Seu gerenciador de senhas é realmente seguro?

Analisamos como os gerenciadores de senhas são seguros contra invasões e como proteger suas senhas ao máximo possível.

No ano passado, vimos uma enxurrada de notícias sobre vazamentos de dados pessoais de vários serviços online e até mesmo de gerenciadores de senhas populares. Se você usa um cofre digital, ao ler sobre esse tipo de roubo de informações, provavelmente começará a imaginar um cenário de pesadelo: cibercriminosos acessaram todas as suas contas cujas credenciais de acesso estão armazenadas em seu gerenciador de senhas.

Até que ponto esses medos são justificados? Usando o exemplo do Kaspersky Password Manager, mostraremos como funcionam as múltiplas camadas de defesa dos gerenciadores de senhas e o que você pode fazer para fortalecê-los.

Princípios gerais

Para começar, vamos analisar por que os gerenciadores de senhas são uma boa ideia. O número de serviços de internet que usamos está crescendo constantemente, e isso significa que estamos criando muitos logins e senhas. É difícil lembrá-los, mas escrevê-los em lugares aleatórios é arriscado. A solução óbvia é salvar todas as suas credenciais de acesso em um local seguro e, em seguida, bloquear esse cofre com uma única chave. Então você só precisará se lembrar de uma senha principal.

Quando você ativa o Kaspersky Password Manager pela primeira vez, ele solicita que você crie uma senha principal que você usará para abrir seu cofre digital. Então você pode inserir neste cofre os dados de cada serviço de internet que você usa: URL, nome de usuário e senha. Você pode fazer isso manualmente ou pode configurar uma extensão de navegador do gerenciador de senhas e usar um comando especial para transferir todas as senhas salvas no navegador para o cofre. Além de senhas, você pode adicionar outros documentos pessoais nesse lugar como, por exemplo, identidade digital, dados de um seguro, informações de pagamento e fotos importantes.

Quando você precisa visitar um site, você abre o cofre e pode copiar manualmente os dados necessários para o formulário de login ou permitir que o gerenciador de senhas preencha automaticamente as credenciais de login salvas para o site. Depois disso, tudo que você precisa fazer é bloquear este cofre.

Cofre digital e autobloqueio

Agora vamos ver os mecanismos de proteção. O arquivo do cofre é criptografado usando um algoritmo de chave simétrica baseado no Advanced Encryption Standard (AES-256), que é comumente usado em todo o mundo para proteger dados confidenciais. Para acessar o cofre, você usa uma chave baseada em sua senha principal. Se a senha for forte, os invasores precisarão de muito tempo para decifrar o segredo sem a chave.

Além disso, nosso gerenciador de senhas bloqueia automaticamente o cofre depois que o usuário fica inativo por um determinado período. Se um invasor conseguir se apossar do dispositivo e conseguir contornar a proteção do sistema operacional e acessar o arquivo do cofre, ele não poderá ler o que está nele se não tiver a senha principal.

Mas cabe a você configurar o autobloqueio. A configuração padrão no aplicativo pode não bloquear o cofre até depois de um longo período de inatividade. Mas se você tem o hábito de usar um laptop ou smartphone em um local que pode não ser totalmente seguro, pode configurar o travamento automático para entrar em ação após um minuto.

Há outra brecha em potencial: se um hacker plantou um Trojan ou usou outro método para instalar um protocolo de acesso remoto em seu computador, ele pode tentar extrair senhas do cofre enquanto você estiver conectado a ele. Em 2015, esse recurso de invasão foi criado para o gerenciador de senhas KeePass. Ele descriptografou e armazenou um arquivo inteiro com senhas que estava sendo executado em um computador com uma sessão aberta do KeePass.

Contudo, o Kaspersky Password Manager é normalmente usado junto com as soluções antivírus da Kaspersky, e isso torna muito menos provável que um gerenciador de senhas seja executado em um computador infectado.

Conhecimento zero

O arquivo criptografado com senhas pode ser salvo não apenas em seu dispositivo, mas também na infraestrutura de nuvem da Kaspersky — isso permite que você use o cofre de diferentes dispositivos, incluindo computadores domésticos e telefones celulares. Uma funcionalidade especial nas configurações permite a sincronização de dados em todos os seus dispositivos com o Kaspersky Password Manager instalado. Você também pode usar a versão web do gerenciador de senhas de qualquer dispositivo pelo site My Kaspersky.

Qual é a probabilidade de um vazamento de dados se você estiver usando armazenamento em nuvem? Primeiro, é importante entender que estamos operando com base no princípio do conhecimento zero. Isso significa que seu cofre de senhas é tão criptografado para a Kaspersky quanto para todos os outros. Os desenvolvedores da Kaspersky não poderão ler o arquivo – apenas alguém que conheça a senha principal poderá abri-lo.

Muitos — mas não todos — dos serviços atuais que armazenam senhas e outros segredos seguem um princípio semelhante. Portanto, se você vir uma reportagem sobre um vazamento de dados de um serviço de armazenamento em nuvem, não entre em pânico imediatamente: isso não significa necessariamente que os invasores conseguiram descriptografar os dados roubados. Esse tipo de violação é como roubar um cofre de um banco sem ter a combinação para abri-lo.

Nesse caso, a combinação é sua senha principal. Aqui está outro importante princípio de segurança: o Kaspersky Password Manager não salva sua senha principal em seus dispositivos ou na nuvem. Mesmo que um hacker acesse seu computador ou o serviço de armazenamento em nuvem, ele não conseguirá roubar sua senha principal do próprio produto. Só você conhece essa senha.

Uma senha principal forte

No entanto, o vazamento de um arquivo criptografado com senhas também pode criar problemas. Depois que os invasores roubam um cofre, eles podem tentar invadi-lo.

Existem dois métodos principais de ataque. A primeira é a força bruta. Em geral, isso consome muito tempo. Se a sua senha for composta por uma dúzia de caracteres aleatórios e incluir letras maiúsculas e minúsculas, números e caracteres especiais, a força bruta de todas as combinações requer mais de um sextilhão de operações – isso é … um número inteiro com 21 dígitos, pessoal!

Mas se você decidiu facilitar sua vida e usou uma senha fraca – como uma única palavra ou uma simples combinação de números como “123456” – o scanner automático irá detectá-la em menos de um segundo, porque neste caso a força bruta não se baseia em símbolos individuais, mas em um dicionário de combinações populares. Apesar disso, até hoje muitos usuários escolhem essas senhas fáceis de descobrir (combinações de símbolos que estão há muito tempo nos dicionários dos scanners de hackers).

Os usuários do gerenciador de senhas LastPass foram avisados ​​sobre esse possível problema em dezembro de 2022. Quando a conta de um desenvolvedor do LastPass foi invadida, os invasores obtiveram acesso à hospedagem em nuvem que a empresa usa. Entre outros dados, os cibercriminosos acessar os backups das senhas dos cofres dos usuários. A empresa disse aos usuários que se eles seguissem todas as recomendações para criar uma senha principal forte e única, eles não teriam com o que se preocupar porque “levaria milhões de anos” para que um ataque de força bruta pudesse decifrar as combinações. As pessoas que usaram senhas mais fracas foram aconselhadas a alterá-las imediatamente.

Felizmente, muitos gerenciadores de senhas, incluindo o Kaspersky Password Manager, agora verificam automaticamente a complexidade de sua senha principal. Se for fraca ou apenas de força média, o próprio gerenciador emite um aviso ao qual você deve prestar atenção.

Senha principal única

O segundo método de hacking conta com o fato de que as pessoas costumam usar as mesmas credenciais de login para diferentes serviços de internet. Se um dos serviços for violado, os invasores forçarão automaticamente as combinações de login e senha em outros serviços em um ataque conhecido como “preenchimento de credenciais”. Esse tipo de ataque geralmente é bem-sucedido.

Os usuários do Norton Password Manager foram alertados sobre esse tipo de ataque nas primeiras semanas deste ano. A empresa NortonLifeLock (anteriormente conhecida como Symantec) anunciou que não houve violações de sua infraestrutura. Mas, no início de dezembro de 2022, foram documentadas tentativas em massa de entrada em contas do Norton Password Manager usando senhas que os hackers roubaram devido a uma violação em outro serviço. As investigações do NortonLifeLock descobriram que os hackers conseguiram usar esse ataque para acessar as contas de alguns de seus clientes.

A lição óbvia dessa história é que você não deve usar a mesma senha para contas diferentes. Quanto às formas técnicas de se proteger contra esses tipos de ataques, o Kaspersky Password Manager pode realizar duas verificações importantes de seu banco de dados de senhas…

Primeiro, ele verifica a exclusividade: o aplicativo avisa se uma de suas senhas salvas está sendo usada em várias contas.

Em segundo lugar, nosso gerenciador de senhas verifica se suas senhas estão em um banco de dados de violações. Para executar essa verificação de senha com segurança, ele usa o algoritmo de hash criptográfico SHA-256. Isso significa que o aplicativo não envia as próprias senhas para verificação; em vez disso, ele calcula uma soma de verificação para cada senha e compara tais hashes com as somas de verificação no banco de dados de senhas comprometidas. Se as somas de verificação corresponderem, o aplicativo avisa que a senha está comprometida e você deve alterá-la.

Mas lembre-se de que essas verificações são feitas apenas com as senhas que você está salvando no cofre. Cabe a você garantir que a senha principal seja exclusiva: você é o único que a conhece e ela deve ser diferente das suas outras senhas.

Senha principal memorável

Existem outras maneiras de vazar senhas principais – e é aí que o temido fator humano entra em jogo. Por exemplo, algumas pessoas anotam sua senha principal em um local onde ela pode ser roubada, como em um arquivo não criptografado em sua área de trabalho ou em um post-it colado na parede do escritório.

Em vez de escrevê-la, tente se lembrar. É verdade que as regras de segurança dizem que uma senha deve ser longa e complicada — às vezes somos até incentivados a gerar uma combinação aleatória de 12 a 16 caracteres. É difícil lembrar uma senha assim. É por isso que muitas pessoas tentam usar senhas mais simples e acabam se tornando vítimas de hackers.

Então, como você torna sua senha principal forte e memorável? Uma boa estratégia é criar uma senha baseada em três ou quatro palavras secretas. Por exemplo, você pode pegar o nome da cidade onde passou as melhores férias da sua vida, adicionar o nome do melhor bar que frequentou nessas férias e, em seguida, adicionar o nome e o número de coquetéis que bebeu. Uma senha como essa será longa e única, além de fácil de lembrar – isso, é claro, se você não tomou muitos drinks e ainda se lembra de todos esses fatos separadamente.

Dicas