Gerenciadores de Senhas

OUCH! | Outubro de 2013
NESTA EDIÇÃO...
• O Problema
• A Solução
• Como Funcionam os Gerenciadores de Senhas
• Faça sua Escolha
Gerenciadores de Senhas
O Problema
Quando se trata de proteger a identidade pessoal
Editor Convidado
e informações, com frequência uma das primeiras
coisas que as pessoas aprendem é a utilizar
Gerorge Bakos é Diretor Técnico de Inteligência e
senhas fortes. Uma senha forte não é apenas difícil
Resposta da Northrop Grumman e tem atuado como
Instrutor Certificado no Instituto SANS desde 2001.
de ser descoberta pelos crimonosos cibernéticos,
Durante o mês de novembro George estará em Londres
mas é também resistente a ferramentas de hacking
para dar o curso Security 502, Perimeter Protection in
(ferramentas utilizadas para invadir redes de
Depth.
computador). Como regra regal, quanto mais
longa e complexa for a sua senha, mais segura e
forte ela se torna. O problema é que senhas longas
podem ser dificeis de se lembrar. Por isso as pessoas costumam criar uma única senha forte e utilizam
a mesma ou outra com uma pequena variação para todas as contas online, aplicações e dispositivos.
Ou ainda pior, muitas pessoas usam a mesma senha para suas contas pessoais e de trabalho. Se você
é uma dessas pessoas que usam a mesma senha em várias contas, você corre riscos. Uma vez que
atacantes cibernéticos descobrem sua senha, eles podem potencialmente acessar todas as suas contas
compartilhadas. Enfim, o que você precisa é de uma única senha forte para cada uma de suas contas.
Dessa forma, se alguém conseguir descobrir a senha de uma delas, as outras permanecem seguras.
Infelizmente, com tantos dispositivos e contas diferentes, fica quase impossível para qualquer pessoa
lembrar da crescente coleção de senhas.
A Solução
Uma solução que as pessoas usam com frequência é anotar todas as suas senhas num pedaço de papel,
ou ainda pior, elas as anotam e as fixam no monitor do computador (observe pelas janelas dos escritórios
e verá monitores cobertos de postites). Esse é um tipo de segurança pobre, pois outras pessoas podem
ler suas senhas, ou a situação pode ainda piorar se você viajar e perde-las ou se elas forem roubadas. Em
vez disso, o que precisamos é de uma solução que armazene, de maneira segura, todas as senhas em um
único local. Melhor ainda seria um programa de computados que simplifique todo o processo, através da
recuperação automática de suas senhas e que se autentique em sites da internet e aplicativos por você.
E também um programa que pudesse gerar senhas fortes e talvez até armazenar outras informações
confidencias como o número do cartão de crédito por exemplo. Por sorte, tal solução existe e se chama
gerenciador de senhas (ou repositório de senhas).
OUCH! | Outubro de 2013
Gerenciadores de Senhas
Como Funcionam os Gerenciadores
de Senhas
Um gerenciador de senhas atua como um cofre
virtual. Primeiro você instala esse cofre virtual como
um programa em seu computador ou dispositivo
móvel. Então esse programa pega todos os seus
IDs de usuário e senhas e os criptografa em um
banco de dados, o qual é armazenado no seu
equipamento ou na nuvem. Essse banco de dados
é protegido por uma senha especial que você cria
apenas para o gerenciador de senhas. Desta
forma você só tem que se lembrar de uma senha,
a do gerenciador de senhas. A qualquer momento
que precisar recuperar suas credenciais, como
Gerenciadores de senhas são
o ID de acesso ao seu banco na internet ou sua
uma maneira simples para
conta de email, você simplesmente digita a senha
armazenar com segurança todas
do seu gerenciador. Isso possibilita que se tenha
as suas diferentes senhas para
uma única senha para todas as contas, mesmo que
cada uma das diferentes.
você tenha centenas, sem precisar se lembrar ou
até mesmo ver qualquer uma delas. Uma vez que
o gerenciador de senhas armazena todas essas
informações sensíveis, você precisa certificar-se
de que a senha principal seja muito forte e que você não vai esquecer.
Muitos gerenciadores de senhas modernos também podem ser integrados ao seu browser. Quando você
visitar um site na internet, como por exemplo o site da sua loja favorita, o gerenciador de senhas irá se
logar automaticamente por você. Se você mudar a a senha daquele site, o gerenciador também atualizará
essa entrada. Alguns gerenciadores também funcionam em dispositivos móveis, entretanto muitos deles
não funcionam com outras aplicações móveis, eles apenas se integram ao browser do seu dispositivo.
Como Escolher um Gerenciador de Senhas
Existem muitos gerenciadores de senhas de código aberto gratuitos e comerciais para se escolher. Quando
você procurar por um que melhor se adeque às suas necessidades, tenha em mente o seguinte:
• Utilize apenas soluções conhecidas e confiáveis. Fique atendo a soluções que estejam no mercado
há pouco tempo ou que não tenham avaliação. Criminosos cibernéticos podem criar soluções falsas
com o objetivo de roubar suas informações;
• Certifique-se de que, qualquer que seja a solução escolhida, ela continue sendo ativamente
atualizada e corrigida e lembre-se de sempre utilizar a última versão;
• A solução deve ser simples de usar. Se você a achar muito complexa para entender, acabará
facilmente cometendo erros;
• Deve criptografar suas senhas usando solução de criptografia forte com padrão de mercado.
OUCH! | Outubro de 2013
Gerenciadores de Senhas
•
•
•
•
Desconfie da propaganda de qualquer solução com sistema de criptografia proprietária ou
desconhecida;
Deve executar em todos os diferentes coputadores que você utiliza. Algumas versões mais
avançadas também funcionam em dispositivos móveis;
Uma funcionalidade útil é o sincronismo entre os diferentes equipamentos que você utiliza. Se o
aplicativo fornecer esse mecanismo, a base de dados local deve ser criptografada antes de ser
enviada para o sistema central;
A solução deve fornecer ferramentas para gerar senhas arbitrárias e ajudar a gerenciar as datas de
expiração das mesmas;
Ela deve lhe ajudar a identificar se a senha que você escolheu é relativamente forte.
Saiba Mais
Assine OUCH!, a publicação mensal de sensibilização de segurança, acesse os arquivos de OUCH! e
saiba mais sobre as soluções SANS de sensibilização de segurança visitando nossa página em
http://www.securingthehuman.org.
Versão Brasileira
Traduzida por: Homero Palheta Michelini, Arquiteto de T/I, especialista em Segurança da Informação twitter.com/homerop
Michel Girardias, Analista de Segurança da Informação twitter.com/michelgirardias
Marta Visser – Tradutora autônoma
Rodrigo Gularte, Administrador de Empresas, especialista em Segurança da Informação twitter.com/rodrigofgularte
Katia Lucia da Silva, Arquiteta de T/I, Tradutora - twitter.com/kl_silva
Recursos
Revisão dos Gerenciadores de Senha (em Inglês): http://www.pcmag.com/category2/0,2806,2403435,00.asp
Devo Mudar Minha Senha ? (lista de senhas hackeadas, em Inglês): https://shouldichangemypassword.com/all-sources.php
Termos de Segurança Comuns: http://www.securingthehuman.org/resources/security-terms
Glossário de segurança: http://cartilha.cert.br/glossario/
SANS - Discas de Segurança do Dia (em Inglês): https://www.sans.org/tip_of_the_day.php
OUCH! é publicado pelo “SANS Securing the Human” e distribuído sob o licenciamento Creative Commons BY-NC-ND 3.0 license. A
distribuição ou utilização desta publicação em programas de treinamento é permitida desde que seu conteúdo não seja modificado.
Para traduções ou mais informações entre em contato pelo [email protected]
Board Editorial: Bill Wyman, Walt Scrivens, Phil Hoffman, Bob Rudis
Traduzida por: Homero Palheta Michelini, Michel Girardias, Katia Lucia da Silva, Rodrigo Gularte, Marta Visser