está no Gartner PAM Market Guide” e ” MindSec é agora Revenda Certificada senhasegura“

Os gerenciadores senhas pessoais mais comuns na internet são:

1: LastPass

O LastPass tem sido um dos melhores gerenciadores de senhas há anos. Você pode usá-lo gratuitamente ou fazer o upgrade para uma versão premium paga. Ambas as opções permitem armazenar senhas ilimitadas com criptografia segura.

Com o LastPass, você obtém acesso simples às suas senhas graças a um recurso de autopreenchimento. Ele ainda disponibiliza uma extensão de fácil acesso para seu navegador abrir sites como se fossem favoritos.

2: DashLane

O Dashlane oferece a possibilidade de não apenas armazenar senhas com segurança, mas também salvar suas anotações particulares e seus dados de cartão de crédito através do recurso Digital Wallet. Ele usa criptografia AES-256, o mais alto nível de criptografia oferecido por qualquer gerenciador de senhas.

A versão premium inclui:

• Opção para sincronizar seus dispositivos.
• Backups seguros para sua conta.
• Autenticação de dois fatores, que eles chamam de U2F.

A versão premium custa US$ 40 por mês e é voltada àqueles que precisam dos mais altos níveis de segurança possíveis.

3: True Key

O True Key é um produto da Intel Security. Aparentemente, eles desejam ir além em matéria de senhas seguras, através do uso de reconhecimento facial ou impressão digital como segundo fator de autenticação. O primeiro fator continua sendo uma senha mestra.

Suas primeiras 15 senhas são grátis além disto você deve fazer uma assinatura anual . Esse valor vale a pena para quem deseja fazer uso da integração com a tecnologia RealSense ou com a tecnologia SGX. Experiências de segurança digital e conectadas como essas oferecem uma proteção excepcional.

4: RememBear

Um dos gerenciadores de senhas com o nome mais inteligente, esta opção não contém apenas um nome bonito. Ele também oferece:

• Acesso a partir de qualquer dispositivo.
• Autopreenchimento de senhas.
• Autopreenchimento de cartões de crédito com um clique.
• Criptografia AES-256 bits.
• Código auditado publicamente.

Esse último ponto é especialmente importante, pois oferece aos pesquisadores de segurança a capacidade de comprovar que o código deles é seguro. Este programa também foi desenvolvido pelos criadores da VPN TunnelBear. Você pode usá-lo para praticamente todas as suas necessidades de criptografia.

5: RoboForm

Como você esteja achando as opções acima um pouco complexas, escolha o RoboForm. Ele é um programa muito mais simples que permite armazenar dados de login ilimitados. Ainda assim, ele oferece os recursos comuns dos gerenciadores de senhas, como geração de senha segura, preenchimento de formulário e função de busca, para localizar suas senhas.

Você pode optar pelo app grátis, que disponibiliza dados de login ilimitados, ou optar pelo plano premium com assinatura anual.

6: Keeper

O Keeper não somente armazena suas senhas, como também pode manter seus arquivos em um cofre digital seguro. Ele ainda possui integração com smartwatches para autenticação de dois fatores.

Se você precisa de um gerenciador de senhas para toda a família, os planos começam no valor de US$ 60 por ano para cinco usuários. Pense em como sua família poderá armazenar fotos, vídeos e outros documentos familiares em um único local.

7: Sticky Password

Este gerenciador de senhas conta com recursos padrão, como preenchimento de formulário, autopreenchimento e, obviamente, gerenciamento de senhas com autenticação de dois fatores. O bônus consiste em sua segurança biométrica, como por meio de impressão digital.

A sincronização entre dispositivos inclui a capacidade de fazer o backup de dados na nuvem. Isso permitirá acesso a seus sites protegidos a partir de qualquer lugar e com qualquer dispositivo.

Caso não queira fazer uso da nuvem, os criadores têm orgulho do fato de que você pode sincronizar dados com um Wi-Fi local.

8: LogMeOnce

O LogMeOnce conta com todos os recursos padrão dos gerenciadores de senhas que você deseja, mas inclui uma carteira digital, um relatório de força de senha (através de auditoria interna) e suporte a biometria.

Esse relatório de força de senha permite fazer alterações de senhas fracas para torná-las mais fortes com um clique. Os usuários que possuem uma carteira com senhas antigas anteriores ao uso de um gerenciador de senhas precisarão desse recurso.

9: Enpass

O Enpass possui diversos recursos padrão interessantes, como geração de senha com um clique, preenchimento de formulário web e criptografia AES-256. Um aspecto exclusivo é o suporte familiar. Esse recurso de suporte permite que você ajude seus filhos a se proteger melhor e a gerenciá-los quando eles não estiverem no caminho certo. Ele pode ser ótimo para ensinar práticas online adequadas aos seus filhos.

10: Blur

O Blur além dos recursos de guarda de senhas e preenchimento automático, o Blur oferece uma forma de usar e-mails mascarados nos cadstros em sites para que você receba e-mails de maneira privada ou bloqueie o spam com facilidade, mantendo seu anonimato. Além disto o Blur oferece uma forma criar um novo número de cartão de crédito para cada compra, similar ao serviço já oferecido aqui no Brasil por alguns bancos.

Embora todos estes serviço tenham como premissa um forte proteção dos seus dados armazenados, recentemente publicamos aqui no blog Minuto da Segurança que o Blur foi vitima de um grande vazamento de dados , por isto é fortemente recomendável o uso do 2FA para este tipo de serviço, no entanto ao menor indício de comprometimento talvez você tenha que realizar uma troca massiva de suas senhas (alguns dos softwares acima possui recursos para facilitar esta tarefa) e monitorar de perto os seus cartões de crédito que por ventura tenha armazenado no seus gerenciador.

Fonte: The Balance & Vpn Mentor   

Por: Kleber Melo - Sócio Diretor & Consultor da MindSec Segurança e Tecnologia da Informação.

Veja também:

• Vaga para Hackers paga até US$89.000 por mês

• Google é multada em US$57Mi por violar GDPR
• Collection#1 – 773M de emails e 21M de senhas compartilhadas na Dark Web
• Arquivo de filme falso infecta computador para roubar Criptomoedas
• Hackers vazam centenas de dados pessoais de políticos alemães
• Especialistas escapam dos Contêineres e executam comandos no PWD
• GoDaddy injeta JavaScript que pode afetar o desempenho de sites
• Terrorismo e a Continuidade de Negócios no Brasil
• Decreto nº 9.637/2018 – Política Nacional de Segurança da Informação
• Os celulares da mira da Anatel
• CERTISIGN divulga nota sobre vazamento de dados
• PASTEBIN – Certisign Pwned by sup3rm4n – fatal error crew