Devo confiar nos criadores de senhas como 1Password, LastPass, e Dashlane?
Para a maioria das pessoas, é MELHOR manter suas senhas no cofre do gerenciador de senhas do que as alternativas disponíveis (como usar a mesma senha para várias contas, usar um "esquema" de criação de senhas que produza senhas previsíveis, ou usar lápis e papel como seu cofre de senhas centralizado).
Embora nenhuma aplicação possa ser 100% livre de defeitos e invulnerável a ataques, um bom gerenciador de senhas usa uma defesa em camadas para garantir que suas senhas não sejam expostas mesmo que o serviço seja violado. Um gerenciador de senhas seguro deve:
- Criar, criptografar e decodificar senhas somente em seu próprio dispositivo. Isto garante que os atacantes não podem obter senhas não criptografadas atacando o site do gerenciador de senhas ou roubando o cofre de senhas do armazenamento em nuvem.
- Proteger o arquivo do cofre de senhas com criptografia forte, como AES-256. Ataques de força bruta contra AES-256 são inviáveis, por isso um atacante não pode decifrar sua senha cofre dessa forma - eles devem obter sua senha mestra ou encontrar uma fraqueza no algoritmo de geração de chaves.
- Criar uma senha mestra forte, normalmente dando-lhe feedback sobre a sua força. Isto torna mais difícil para um atacante obter sua senha mestra adivinhando.
- Utilize um algoritmo de reforço de chave como PBKDF2, bcrypt, ou scrypt na sua senha mestra. Isso fornece defesa contra ataques de adivinhação de senha, tornando-os muito mais caros para o atacante, e reforça a criptografia contra ataques de força bruta usando todo o espaço da chave.
Finalmente, Você está encarregado da segurança do seu dispositivo. Esta é a camada final de segurança, porque se um atacante pode ficar sem supervisão no tempo em que está no seu telefone, tablet ou laptop desbloqueado, então todas as apostas estão canceladas. Independentemente de você usar ou não um aplicativo gerenciador de senhas, um atacante que tenha acesso ao seu dispositivo pode instalar key-loggers ou outro spyware para obter acesso a qualquer coisa que você faça. Você deve proteger o seu dispositivo para evitar isso. Eu recomendo controlar fisicamente o acesso ao dispositivo, usando uma senha de login (ou autenticação biométrica) e antivírus e patches de segurança atualizados.
Artigos semelhantes
- Os gestores de senhas online (por exemplo, Dashlane ou LastPass) armazenam as suas senhas em texto claro?
- Ainda devemos usar o LastPass? Ainda é seguro, ou devemos mudar para 1Password ou Dashlane?
- Qual é a vantagem de gerenciadores de senhas como o LastPass sobre a sincronização de senhas como o Firefox Sync?
- Você está mais inseguro usando um gerenciador de senhas como 'LastPass', já que todas as suas senhas estão etiquetadas e em um só lugar?