Como funciona um gerenciador de senhas?

Por Que Confiar em Tech Report

O Tech Report é um dos sites de análise de hardware, notícias e tecnologia mais antigos da Internet. Escrevemos guias de tecnologia úteis, fazemos análises imparciais de produtos e trazemos até si as últimas notícias sobre tecnologia e criptografia. Mantemos a independência editorial e não abdicamos da qualidade do conteúdo e da precisão factual.

Neste artigo, vamos responder à pergunta: “Como funciona um gerenciador de senhas?”. Explicaremos os seus principais usos, guiaremos você para começar a usá-los e revelaremos por que eles são a melhor maneira de armazenar senhas.

A maioria das pessoas possui centenas de contas hoje em dia, e manter o controle de todas as senhas é praticamente impossível. Por isso, costumamos usar sempre as mesmas senhas para nossas contas ou as mantemos escritas em um caderno ou arquivo de computador.

É aí que entram os gerenciadores de senhas – eles armazenam todas as suas senhas de forma segura e prática. Eles também geram senhas fortes automaticamente e oferecem recursos de preenchimento automático, para maior proteção e facilidade de uso.

Logo, neste artigo, vamos explicar como usar um gerenciador de senhas e ajudar você a se manter mais informado sobre a sua segurança online.

Gerenciador de Senhas: O Que É o Que Faz e Como Funciona?

Um gerenciador de senhas, como o nome já diz, funciona gerando senhas complexas e as armazenando com segurança, mas isso normalmente não é tudo o que faz. Vamos explorar mais sobre as suas capacidades abaixo:

Por Que Usar um Gerenciador de Senhas?

Um gerenciador ajuda você a deixar de usar sempre as mesmas senhas ou de anotá-las em um papel, contribuindo para que você passe a um espaço de trabalho unificado, em que você pode acessar suas senhas rapidamente. Isso traz maior praticidade para algo que, de outra forma, seria difícil.

No entanto, o armazenamento de senhas digitalmente, sem o uso de um gerenciador de senhas, pode introduzir novos vetores de ataque, como phishing, acesso não autorizado e malware. Então, como um gerenciador de senhas funciona para o poder proteger contra essas ameaças?

Um gerenciador de senhas funciona criptografando as suas senhas em um ecossistema zero-knowledge, onde apenas você pode descriptografar e acessar as suas informações pessoais.

Se você está acostumado a manter as suas senhas em um bloco de anotações, por que mudar para um gerenciador de senhas? Vamos ver o porquê abaixo.

1. Gerador de Senha

Isso permite a criação de senhas mais complexas, tornando as suas contas mais seguras. A maioria dos gerenciadores de senhas hoje em dia tem um recurso gerador de senhas.

Você pode adicionar letras maiúsculas e minúsculas, símbolos e números para tornar a senha única e praticamente impossível de descobrir. Os gerenciadores de senhas oferecem muitas possibilidades. O NordPass, por exemplo, oferece 60 caracteres para usar em senhas geradas automaticamente.

Quanto mais longa e mais aleatória for uma senha, mais difícil será de descobrir.

E o melhor de tudo, você não precisa saber ou lembrar da senha. O gerenciador de senhas funciona fazendo isso para você.

2. Autenticação Multifator

A maioria dos gerenciadores de senhas oferecem a funcionalidade de autenticação multifator (MFA), bloqueando as suas senhas com segurança adicional para que você tenha proteção extra.

Podem ser códigos SMS, aplicativos de autenticação ou chaves de hardware, por exemplo. Embora não sejam todos igualmente seguros, são melhores do que nenhum MFA.

Mesmo que alguém encontre a sua senha mestra (a senha da sua conta do gerenciador de senhas), a autenticação multifator (MFA) funciona e impede que essa pessoa acesse seu gerenciador de senhas, protegendo você contra acessos não autorizados.

Nesse sentido, o padrão de ouro do MFA é uma chave de segurança (como um Yubikey ou Titan), um token físico que protege de ataques de phishing.

3. Funcionalidade de Preenchimento Automático

Os gerenciadores de senhas permitem preencher automaticamente as credenciais em sites usando extensões de navegador. Isso facilita o login em sites e plataformas.

Por exemplo, a extensão do 1Password mostra uma lista com as suas credenciais, ao fazer login em uma conta para a qual você salvou uma senha.

Por fim, selecione os dados da conta que você deseja preencher e o gerenciador de senhas fará o resto. Com isso, você pode entrar em uma conta em poucos segundos.

4. Suporte em Várias Plataformas

Os gerenciadores de senhas geralmente suportam computadores Windows, Mac, Linux, iPhone e dispositivos Android. Eles também funcionam em vários navegadores, tais como Chrome, Firefox e Opera.

Mesmo quando você está em movimento, os aplicativos móveis são suficientes para oferecer uma experiência perfeita, dando-lhe, assim, acesso a todos os principais recursos do gerenciador de senhas.

Como Funciona um Gerenciador de Senhas?

Um bom gerenciador de senhas faz muito mais do que apenas armazenar as suas senhas. Além disso, ele oferece um conjunto de serviços que melhoram a sua segurança pessoal e uso geral.

Vamos falar, abaixo, sobre como os gerenciadores de senhas protegem as suas contas:

1. Ecossistema Zero-knowledge

Um ecossistema zero-knowledge é a marca registrada de qualquer gerenciador de senhas que funciona e vale a pena.

Isso significa que ninguém pode acessar ou descriptografar o que você armazena no gerenciador de senhas – nem mesmo os desenvolvedores de aplicativos.

Todos os dados são criptografados localmente, e isso inclui senhas, arquivos e informações pessoais.

Mesmo quando os dados saem do seu dispositivo (para sincronização na nuvem), são criptografados nativamente durante o trânsito. Só se torna legível no seu dispositivo (que contém a chave de descriptografia) quando você deseja recuperar credenciais de conta.

Em síntese, todos os populares gerenciadores de senhas, como NordPass, 1Password ou Dashlane, fazem isso. Assim, este não é um recurso novo ou exclusivo.

2. Compartilhamento de Senha

Assim, em vez de copiar a senha em uma mensagem de texto para um amigo, por exemplo, o gerenciador de senhas funciona criando para você um link de compartilhamento.

Nesse sentido, você pode personalizar a data de expiração do compartilhamento, os parâmetros de acesso e se o link pode ser visualizado uma ou várias vezes.

Isso oferece mais privacidade e segurança ao compartilhar as suas senhas. E em síntese, coloca você, em vez de outra pessoa, no controle da situação.

3. Alertas de Monitoramento & Segurança da Dark Web

Alguns gerenciadores de senhas (como o 1Password e o NordPass, por exemplo) verificam ativamente a dark web, procurando possíveis violações de dados e locais onde os seus dados pessoais podem ter sido comprometidos.

Se alguma violação de dados for encontrada, você será alertado e orientado a alterar a sua senha ou endereço de e-mail.

O melhor de tudo é que você não precisa habilitar esse recurso – ele é executado em segundo plano.

Simultaneamente, o seu gerenciador de senhas funciona verificando a força e a repetibilidade de suas senhas (se você usar a mesma senha para várias contas).

Se o gerenciador de senhas identificar um problema, ele enviará um alerta de segurança mostrando o problema e o que você deve fazer para mitigar o risco.

4. Sign-on Único

O sign-on único (SSO) permite que equipes empresariais acessem um gerenciador de senhas usando credenciais pré-existentes.

Essas credenciais geralmente podem dar acesso a várias outras ferramentas relacionadas a empresas e negócios. Por exemplo, uma empresa pode habilitar o SSO no Slack, NordPass e Monday, permitindo que os funcionários façam login em todas as três plataformas usando as mesmas credenciais.

Se um hacker obtiver acesso a uma conta SSO, ele também terá acesso a todas as contas vinculadas às credenciais do SSO.

5. Autenticação de Dois Fatores

A autenticação de dois fatores (2FA) permite adicionar fatores de autenticação adicionais (como SMS ou códigos de e-mail) à sua conta de gerenciador de senhas.

No entanto, nem todos o gerenciadores de senhas oferecem as mesmas opções de 2FA. O NordPass oferece três: autenticador, chaves de segurança e códigos de backup.

O 1Password, por outro lado, oferece apenas dois: autenticador e chaves de segurança. No entanto, a Chave Secreta também conta como um 2FA, mesmo que não seja comercializado como tal.

O 2FA atenua o risco de acesso não autorizado ao seu gerenciador de senhas – mesmo que alguém saiba seu e-mail e senha, ainda precisará dos códigos de 2FA ou do token de segurança. Sem isso, não há como acessar a conta.

O 2FA é irrelevante para dispositivos ou navegadores nos quais você já está conectado ao seu gerenciador de senhas ou se conectou a eles anteriormente (dispositivos reconhecidos).

Isso significa também que, se alguém tiver acesso ao seu telefone, por exemplo, e souber as credenciais padrão do seu gerenciador de senhas (nome de usuário e senha), poderá acessar a sua conta sem problemas.

No entanto, se alguém tentar acessar a sua conta a partir de um dispositivo não reconhecido, o 2FA do gerenciador de senhas, funciona.

6. Sincronização de Nuvem Para Todos os Dispositivos

Um gerenciador de senhas online sincroniza seus cofres de senhas em todos os seus dispositivos, facilitando o acesso às suas contas de qualquer lugar.

Adicionalmente, a maioria dos gerenciadores de senhas faz isso automaticamente quando você instala o aplicativo em seus dispositivos. Por exemplo, instalar o NordPass em seu desktop ou dispositivo móvel significa que você pode adicionar entradas (como senhas) em um dispositivo e acessá-las de outros em tempo real.

Seus dados ficam completamente seguros com o backup online do NordPass. Tudo é criptografado no seu dispositivo, portanto, quando as informações chegam aos nossos servidores, não temos conhecimento sobre os dados que você está armazenando no NordPass.

Por fim, com o mecanismo de criptografia XChaCha20 do NordPass, os dados sincronizados são praticamente inalcançáveis para ataques externos.

Tipos de Gerenciador de Senhas

Cada um tem os próprios prós, contras e casos de uso para necessidades específicas. Abaixo, explicaremos sobre cada tipo de gerenciador de senhas e ajudaremos você a tomar uma decisão informada sobre qual deles funciona para as suas necessidades.

1. Gerenciador de Senhas Offline, Local

Ao contrário dos gerenciadores de senhas online (nuvem), os gerenciadores offline salvam senhas e outros dados em seus dispositivos (localmente) e não exigem uma conexão com a Internet.

Tecnicamente, eles são muito mais seguros e mais privados do que os gerenciadores de senhas baseados em nuvem porque você controla o seu fluxo de dados.

Nesse sentido, não há intermediário entre você e o seu gerenciador de senhas.

Os gerenciadores de senhas offline incluem KeePassXC, Pass e Enpass, e este último é considerado um dos melhores gerenciadores de senhas offline disponíveis hoje.

No entanto, os gerenciadores de senhas offline são menos práticos de usar – a sincronização do dispositivo é um pouco trabalhosa (em alguns casos) e você precisa manter o aplicativo atualizado manualmente.

Usar uma versão desatualizada pode ter consequências devastadoras, em razão de possíveis vulnerabilidades de segurança não corrigidas.

Aqui está uma visão geral dos gerenciadores de senhas offline:

2. Gerenciador de Senhas Online

Você provavelmente está mais familiarizado com o tipo de gerenciador de senhas que funciona online ou baseado em nuvem – o 1Password, o NordPass e o LastPass, por exemplo, são alguns exemplos.

Os gerenciadores de senhas online geralmente operam em um ambiente zero-knowledge, o que significa que eles não podem acessar ou descriptografar as suas senhas.

Apenas o usuário tem os meios (senha) para acessar e descriptografar o cofre. A maioria dos gerenciadores de senhas também garante que a sua senha mestra nunca chegue nos servidores de forma não criptografada.

Mesmo que os gerenciadores de senhas online tomem todas as precauções de segurança para manter os seus usuários seguros, seus dados são armazenados online (na nuvem).

Isso inclui senhas, número de cofres, nomes de usuário e os sites em que você possui uma conta.

No entanto, mais segurança geralmente leva a menos praticidade.

Além disso, se você estiver preocupado com a privacidade, você pode optar por um gerenciador de passwords offline, sem os recursos adicionais de gerenciadores online.

Se você preferir conveniência e conforto, pode optar por ter menos privacidade para obter a experiência de um gerenciador de senhas online.

Por fim, aqui estão os prós e contras dos gerenciadores de senhas online:

3. Gerenciador de Senhas Stateless

Por fim, os gerenciadores de senhas stateless ou baseados em tokens não salvam suas senhas em qualquer lugar. Não há banco de dados de senhas, online ou offline.

Esses gerenciadores de senhas normalmente exigem três coisas para criar e “recuperar” senhas:

Quando você cria uma senha para uma conta, por exemplo, você insere o URL do site, seu nome de usuário e a senha mestra.

Com esses detalhes, o gerenciador de senhas stateless funciona criando uma senha única e, aparentemente, aleatória e ela não é armazenada em nenhum lugar.

Isso porque cada senha gerada é um hash construído a partir da senha mestra, URL do site e nome de usuário. Aplicar a mesma função matemática sempre recupera a mesma senha.

Portanto, alguns gerenciadores de senhas stateless permitem autenticação baseada em token como um 2FA para o processo de geração de senhas. Isso significa chaves de segurança como Yubikey e Google Titan.

No entanto, há uma pegadinha:

As senhas geradas com o gerenciador de senhas stateless são determinísticas, não aleatórias.

Isso significa que um hacker pode, tecnicamente, reverter a determinação da sua senha mestra se souber alguma das senhas geradas a partir dela.

Uma senha mestra complexa pode mitigar esse risco (na maioria das vezes). No entanto, existem várias maneiras de quebrar tanto a sua senha principal quanto o número de senhas derivadas dela.

Por fim, este problema não existe com gerenciadores de senhas offline ou online. As senhas geradas com eles são realmente aleatórias.

Para resumir as vantagens e desvantagens dos gerenciadores de senhas stateless:

Como Escolher um Bom Gerenciador de Senhas Que Funciona?

Escolher um bom gerenciador de passwords não é uma tarefa fácil, principalmente diante de tantas alternativas no mercado. Aqui estão vários recursos importantes para procurar em um bom gerenciador de passwords:

Nesse sentido, testamos e revisamos muitos gerenciadores de senhas. Por isso, sabemos o que procurar e quais os problemas mais comuns que eles podem ter.

Comparação de Opções de Gerenciador de Senhas Que Funciona

Para ajudar você a decidir, neste artigo sobre como funciona um gerenciador de senhas, fizemos uma lista dos que consideramos ser os melhores:

Nesse sentido, o NordPass se destaca com sua criptografia XChaCha20, que é menos intensiva em recursos do que o AES-256 (atualmente usado por todos os outros gerenciadores de senhas) e tem uma margem de segurança maior.

Além disso, o 1Password é outra ótima escolha, devido à sua criptografia Secret Key, e o Keeper oferece acesso de emergência para o caso de você perder a sua senha. Já o Roboform, por exemplo, é o único gerenciador de senhas da nossa lista que funciona com um plano gratuito, também.

Confira a nossa lista completa dos melhores gerenciadores de senhas para Android, se quiser obter uma análise mais aprofundada dos gerenciadores de senhas.

Como Configurar um Gerenciador de Senhas

A configuração de um gerenciador de senhas leva apenas alguns minutos e, aqui, vamos usar o 1Password como exemplo, para mostrar como o processo funciona.

1. Selecione a Opção Plano Grátis

Primeiramente, vá para a página do gerenciador de senhas 1Password, selecione “Começar”, na página inicial, e selecione a opção de avaliação gratuita, ótimo para comprovar que funciona.

2. Crie uma Conta

Em segundo lugar, preencha o seu nome e endereço de e-mail. Em seguida, selecione “Próximo” para criar a sua conta 1Password.

O 1Password enviará um código para o seu e-mail. Insira-o na área apropriada para prosseguir.

Depois, crie sua senha mestra do 1Password e selecione “Próximo”. Lembre-se que se você esquecer a senha, você perderá o acesso à sua conta.

3. Selecione um Método de Pagamento

Em seguida, selecione “Adicionar um método de pagamento” e preencha as informações do seu cartão de crédito, ou selecione “Criar conta e adicionar um método de pagamento mais tarde“.

4. Salve sua Chave Secreta

O 1Password agora criará (localmente) a Chave Secreta, o ponto crucial de seus protocolos de criptografia. Selecione “Salvar PDF” e salve o arquivo em algum lugar seguro.

O PDF contém instruções sobre como usar o Kit de Emergência. Ele também terá uma cópia da sua chave secreta e outro campo para a sua senha.

Lembre-se, você não pode redefinir a sua senha mestra usando a chave secreta. Esta última só funciona como segurança adicional para sua conta.

5. Instale os Aplicativos do Gerenciador de Senhas

Depois de acessar a sua conta, selecione “Obter os aplicativos” para instalar os aplicativos para desktop e dispositivos móveis.

Selecione a opção que você prefere, dependendo de quais aplicativos você deseja instalar.

Depois de instalar os aplicativos, faça login na sua conta usando seu e-mail, senha mestra e chave secreta.

6. Crie uma Nova Entrada

Vamos usar o aplicativo para desktop como exemplo. Depois de abri-lo, selecione “Novo item” no canto superior direito. Em seguida, selecione “Login”. Este é o tipo mais comum de entrada para informações de login no 1Password.

Como alternativa, por exemplo, você pode selecionar outras opções, como “Documento” ou “Credencial API”, para adicionar entradas diferentes.

Altere o nome da entrada no Passo 1, insira seu nome de usuário no Passo 2 e a senha no Passo 3. Para usar o gerador de senhas, selecione “Criar uma nova senha”.

O gerador de senha aparecerá e você poderá personalizar o tamanho e a composição da sua nova senha. Quando estiver satisfeito, selecione “Usar” para preenchê-la.

Por fim, não se esqueça de clicar em “Salvar”, na parte inferior, para salvar a sua entrada.

7. Compartilhe uma Senha Usando o Gerenciador de Senhas

Por fim, para compartilhar uma senha, selecione “Compartilhar”, no canto superior direito, e “Obtenha Link para Compartilhar” na janela pop-up. Isso irá copiar um link de compartilhamento para a sua área de transferência.

Cole-o na mensagem para seu amigo, por exemplo, para compartilhar a senha com ele.

Se você selecionar a opção “Pode ser visto apenas 1 vez”, o link vai expirar depois que a parte receptora o acessar uma vez.

Isso permite que você controle o compartilhamento de senhas e evite o acesso não autorizado a links que você compartilhou. O NordPass é outro gerenciador que funciona, também, com esse recurso.

Você Deve Usar um Gerenciador de Senhas?

Manter as senhas em um banco de dados de um gerenciador de senhas, que funciona, é crucial hoje em dia, especialmente tendo em vista que os cibercriminosos estão ficando cada vez mais sofisticados.

Nesse sentido, sem um gerenciador de senhas, geralmente utilizamos as mesmas senhas várias vezes, comprometemos a complexidade da senha ou registramos nossos detalhes de login em um arquivo de computador ou agenda. Isso não é o ideal.

Um gerenciador de senhas, como o NordPass, pode livrar você de todo esse incômodo e proteger sua atividade online e funciona com criptografia de última geração e princípios de zero-knowledge.

Perguntas frequentes sobre gerenciador de senhas