Fundo azul, com uma chamada para um PlayStation 5 no centro. À esquerda, a frase “Ofertas de verdade, lojas seguras e os melhores preços da internet.” À direita, “Baixe o app do Promobit”.

Para sua segurança, esqueça suas senhas

Mão com uma pinça colocada sobre a palavra “PASSWORD” em uma tela, destacada, em meio a incontáveis zeros e uns.

O NordPass, gerenciador de senhas da NordVPN1, fez um levantamento das senhas mais comuns que as pessoas usam. Eles analisaram um banco de dados de 4 TB junto a pesquisadores independentes para descobrir que a senha mais popular é 123456.

Não é preciso ser um gênio para desconfiar de que 123456 não é uma boa senha.

Segundo o próprio NordPass, a senha 123456 pode ser quebrada em menos de um segundo. As 13 primeiras senhas do ranking global são igualmente fracas. A primeira senha que representa uma barreira real aparece apenas na 54ª posição: myspace1 leva cerca de 3 horas para ser decifrada e é a melhor das 200 exibidas na listagem.

Levantamentos do tipo se tornaram comuns nos últimos anos, ajudados pelos cada vez mais frequentes vazamentos de dados. Em todos eles, as primeiras posições são sempre ocupadas por senhas preguiçosas e fracas. 123456, qwerty (olhe para o seu teclado para entender esta), abc123, senha, gabriel (15ª mais comum no ranking brasileiro do NordPass). E ainda tem aquelas senhas baseadas em dados pessoais, que não costumam emergir nesses agregados, mas são igualmente fracas. A data de nascimento, o nome do cachorro, gabriel também.

Conclui-se dessa constante que o ser humano é preguiçoso e um péssimo avaliador de riscos. Por mais improvável que seja alguém torná-lo(a) alvo de uma tentativa de acesso não autorizado, pode acontecer. Na escala dos serviços mais populares, com centenas de milhões, às vezes bilhões de usuários, qualquer fatia mínima de usuários afetados se traduz em números absolutos enormes.

Há anos, especialistas em segurança tentam ensinar o público a criar boas senhas. A liderança inabalável do 123456 é forte evidência do fracasso dessa abordagem. Proponho algo em sentido contrário: livrar as pessoas do trabalho de criar e se lembrar de senhas.

Não é uma ideia original, nem mesmo nova, mas talvez ainda seja desconhecida do grande público. Existe uma categoria de aplicativos, os gerenciadores de senhas, que se ocupam disso. Eles geram senhas longas e complexas e preenchem formulários quando requisitados. Você efetivamente deixa de saber as suas senhas. Terceiriza esse trabalho, estafante para qualquer ser humano, à máquina. E, olha que loucura, fica mais seguro(a). Só vantagens!

Janela de geração de senha do KeePassXC.
Qual a minha senha? Não tenho a mais vaga ideia.

Nesse cenário, só é preciso saber uma senha: a do gerenciador de senhas. E aí, convenhamos, dá para vencer a preguiça e criar uma senha boa. Longa, com caracteres diversos, que não conste no dicionário. É ela, e somente ela, que você terá que guardar na memória. É mais fácil e mais seguro do que ter que se lembrar de dezenas de senhas meia-boca.

Todos os sistemas operacionais e navegadores web mais populares do mercado têm gerenciadores de senhas embutidos e seguros. É preferível, porém, delegar essa tarefa a um software de terceiro, por dois motivos:

  1. Por serem multiplataforma, ou seja, funcionarem em sistemas distintos. Se você opta pelo Chaves da Apple, por exemplo, só terá acesso às suas senhas em dispositivos Apple e no Safari — e, estranhamente, no Chrome do Windows.
  2. Apps à parte não estão vinculados ao sistema e, portanto, ficam isolados (e seguros) em caso de uma invasão. Se você guarda suas senhas no Chaves da Apple, caso alguém invada seu iCloud é xeque-mate: o atacante ganha de brinde todas as suas senhas.

Existe um bom número de gerenciadores de senhas confiáveis: 1Password, Dashlane, LastPass, Bitwarden, KeePassXC, o próprio NordPass, citado no início da coluna. Alguns são pagos, outros gratuitos; todos têm geradores de senhas robustos, aplicativos para celulares e fazem o trabalho de preencher automaticamente formulários de login em sites e apps.

No momento, minha recomendação geral é o Bitwarden, que é freemium, com um plano gratuito suficiente, e tem o código-fonte aberto.

Pessoalmente, tenho usado o KeePassXC, também gratuito e de código aberto. A principal diferença para o Bitwarden é que ele deixa na mão do usuário a guarda do “cofre”, o arquivo criptografado que contém todas as suas senhas. No Bitwarden, esse arquivo fica na nuvem, criptografado também. Ambos são extremamente seguros; o Bitwarden é mais cômodo.

O fim do ano está aí e é uma boa oportunidade para adotar um gerenciador de senhas e criar novas senhas. Redefinir e/ou migrar todas as senhas para o gerenciador pode ser algo cansativo, mas não precisa. Vá trocando e passando as senhas ao gerenciador na medida em que se depara com formulários de login. Devagar e sempre.

Senhas fortes são só um aspecto de uma boa estratégia de segurança digital. Existem outros menos básicos, mas igualmente importantes, como a autenticação em dois fatores. No segundo semestre de 2020, apenas 2,3% dos usuários do Twitter tinham o recurso ativado em suas contas. Podemos fazer melhor que isso.

Foto do topo: Psyomjesus/Wikimedia Commons.

Este post saiu primeiro na newsletter do site. Cadastre-se gratuitamente para receber os próximos direto no seu e-mail.

  1. A NordVPN já anunciou no Manual do Usuário.

Deixe um comentário

Seu e-mail não será publicado. Dúvidas? Consulte a documentação dos comentários.

27 comentários

  1. Estou há alguns dias pesquisando sobre o assunto. Enveredei por APPs open source na F-Droid e em pesquisar um novo gerenciador de senhas.
    Depois de alguma pesquisa e das opiniões do Ghedin que encontrei aqui no Manual, acabei optando pelo Bitwarden. Antes dele usa o LastPass há alguns anos e confesso que depois da limitação de apenas 1 aparelho para os usuários grátis, fiquei irritado. Continuei usando mesmo assim e fui me adaptando. Mas, havia algumas falhas que me incomodavam.
    Uma surpresa na minha pesquisa foi descobri que os servidores do LastPass já haviam sido invadidos.
    Pensei muito em usar um App onde deixasse a sincronia do cofre comigo, mas fiquei preguiçoso para configurar isso. Pois, eu acabaria colocando dentro de um ‘drive’ desses. Fiquei com medo de fazer algo errado… não sei.
    Quero ver se o bitwarden preenche melhor na hora de logar do que o LastPass.
    Antes destes dois usei o Samsung Pass. Achei tranquilo o uso, o problema é que não tinha versão para desktop e ficava complicado buscar no celular toda hora. Mudei para o Last quando troquei para o iOS. Até pensei no gerenciador de senhas da apple, mas de novo esbarrava na hora de usar no PC. Na epoca me pareceu uma boa opção.

    Considerei o KeePass, mas fiquei confuso com as suas versões: XD, X, A, B e etc…

    Aqui nos comentários vi o Safe In Cloud e me pareceu bom. Só há uma questão, nele é você que cuida da sincronização do cofre. Olhando a Play Store vi que se você tiver o Play Pass, tem a versão PRO sem custo adicional. Quase fiquei com ele para testar. Mas a sincronia do cofre me preocupou… vi um comentário na playstore relatando que perdeu acesso ao cofre depois de uma atualização. Ele diz que está com a senha certa, mas não conseguiu desbloquear… até o suporte do safe in cloud tentou ajuda-lo. Sem sucesso.

    Penso que estou ficando velho…. quero coisas fáceis…

    1. Complementando:

      Estou pesquisando agora app OTP. Uso o Authy que me atende. Não tive nenhuma questão com ele, mesmo assim decidi olhar/procurar outros que possam ser melhores.

      Sobre o bitwarden, a transferência de cofre foi quase tranquila. O LastPass não gera o arquivo .csv completo. Levei um susto na primeira tentativa. Quando você realiza o processo ele abre uma janela com todos os dados e em seguinda baixa o arquivo. Contudo, você deve ignorar o arquivo e copiar os dados na janela, estes sim, estão completos. Aí você cola na janela do bitwarden e só alegria.

  2. A maioria dos serviços oferecem a opção de trocar a senha de sites e apps via e-mail.
    No caso de roubo ou perda do dispositivo, a pessoa tem total acesso ao seu e-mail para realizar a troca da senha pelo próprio dispositivo.
    Até você conseguir bloquear o aparelho ou trocar senhas, muitas vezes o estrago já foi feito.
    Foi assim que um parente perdeu R$ 5 mil de um banco digital e após contestação o banco disse que o acesso “foi legal”. O caso vai para justiça.
    Após a ciência deste fato de alguém bem próximo, passei a tomar uma série de cuidados que antes não tinha.

    1. Por isso você deve configurar a autenticação em dois fatores no e-mail. Aí, mesmo se a sua senha vazasse, um criminoso não conseguiria ter acesso à sua caixa de entrada.

  3. Se as senhas são secretas e criptografas, como eles têm acesso pra fazer esses relatórios, né?

  4. Olá. Na opção que não armazena na nuvem, como carrego comigo se precisar acessar um login específico em outro dispositivo? E na opção que armazena na nuvem, e se interceptarem minha senha… já era! Me interessa muito esse recurso, mas ainda tenho muita insegurança / pouca confiança.

    1. Eu mantenho o meu cofre do KeePassXC sincronizado entre dispositivos usando o Syncthing, mas poderia ser com qualquer desses serviços de nuvem — iCloud, Dropbox, OneDrive.

      E, sim, se sua senha for comprometida, já era. Daí a importância de criar uma senha muito forte.

    2. Dificilmente a sua senha será interceptada no trânsito entre o seu dispositivo e a nuvem.
      Se acontecer, é bem provável que ela seja comprometida dentro do seu dispositivo. O que é bem improvável.
      O que pode acontecer é alguém roubar o seu cofre e tentar quebrar a senha na força bruta. Por isso, dependendo do tamanho da sua senha, talvez isso nunca aconteça.
      Outro modo é através de engenharia social, mas isso é outro assunto.

    3. Eu uso uma senha relativamente forte, mas simples no Bitwarden. E, logicamente, uso 2FA. Só vai dar ruim se houve um vazamento massivo nos servers da Bitwarden.

  5. Já venho usando gerenciadores de senhas tem um tempo já. Primeiro usei o LastPass, pela facilidade de uso. No entanto, eles começaram a cobrar por algumas funcionalidades básicas, e também devido a alguns bugs (e vazamentos) resolvi mudar. Depois fui para o KeePass, onde me habituei, porém a interface dele é bastante… espartana (o que não é incomum para um software livre), além do app para Android ser um pouco lento também.

    Então eu comecei a analisar algumas outras opções e fiquei entre o Bitwarden e o MYKI. Acabei optando pelo MYKI, que parece ser bem desconhecido, pois em nenhuma lista de recomendações ele aparece. Mas o que me atraiu nele é que ele não depende de nenhuma “nuvem” para sincronizar as senhas. Você configura uma conta no PC ou no celular e se você quiser sincronizar outro dispositivo, precisa conectar ao primeiro dispositivo, que faz uma cópia desse banco. Daí em diante, todos os dispositivos sincronizam as alterações entre si. Outra coisa que me atraiu é que ele não possui assinaturas, mas dá pra desbloquear umas “features” extras com uma compra única (por exemplo, uma opção para mudar os ícones das contas, outra pra criar tags, outra pra criar perfis diferentes, etc.). Fica aí a indicação.

    1. Não conhecia esse app.
      Gostei.
      É bom pegar esses apps/serviços no inicio e pagar o valor cheio enquanto são desconhecidos e mais em conta.
      Depois eles crescem e o preço aumenta junto ou colocam assinatura.

    2. Só de curiosidade, você usa algum app pra 2FA? Eu tava de olho no MYKI pela opção de preencher o 2FA automaticamente, mas a preguiça de migrar os códigos do Authy sempre foi maior.

      1. Estou na mesma situação, uso o Authy mas tenho preguiça de migrar tudo pro MYKI. Algumas contas novas eu já venho cadastrando lá.

        PS: o MYKI permite preencher o 2FA automaticamente? Não sabia. No máximo, ele aparece automaticamente o código pra copiar na extensão do navegador.

        1. Foi isso aí que quis dizer, a função de autocompletar. Seria uma mão na roda não ter que procurar o app e ler o código a cada login (eu limpo o histórico com frequência, então acontece mais do que deveria).

  6. Há dois anos uso o Bitwarden e simplesmente não tenho nada para reclamar. Tenho o app no Android e uso a extensão para navegador. Se preciso usar um outro dispositivo que não é meu, acesso a versão web e pego as senhas. Um brinde muito interessante da versão free é poder criar uma coleção, restrita a uma pessoa nessa versão, mas que me permite deixar as senhas dos ‘netflixs’ da vida, disponíveis para a minha família. Como faço a mudança da senha de forma recorrente, não tenho o trabalho de ficar repassando a senha novamente para eles. Não tenho a mínima ideia de nenhuma outra senha sem ser a do gerenciador. 😁

  7. Senha é uma coisa que me dá dor de cabeça e eu nunca chego a nenhuma conclusão. Ainda não fui convencida pelos gerenciadores, sempre acho arriscado (“como assim deixar todas as minhas senhas em um programa???”).

  8. Existe uma implementação do Bitwarden chamada Vaultwarden (https://hub.docker.com/r/vaultwarden/server) para quem quer pode hospedar o proprio serviço de senha, inclue todos beneficios do Bitwarden (usa o mesmos apps), mas tem o suporte ao senhas de duas etapas que só tem na versão paga do Bitwarden.
    1GB de RAM e 1CPU é mais que suficiente, qualquer free tier de GCP, AWS, DigitalOcean é aguenta.

    1. Conheço essa modalidade e cogitei citá-la no texto, mas é um tanto complexa para pessoas comuns.

      Quanto à autenticação em dois fatores, prefiro manter em aplicativos separados. Afinal, com tudo no mesmo, se o seu cofre é comprometido o atacante já tem a faca (senha) e o queijo (2FA) na mão.

      1. Penso a mesma coisa, Ghedin. Nunca vi sentido em usar o 2FA do gerenciador de senhas, por isso sempre usei o Authy em paralelo.

  9. o complicado tb são os sites que colocam regras pra senha, tipo “só pode até tanto caracteres, não pode caractere especial”

    1. Sim! Mas o pior mesmo são sites que dão erro e não avisam o porquê do erro. Agora estou mais esperto, mas já perdi um tempão tentando me cadastrar em lugares com regras arbitrárias de senhas e que não informam corretamente o erro.

  10. O gerenciador que uso há ANOS e nunca me deixou na mão é o SafeInCloud. Nunca vejo ele sendo mencionado nos artigos sobre o assunto, embora seja muito bom e tenha todas essas funções aí (exceto 2FA). Tem apps dele pra Android, iOS, Windows, Mac e extensões para os principais navegadores, bem como possibilidade de sincronia através do Google Drive, Dropbox, OneDrive, iCloud e outras nuvens (WebDAV). O que mais gosto nele é que é compra única, sem assinatura.

Compre dos parceiros do Manual:

Manual do Usuário