Todo mundo deveria usar algum gerenciador de senha e vou passar minha experiencia por alguns.
Comecei no queijo suíço Lastpass a muitos anos (muito antes dos milhares de vazamentos). Ai fui para uma solução mais local, no caso o Enpass que oferecia licenças lifetime, mas ele tinha a limitação para contas famílias.
Por ultimo decidi auto hostear um Vaultwarden que é um fork em Rust do Bitwarden, então usa dos mesmos apps. Mas como toda solução auto hospedada precisa se preocupar com backups e segurança e bateu uma crise de TI que não quero mais isso haha!
A vantagem dele é que tanto duas etapas quanto senhas ficavam juntos, muito pratico para auto preenchimento. MASSSSS em algum momento o Ghedin deu um toque em um comentário de não color tudo na mesma cesta. Faz sentido, se vazar uma coisa, vaza tudo, mas a preguiça era grande de mudar.
Enfim, agora migrei tudo para o Bitwarden oficial e aproveitei para organizar o grupo entre mim e minha esposa para algumas senhas compartilhadas.
Esse processo de compartilhar é um pouco burocrático no Bitwarden, muitas aprovações e cliques, mas é bem dinâmico, pode definir regras de limites de acesso e pastas separadas. Uma vez configurado fica muito bom, inclusive uma opção de compartilhar a senha, mas não deixar ela ver, só funciona para o auto preenchimento (claro, se a pessoa não tiver habilidades técnicas, será suficiente).
Quanto a duas etapas eu finalmente migrei tudo para outra solução, achei a mais interessante o 2FAS (https://2fas.com/), de código aberto, pode optar por sincronizar com Google Drive, é pratico, mas o recomendado é só fazer um backup manual mesmo em dois pen drivers que seja. A extensão de browser permite “buscar” e aprovar no celular o envio da chave, bem prático.
Pode jabar? Minha sugestão sobre o tema…
https://literolinguista.gitlab.io/textos/senhas.html
Caro, li texto e o que posso te sugerir é que ao invés de pensar combinações como a descrita, pense em frases longas como estrofes de música, que são simples de lembrar, e mesmo sendo compostas apenas por caracteres, o tamanho delas aumenta mais que exponencialmente o número de combinações possíveis, dificultando um ataque de dicionário e mesmo força bruta.
Por exemplo, uma senha tipo quemumdiairadizerquenaoexisterazaonascoisasfeitaspelocoracao é simples de memorizar e praticamente impossível de quebrar mesmo em computadores possantes.
Gostei da ideia das frases longas, mas acredito que seja importante manter os caracteres especiais, principalmente a vírgula (usada como separador nos arquivos CSV) porque, primeiro, é um requisito obrigatório da maioria das plataformas que exigem senhas, segundo, porque nos testes de força bruta que fiz usando a combinação Hydra e Crunch, senhas não alfanuméricas são fáceis de se quebrar com computadores comuns.
Qualquer sistema que envolva padrões é arriscado porque se uma senha vaza, o padrão vaza, aí todas as suas senhas ficam vulneráveis.
O método que eu adoto é terceirizar a criação de senhas para o gerenciador: 64 caracteres absolutamente aleatórios, com letras, números e caracteres especiais, que nem eu sei. (Abro uma exceção a contas vitais, como de e-mail e da Apple; nesses casos, uso frases longas, em pt_BR mesmo.)
No caso sugerido no texto, os padrões são variáveis de acordo com aspectos muitos subjetivos, além dos sites acessados…
Nos meus tempos de ingenuidade (e ignorância) tecnológica, usava um arquivo .xls bloqueado com senha. Mas isso foi há muito tempo atrás, antes de ouvir falar de gerenciadores de senhas…
Comecei usando o KeeWeb (que é uma implementação do KeePass) sincronizado entre dispositivos por um arquivo critografado via Dropbox. Gostava muito da inteface e facilidade de uso. Porém, não tem aplicativo para celular, usava versão via navegador mesmo (instalado como PWA) o que não chegava a ser um problema. Usei por muito tempo dessa forma, mas aí surgiu a necessidade de compartilhar algumas senhas com minha esposa e complicou um pouco… A partir daí migrei para o Bitwarden e temos um cofre compartilhado, com as senhas pessoais. Também tenho outr cofre para senhas do trabalho.
Para 2FA, comecei usando o Google Authenticator apenas no celular. Quando iniciei meu processo de “deGooglar”, migrei para o Authenticator (F-Droid) e em seguida para o Aegis no celular. Uso também o Gnome Authenticator no Linux. Como não tem sincronia entre esses dois, quando crio um código em um, exporto via QRCode ou link para o outro.
10 dolares mais bem pagos da vida. Uso o bitwarden também.
Aqui eu me viro com o Bitwarden, preciso melhorar a questão das senhas corporativas que estão junto das pessoais mas são bem poucas.
Para 2FA eu uso o Authy há alguns anos e não tenho muito do que reclamar, gosto da flexibilidade de usar em vários dispositivos.
Acompanhando de perto esse tópico. Pela primeira vez na vida, depois de muitos esforços, comprei um Mac. E estou tentando finalmente me organizar digitalmente.. aparentemente gostaria de usar o 1password, sei lá, tenho a impressão q é o q me passa mais segurança, no entanto tem q pagar mensalidade.. se houvesse uma compra definitiva eu compraria. Por enquanto tenho usado o Bitwarden e p autenticação o Authy …mas preciso repensar e me organizar
Eu usei o 1Password nas primeiras versões, quando ainda podia guardar de graça o backup dentro do Drive. É um ótimo aplicativo, mas hoje não vejo tanta vantagem comparando com outras aplicações.
Achei legal o 2FAS, não conhecia.
Já comentei minha configuração em um Post Livre, mas segue para registro:
Utilizo o Passman, uma extensão do Nextcloud para gerenciamento de senhas que tem extensões para navegadores e um aplicativo Android. Apesar de fazer uso dela, digo apenas para quem tem interesse que “vá por sua conta e risco” porque há várias questões em ter que ficar responsável por algo crítico assim… para mim o Passman me atende bem, as senhas estão criptografadas no banco e tal. Já tive alguns problemas menores com ele e há também as questões de se a extensão será bem mantida, se bugs de segurança serão corrigidas em tempo hábil, etc. Por isso, é bom pensar bem antes de embarcar nessas.
No Passman mantenho 3 cofres com as seguintes divisões: no cofre 1 mantenho meus usuários e senhas; no cofre 2 vão os códigos 2FA OTP/TOTP; no cofre 3 vão os códigos de desativação dos 2FA. Dessa configuração a parte mais importante é separar os usuários e senhas dos códigos 2FA – não faz sentido você ter “senhas em 2 fatores” salvos e acessíveis em um mesmo cofre/dispositivo/etc.
Apesar do suporte a 2FA o Passman não tem uma interface bacana no celular para essa função, então acabou usando o Aegis também. Então meus 2FA estão salvos tanto no Passman quanto no Aegis.
Imagino então que você tenha alguma nuvem de Nextcloud auto hosteada ou paga por esse serviço a parte?
Essa sempre foi uma preocupação grande quando tinha o Vaultwarden, eu gerava uma imagina diária do servidor e ainda copiava um backup para o Dropbox por meio de uma ponte (BackupSheep), de uma forma que se alguém entrasse no servidor não tivesse acesso aos backups.
Sim, tenho uma instância própria do Nextcloud. Faço backups do conteúdo do Passman com uma frequência baixa pq quase não crio mais logins por lá. É bom que a ferramenta permite exportar o conteúdo em CSV ou JSON, que poderiam ser utilizados para importar em outro app (tipo algum Keepass da vida). Aí criptografo o arquivo exportado e deixo em algum lugar.
Comecei pelo KeePass, migrei para o Last Pass, que cheguei a pagar por um tempo mesmo sem ter quase nenhuma vantagem por isso, e estou hoje no Bitwarden desde que o Last Pass fez aquela mudança praticamente inviabilizando a conta gratuita pra mim (que sorte).
Para 2FA eu comecei pelo Google Authenticator, até que mudei de aparelho e percebi que precisava de algo que sincronizasse. Estou desde então com o Authy.
Estou com esse mesmo setup, Bitwarden + Authy
Para as chaves 2FA, eu sempre utilizei o Authy, era o único que eu conhecia. Acho que ele sincroniza nos servidores deles mesmos, e nunca me atentei se eles já tiveram problemas. Alguém sabe ou indicaria o 2FAS como uma opção melhor? (só a interface do aplicativo já me atraiu)
Authy foi comprada pela Twilio e tem código fechado, não é exatamente um problema, é bem famoso e nunca sofreu com vazamentos (ou nunca soubemos). Como já existem alternativas de código aberto tão boas quanto acho que vale ao menos testar.
Por muito tempo eu usava os dois no Bitwaden, mas depois de muita conveniência, resolvi não deixar todos os ovos na mesma cesta. Essa frase eu tinha visto no reddit aliás. Eu uso WinAuth no Window e o Aegis no Android. Ambos só entram com senha e fazem backup encriptado. Optei por essa opção, pra não perder acesso as minhas contas de jeito nenhum.
Pra quem tiver interesse, todos os apps citados são de graça.
Eu vi o Aegis pelo Importar do 2FAS, é bacana também por ser opensource, mas quando testei achei o 2FAS mais refinado e tem a opção da extensão no Browser. Outra diferença é a divisão de categorias, porque tenho coisas do trabalho aqui.
Boa, Renan!
Nunca tinha ouvido falar nesse 2FAS. Ele faz backup dos códigos mesmo? Porque todo serviço que oferece 2FA gera, no momento do cadastramento, os códigos de backup. (Eu guardo eles em um cofre à parte do KeePassXC, meu gerenciador de senhas.)
Não sei se vou responder sua duvida, mas:
Se você exportar o arquivo de backup sem senha, ele gera um JSON com tudo aberto, vai os nomes, algoritmo e a CHAVE. Quando pede pro App salvar com senha, inclusive para sincronizar no Google Drive ele salva tudo encriptado e imagino que nesse caso só o proprio 2FAS conseguiria importar.
É isso?
Isso. Quando diz que o 2FAS exporta tudo encriptado, ele pede uma senha para restaurar esse backup no próprio app?
Isso!