Por Lucas Teixeira | #Boletim12

No artigo do boletim passado, falamos sobre a criação de senhas seguras contra softwares de força bruta. No final, demos alguma atenção para o problema de guardar tantas senhas difíceis — e a solução dos chaveiros ou gerenciadores de senha.

Eles podem ser pensados como cofres de segredos. Você coloca suas senhas lá dentro, e protege tudo com uma única senha mestra. Quando precisar usar a senha do webmail, por exemplo, é só desbloquear o acesso pra poder copiá-la.

Como as senhas de cada serviço não precisam mais ser lembradas, Alice pode simplesmente copiá-las e colar no campo de senha. Ela usa um gerador de senha, presente no programa, para criar senhas aleatórias cada vez que ela se inscreve num serviço novo.

Isso é bom por dois motivos:

• Ela tem uma senha para cada site. Compartilhar a mesma senha entre vários serviços é muito ruim porque uma vez que alguém com más intenções a descubra, pode afetar toda a sua vida digital de uma só vez. Vazamentos de dados através de invasões ou bugs vêm comprometendo cada vez mais sites grandes e pequenos (consulte o Have I been pwned? e veja se você dançou em algum caso documentado) e muitas vezes as senhas são expostas junto, com proteções fracas ou inexistentes de hashing.
• As senhas são muito fortes. Como são produto direto da entropia, o tempo gasto para quebrá-las por “força bruta” é o máximo que a gama de caracteres usada e o tamanho da senha oferecem. O que vier por padrão no programa provavelmente será suficiente. Colocar caracteres de pontuação (^~$%&…) aumenta a força da senha, mas torna mais difícil de digitar em um teclado de celular do que somente letras maiúsculas, minúsculas e números (estou deixando de lado detalhes sobre backdoors no processador; se estiver protegendo suas senhas contra a NSA ou a GCHQ, o buraco é mais embaixo).

Vale lembrar que nada no programa faz com que a senha do Gmail se torne de fato a que Alice gerou — ela precisa trocar a senha antiga manualmente caso já possua uma conta. O papel do gerenciador (sem plugins específicos para isso, claro) é somente guardar esses segredos de forma segura e dar acesso a eles para quem souber a senha.

Software

Há inúmeros programas de chaveiro disponíveis em cada plataforma. Há uma lista de softwares (incompleta mas abrangente) na Wikipedia anglófona.

Nós recomendamos o KeePass por alguns motivos: ele tem licença livre (e por isso código aberto para consulta); é um software multiplataforma e maduro, desenvolvido desde 2003; está sendo ativamente mantido e possui bastante documentação em português, como o passo-a-passo completo do Security in a Box e tutoriais em vídeo no Youtube.

Na página de download do KeePass há duas versões: a Professional é a melhor escolha; a Classic está disponivel principalmente para compatibilidade com sistemas antigos.

Outra boa opção é o Password Safe. Pensado do zero pelo especialista em segurança Bruce Schneier, o projeto hoje é mantido por um grupo voluntário. Seu design minimalista traz menos funcionalidades, mas ao mesmo tempo uma superfície de ataque menor.

Para quem prefere trocar a segurança do código aberto por comodidade, algumas soluções proprietárias como o 1Password e o LastPass oferecem opções de sincronização entre dispositivos, backups e suporte técnico.

Dicas

Antes de usar qualquer funcionalidade de sincronização ou de guardar seu chaveiro na nuvem deve ser avaliada com cuidado de acordo com suas necessidades e modelos de ameaça. Isso facilita o acesso às senhas e pode diminuir o risco de você perder o arquivo (e com ele todas as suas senhas!), mas como dizem, “não há Nuvem, somente computadores de outras pessoas”. Mesmo se você não liga para o acesso da NSA (pois deveria), seu chaveiro ainda pode estar à mercê de ataques e você deve controlar bem o acesso aos seus dados.

A senha do chaveiro deve ser a mais forte que você já criou — especialmente se você o guarda “num computador de outra pessoa”. Siga os conselhos do nosso artigo sobre senhas: relaxe e libere suas sinapses, faça poesia… ou jogue dados com o método Diceware.

Se não todos, a maioria dos chaveiros permite usar “arquivos de chave” (keyfiles) como uma proteção adicional. A ideia é guardar esse pequeno arquivo em um local separado (um pendrive, por exemplo) e usá-lo no lugar ou em combinação com uma senha. Assim, alguém que tome controle da sua máquina ou invada seu serviço cloud não poderá nem tentar quebrar a senha por força bruta.

Tome sempre cuidado com algumas operações críticas: faça backups com frequência e preste atenção para não sobrescrever ou apagar uma senha quando for gerar uma nova. Não guarde todos os ovos na mesmo cesta — é interessante criar chaveiros separados (com senhas separadas) para cada identidade digital ou projeto conjunto.