Reviravolta Digital
Quase todos os serviços na internet que te inscreves pedem-te para "criares" uma nova palavra-passe. Aqui mesmo, a dica está na palavra "criar". Eles NÃO te pedem para reutilizares a mesma palavra-passe que forneceste para todas ou para a maioria das outras contas que tens na internet, mas simplesmente para gerares uma palavra-passe completamente nova que é suposto ser ÚNICA para esee serviço em particular.
O teu e-mail/nome de utilizador já é fácil de perceber, uma vez que são, na sua maioria, visíveis publicamente. Por isso, na maioria dos casos, é apenas a tua palavra-passe que é necessária para manteres a tua conta segura contra acessos não autorizados. Depois vem a parte em que decides criar palavras-passe complexas (algo aleatório e totalmente alheio a qualquer coisa da tua vida) mas que acabas por guardar no teu browser para facilitar a gestão. Isso é um erro, as palavras-passe nunca devem ser escritas ou armazenadas em lugar algum, a menos que tenhas a certeza de que não podem ser acedidas sem quebrar a encriptação.
Gestores de Palavras-passe?
A resposta é um grande e gordo SIM. Um gestor de palavras-passe irá resolver todos os teus problemas relacionados com senhas depois de te habituares a usa-los. Começa por criar palavras-passe fortes e aleatórias, continua e guarda os detalhes do teu banco ou cartão de pagamento e outras informações seguras. Só tens de te lembrar de uma única password, chamada 'Master Password', que será a tua chave para entrar no 'cofre' onde todas as tuas passwords são guardadas. Ajuda a tornar tudo tão organizado; antes de eu começar a usar um gestor de palavras-passe, nunca me tinha apercebido que tinha mais de 200 contas sob diferentes serviços espalhados pela Internet.
Não costumas fazer um resmungo quando te pedem para mudares frequentemente as palavras-passe após um certo período? Mesmo isso se torna fácil porque já não tens de ser criativo, apenas regenera e substitui a palavra-passe antiga no teu cofre.
São hackeáveis?
Ao longo dos anos, mesmo que os ciber-criminosos tenham deitado as mãos em alguns endereços de e-mail, nunca foram capazes de os invadir. Isto porque as 'Master Password' são protegidas com segurança de nível militar (AES-256), escondidas atrás de milhares de rondas de hashing, ou algoritmos que convertem strings de texto em strings de texto mais longos. Até agora, nenhum gestor de palavras-passe respeitável teve as 'Master Password' dos consumidores divulgadas (que nós saibamos).
Escolha de um gestor de palavras-passe?
Bitwarden - Um gestor de palavras-passe grátis com o qual estabeleci usar durante depois de experimentar alguns outros. É completamente código aberto e pode ser alojado por qualquer pessoa. Existem aplicações disponíveis para todas as plataformas e extenções para todos os navegadores, para que possas ter as tuas palavras-passe na ponta dos teus dedos em todo o lado. Todas as tuas palavras-passe serão encriptadas com AES-256 e PBKDF2 pela 'Master Password' que definiste e, por isso, só poderás ter acesso a ela por ti. Podes usar qualquer domínio de Bitwarden sem medo. Domínio oficial - vault.bitwarden.com
Dashlane ou 1Password - Estes são ambos gestores proprietários e vêm com restrições de pagamento, o plano gratuito (se disponível) permite-te ter as tuas passwords num dispositivo de cada vez. E se estás pronto para pagar pelas funcionalidades, vai em frente.
KeepassXC - Este é outro gestor de palavras-passe de nível militar, gratuito e de código aberto. A única desvantagem é que não há sincronização em tempo real entre dispositivos, a menos que uses um armazenamento em nuvem juntamente com ele. As palavras-passe são armazenadas num ficheiro encriptado localmente que podes mover offline. Isto é para pessoas que não querem a sua informação segura em lado nenhum na internet e é preciso uma grande quantidade de conhecimentos técnicos para a configurar.
GNU Pass - Um simples gestor de palavras-passe embora seja para a linha de comando, existe uma versão GUI. Pass é essencialmente um script de shell que faz uso de ferramentas existentes como GnuPG, Tree e Git. Com Git tens a possibilidade de exportar as tuas palavras-passe para outros disposítivos como Android ou iOS. Podes também as extenções de navegadores Firefox e Chrome feitas pela comunidade.
Eu pessoalmente recomendo Bitwarden em vez de qualquer solução proprietária, uma vez que não só é barata/gratuíta, como também estarás a apoiar uma empresa que apoia o FLOSS (Free/Libre and Open Source Software). Para auto-hospedagem de um servidor Bitwarden com todas as funcionalidades empresariais desbloqueadas, verifique Vaultwarden.
Autenticação Secundária (2FA)
Para além das palavras-passe, 2FA acrescenta uma camada extra de segurança para verificar a autenticidade do proprietário. Existem diferentes tipos de 2FA. Para pessoas que desconhecem o termo, o OTP ou a verificação por correio electrónico que se realiza para alguns serviços (bancos, por exemplo) é um tipo de 2FA. Vários serviços oferecem agora o 2FA em "Definições de Segurança", juntamente com um guia sobre como configurá-lo. A utilização de uma aplicação de autenticação para o código 2FA é a melhor opção, os SMS e o Email podem ser obtidos com algum conhecimento, mas as bases de dados do código 2FA são mais difíceis de invadir. Eu pessoalmente uso GNU Pass OTP para as minhas necessidades de 2FA, mas também sugiro Aegis Authenticator, Authy, FreeOTP ou FreeOTP+ e o Bitwarden também têm suporte a OTP.
Que conselhos tenho para ti?
- Escolhe uma palavra-passe muito forte e facilmente memorizável para o teu cofre e nunca a escrevas em lado algum.
- Nunca guardes as palavras-passe no teu navegador; desliga sempre a opção 'auto-salvar palavras-passe' das definições do teu navegador.
- Mantém um curto espaço de tempo para que o cofre do teu gestor de palavras-passe não fique desbloqueado por muito tempo no caso de te afastares do teu dispositivo.
- No início, parece avassalador mas em breve ficarás confortável e sentirás o controlo e a segurança.