Olá a todos,

No nosso post de hoje vamos falar nos gestores de passwords online (self hosted e não só). Estes tornaram-se cada vez mais populares nos últimos anos, à medida que nos esforçamos para gerir  um número cada vez maior de passwords e manter um minimo de sentido de segurança online.

Gestores de passwords como o LastPass e Bitwarden oferecem uma maneira conveniente e segura de armazenar, gerir e preencher automaticamente passwords complexas em vários dispositivos e contas. No entanto, embora estas ferramentas ofereçam muitos benefícios, também existem riscos envolvidos no uso de gestores de passwords online, e é essencial entender tanto o lado bom quanto o menos bom de utilizar estas ferramentas, assim bem como as usar em segurança.

O bom:

1. Conveniência: Uma das maiores vantagens dos gestores de passwords online é a conveniência que eles nos oferecem. Em vez de nos ter que lembrar e inserir manualmente todas as nossas passwords, nos podemos simplesmente armazená-las com segurança e preenchê-las automaticamente sempre que for necessário. Isto torna o login em contas autenticadas mais rápido e eficiente.
2. Passwords fortes: Praticamente todos os gestores de passwords on-line oferecem geradores de passwords que podem criar passwords longas e complexas, difíceis de adivinhar ou decifrar. Isto significa que os utilizadores podem criar passwords mais fortes para suas contas, melhorando sua segurança on-line na sua globalidade.
3. Suporte para vários dispositivos: com gestores de passwords online, nos podemos aceder ás nossas passwords e informações de conta de qualquer dispositivo com ligação à Internet. Isto significa que podemos fazer login nas nossas contas desde o nosso laptop, telefone ou tablet e não precisamos de nos preocupar em recordar passwords diferentes para cada dispositivo.
4.  Segurança: Os gestores de passwords  online podem ajudar a melhorar nossa segurança geral armazenando nossas passwords em bases de dados seguras e criptografadas. Muitos gestores de passwords  oferecem igualmente autenticação de dois fatores (2FA) e outras medidas de segurança para proteção contra acesso não autorizado.

O menos bom:

1. Ponto único de falha: embora os gestores de passwords online possam melhorar a nossa segurança global, eles também são um ponto único de falha. Se alguém obtiver acesso à nossa conta no gestor de passwords , poderá aceder todas as nossas passwords e contas.
2. Violações de segurança: como qualquer serviço online, os gestores de passwords são inerentemente vulneráveis a violações de segurança. O LastPass, por exemplo, sofreu um breach em 2015, onde endereços de e-mail de utilizadores, recovery text data e passwords mestras criptografadas foram comprometidas.
   Embora a empresa tenha afirmado que nenhuma password de utilizador tenha sido roubada, o incidente ainda levanta preocupações sobre a segurança dos gestores de passwords online.
3. Preocupações com a privacidade: Com um gestor de passwords online não self-hosted, nós estamos essencialmente a confiar a um elemento terceiro todas as nossas passwords e informações pessoais. Embora muitos gestores de passwords  ofereçam criptografia ponto a ponto e outras medidas de segurança, existe sempre o risco de que nossas informações sejam acedidas ou partilhadas sem o nosso conhecimento ou consentimento.
4. Erro do utilizador: Mesmo com as medidas de segurança oferecidas pelos gestores de passwords online, os utilizadores ainda podem cometer erros que comprometam a sua segurança. Por exemplo, os utilizadores podem usar passwords fracas, reutilizar passwords em várias contas ou não ativar a autenticação de dois fatores.

Nesse caso, como nos proteger quando utilizamos gestores de passwords online?

1. Usar passwords fortes: Ao criar uma password mestra para o nosso gestor de passwords , temos que nos certificar que ela é forte e complexa. Evitar a utilização de palavras do dicionário ou informações fáceis de adivinhar, como a nossa data de nascimento ou nome. Ao invés disto, utilizar uma combinação de letras maiúsculas e minúsculas, números e símbolos para criar uma password que seja difícil de adivinhar ou quebrar.
2. Tornar habitual a autenticação de dois fatores: muitos gestores de passwords online (e alguns selfhosted como o vaultwarden) oferecem autenticação de dois fatores, o que adiciona uma camada adicional de segurança à nossa conta. Isto significa que,para além de nossa password mestra, precisaremos fornecer uma segunda informação, como um código enviado para nosso telefone, um código gerado numa authenticator app ou e-mail, para aceder á nossa conta.
3. Utilizar passwords únicas: Ao criar passwords para nossas contas, temos de utilizar passwords únicas e complexas para cada uma. Evitar ao máximo (tipo nunca) reutilizar passwords em várias contas, pois isso irá facilitar o acesso de intrusos a várias contas se comprometerem uma das passwords..
4. Mudar a nossa password mestra regularmente: Embora possa ser inconveniente, mudar a nossa password mestra regularmente irá auxiliar a melhoria da nossa segurança geral. Por exemplo, definir um lembrete no nosso telefone para alterar nossa password a cada seis meses ou mais e certificar que estamos a usar uma nova password forte e exclusiva a cada vez que o fazemos. A maior parte dos serviços self-hosted tem auto-master-password auto-change, sendo a nova password automaticamente gerada e enviada para uma app ou outro método de entrega.
5. Usar criptografia de ponta a ponta: Escolher apenas gestores de passwords online que ofereçam criptografia de ponta a ponta, o que significa que apenas nós podemos aceder aos nossos dados e até mesmo o vendedor do serviço de gestão de passwords não pode ler seus dados. Neste aspecto o self-hosting pode ajudar muito. Afinal somos nós quem gerimos o nosso DC :).
6. Manter o nosso software atualizado: Isto como sempre é fundamental. É importante nos certificarmos em manter o nosso gestor de passwords e extensões de browser atualizados com os últimos patches e atualizações de segurança. Isto é das coisas mais fundamentais para ajudar a nos proteger contra vulnerabilidades de segurança conhecidas e outros problemas.
7. Utilizar opções self-hosted como o Vaultwarden – “Implementação alternativa da API do servidor Bitwarden escrita em Rust e compatível com clientes Bitwarden upstream*, perfeita para implementação auto-alojada onde a execução do serviço oficial com muitos recursos pode não ser ideal.” – Mais informações aqui.
   Não evitará nenhum dos antigos 6 itens mas garantirá que os dados estão sempre do vosso lado.

E em relação a problemas de segurança recentes:

Como é espectável em tudo IT, o  LastPass e o Bitwarden tiveram problemas de segurança no passado recente.
O LastPass sofreu uma violação em 2015 e 2022, onde endereços de e-mail de usuários, password reminders e passwords mestras criptografadas foram comprometidas. Em resposta, o LastPass aumentou suas medidas de segurança, como melhorou em muito a sua criptografia e adicionou autenticação de dois fatores como recurso mandatório.

Mais recentemente, descobriu-se que Vaultwarden tinha uma vulnerabilidade que permitia aos invasores ignorar a autenticação de dois fatores e potencialmente acessar contas de utilizador. A vulnerabilidade foi rapidamente corrigida e a Vaultwarden pediu aos utilizadores que ativassem medidas de segurança adicionais, como adicionar uma senha mestra à extensão do navegador e habilitar aprovações de dispositivos.

Concluindo este posto, é importante sublinhar que gestores de passwords online como o LastPass, Bitwarden e Vaultwarden podem facilitar muito a nossa vida, adicionando conveniência, passwords fortes, suporte para vários dispositivos fazendo parte da nossa solução de segurança melhorada.
No entanto, temos sempre de nos recordar  que vão sempre existir riscos envolvidos, incluindo pontos únicos de falha, violações de segurança, questões de privacidade e erro do utilizador.

É importante ter sempre presente que para utilizar um gestor de passwords on-line com segurança, temos de utilizar passwords fortes, ativar a autenticação de dois fatores, usar passwords exclusivas, alterar regularmente a nossa password mestra, usar criptografia de ponta a ponta, manter nosso software atualizado e estar sempre aware de problemas de segurança detectados nestas soluções.

Até ao próximo post Amigos.
Um abraço
Nuno.

PS1: para os que ficaram com curiosidade, KeepassX. 🙂
PS2: Agradecido á dica do Ricardo Azinheira pela nota sobre o Vaultwarden.