Você deve usar um gerenciador de senhas? Ponderando os benefícios e riscos

Muitos especialistas em segurança cibernética acreditam que usar um gerenciador de senhas é a melhor maneira de garantir que você tenha Senha forte e única Para cada uma das suas contas online. Enquanto outros subestimam o valor dessas ferramentas.

Para os adversários, os gerenciadores de senhas representam uma vulnerabilidade central: eles são um tesouro de informações altamente confidenciais, protegidas por uma única senha mestra que pode ser perdida, roubada ou hackeada.

• O melhor software gerenciador de senhas Para manter suas contas online seguras.
• LastPass, 1Password e outros gerenciadores de senhas podem ser hackeados: o que fazer?

Então, quem está certo? A equipe do Tom's Guide conversou com diversos especialistas em segurança digital e os entrevistou sobre os prós e contras das soluções atuais de gerenciamento de senhas.

Veja o que eles têm a dizer sobre essas ferramentas tecnológicas controversas, além de algumas dicas sobre como mitigar os riscos associados a manter todas as suas senhas em um só lugar.

Especialistas em segurança elogiam software de gerenciamento de senhas

Nem todos os especialistas em segurança são a favor de gerenciadores de senhas, mas aqueles que são a favor não conseguem imaginar um mundo sem eles. Um ótimo exemplo é Robert Siciliano, analista de segurança de Boston e CEO da Safr.me, que afirmou que, com mais de 650 senhas em uso ativo, ele simplesmente não conseguiria viver sem um gerenciador de senhas.

“Sem um gerenciador de senhas, os usuários acabam recorrendo a senhas fracas sem qualquer gerenciamento”, disse Siciliano em um e-mail. “Eles usarão a mesma senha para todas as suas contas importantes e, inevitavelmente, serão hackeados.” Isso ressalta a importância de usar gerenciadores de senhas fortes para proteger dados confidenciais.

Mas mesmo Siciliano — que enfatizou que não há argumento lógico contra o uso de um gerenciador de senhas — toma medidas para reduzir o risco de ter todas as suas senhas em um só lugar. Essas precauções são essenciais para aumentar a segurança das informações.

Ele explicou que memoriza as informações de login de suas contas mais importantes (como contas bancárias online), mas armazena o restante de suas senhas em um gerenciador de senhas online. Esse equilíbrio entre memorização e armazenamento representa uma estratégia de segurança equilibrada.

“Ninguém consegue lembrar de todas as senhas.”

Morris Tabush, que dirige sua própria empresa de consultoria de TI, Tabush Group, em Nova York, aponta os riscos inerentes à confiança apenas em senhas para proteger Sua identidade digitalEle acredita que os usuários devem fazer o melhor para proteger suas senhas nessa realidade desafiadora.

Para Taboush, a melhor solução é usar um gerenciador de senhas.

“É impossível usar um único nome de usuário e senha para todos os sites e serviços, pois cada site ou serviço tem seus próprios requisitos de senha”, explica Tabosh por e-mail. “Ninguém consegue se lembrar de todas as combinações de nomes de usuário e senhas.”

Tabosh enfatiza a importância dos gerenciadores de senhas para si mesmo e seus clientes, que geralmente são proprietários de pequenas e médias empresas com dezenas de contas online. Ele prefere o RoboForm, da Siber Systems, um aplicativo de gerenciamento de senhas disponível para Windows e Mac, bem como para dispositivos móveis com iOS e Android.

O Tapush RoboForm é a escolha ideal porque funciona em todos os seus dispositivos, incluindo desktops, laptops, iPhones e iPads. Como este gerenciador de senhas online armazena senhas em arquivos criptografados, mesmo que um dos seus dispositivos Tapush seja roubado, o ladrão não conseguirá acessar suas informações de login. Isso fornece uma camada adicional de proteção contra invasão de contas e roubo de dados.

O lado negro da tecnologia digital

É claro que, para cada especialista que afirma não conseguir viver sem um gerenciador de senhas, há outro que prefere passar o resto da vida sem um. Essa divisão de opiniões reflete preocupações legítimas com a segurança de dados.

Essa é a visão de Terry Cutler, cofundador e CTO da Digital Locksmiths, uma empresa de consultoria em segurança cibernética sediada em Montreal.

Em uma entrevista por e-mail, Cutler declarou: "Não sou fã de gerenciadores de senhas. Se um deles for comprometido, todo o seu código será roubado." Cutler acredita que os riscos potenciais superam os benefícios, especialmente à medida que os ataques cibernéticos se tornam cada vez mais sofisticados.

Tyler Regoli, diretor de pesquisa e desenvolvimento de segurança da Tripwire, uma empresa de segurança cibernética em Portland, Oregon, concorda com Cutler. Ele argumenta que gerenciadores de senhas podem causar mais danos do que benefícios, especialmente para usuários domésticos que podem não ter a experiência necessária para configurá-los com segurança.

“Gerenciadores de senhas são a maneira que a sociedade encontra de transferir maus hábitos para o computador”, acrescenta Regoli. “Não é aceitável ‘anotar’ senhas, então, em vez disso, nós as ‘armazenamos’ em nossos computadores. ‘Armazenamento’ é simplesmente o equivalente digital de ‘anotar’.” Regoli explica que depender de um único gerenciador de senhas cria um ponto central de vulnerabilidade, tornando-se um alvo atraente para invasores. Em vez disso, ele recomenda a adoção de melhores práticas de segurança, como usar senhas fortes e exclusivas para cada conta e habilitar a autenticação de dois fatores sempre que possível.

“Não confio em gerenciadores de senhas online.”

Determinar quais ferramentas são seguras e quais não são não é necessariamente uma tarefa fácil. Como Ken Westin, Diretor de Estratégia de Segurança da ReliaQuest, aponta, é difícil saber o quão seguros os gerenciadores de senhas realmente são.

“Pessoalmente, não confio em gerenciadores de senhas online”, disse Westin em um e-mail. “Não é porque eu os considere inseguros; é porque não sei o quão seguros eles são, como armazenam minhas informações e se meus dados estão devidamente criptografados.”

Por conta dessa dúvida, Westin afirmou que não armazenaria suas informações mais sensíveis em gerenciadores de senhas online. Para gerenciar senhas de contas financeiras e de e-mail, Westin recomendou o uso de uma ferramenta offline, acreditando que a segurança de senhas sensíveis exige isolamento de riscos potenciais.

“Para máxima segurança, as senhas para esses serviços [contas financeiras e de e-mail] devem ser armazenadas em um gerenciador de senhas criptografado e offline, como o KeePass, que exija autenticação para ser aberto e tenha backups regulares e seguros”, afirmou Westin. Isso garante que o acesso a essas informações vitais seja adequadamente protegido.

Christopher Burgess, CEO da Prevendra, uma empresa de segurança e privacidade da região de Seattle, sugeriu que qualquer pessoa que não confie em gerenciadores de senhas poderia, em vez disso, rastrear suas senhas manualmente. Esse método oferece controle total sobre dados confidenciais.

“O sistema manual é simples de implementar [usando] dois cadernos”, disse Burgess. “No primeiro caderno, insira as informações da sua conta — nome do serviço, URL, ID do usuário e número de série. No segundo caderno, ao lado do número de série, anote sua senha e quaisquer notas de autenticação. Guarde o segundo caderno em um local seguro e consulte-o quando não se lembrar da sua senha.” Essa abordagem, embora simples, oferece uma alternativa viável para aqueles que preferem controle direto sobre a segurança de suas senhas.

Precauções de segurança a serem tomadas

Embora muitos dos especialistas com quem conversamos tenham opiniões fortes sobre gerenciadores de senhas, muitos especialistas em segurança parecem adotar uma postura intermediária. Eles consideram esses programas ferramentas úteis, mas não perfeitas ou invioláveis.

Como Chester Wisniewski, cientista sênior de pesquisa da empresa multinacional de antivírus Sophos, observou em um e-mail, indivíduos que não escolhem seus gerenciadores de senhas com sabedoria podem acabar entregando "o único anel que governará todos eles".

Wisniewski recomenda procurar por "aplicativos conhecidos e confiáveis. Esses aplicativos devem criptografar os dados localmente e não depender de terceiros para criptografia. Eu, pessoalmente, gosto do LastPass e do KeePass."

Cedric Geno, fundador e CEO da APrivacy, uma empresa de segurança cibernética em Waterloo, Ontário, também enfatizou a importância da criptografia de dados confiável ao decidir qual gerenciador de senhas usar.

Gino explicou que, se o gerenciador de senhas escolhido armazena dados na nuvem, em vez de localmente no seu computador, você deve prestar muita atenção ao país em que suas informações estão armazenadas, quem pode ter acesso a elas e ao serviço do gerenciador de senhas.

Lamar Bailey, gerente sênior de segurança da Tripwire, acredita que as pessoas devem procurar gerenciadores de senhas que tenham recursos de segurança além da criptografia, recursos que podem ajudar a proteger as identidades online dos usuários.

“Muitos gerenciadores de senhas alertam os usuários sobre sites que foram comprometidos ou afetados por vulnerabilidades graves como o Heartbleed”, acrescentou Bailey em um e-mail.

Bailey continuou dizendo que a coisa mais importante a lembrar quando se trata de gerenciadores de senhas é a senha mestra que você usa para proteger a ferramenta.

Bailey enfatizou que "qualquer gerenciador de senhas é tão seguro quanto sua senha mestra. Portanto, os usuários devem sempre garantir que a senha do seu gerenciador de senhas seja muito forte e alterá-la com frequência".