Gerenciamento de senha

Um gerenciador de senhas , também de gerenciamento de senhas ou senhas (em inglês, Password Manager , Password Safe chamado) é um software aplicativo que permite que as credenciais do usuário do computador e os códigos secretos criptografados armazenem, gerenciem e possam usar. Os programas de aplicativos correspondentes estão disponíveis em várias plataformas para computadores desktop e laptops, bem como para smartphones.

necessidade

Os gerenciadores de senhas surgiram do problema de que os usuários precisam de senhas seguras em seus próprios sistemas, bem como para várias contas de usuário em serviços online na web . Usar o mesmo nome de usuário e senha para serviços diferentes representa um alto risco de segurança, pois uma única senha roubada permitiria o acesso a todos os serviços. Portanto, muitas senhas diferentes são necessárias. As senhas seguras são longas e consistem em combinações de letras, números e caracteres especiais difíceis de lembrar (consulte “ Escolha de senhas seguras ”). Os gerenciadores de senhas permitem que o usuário proteja muitas senhas diferentes e seguras contra acesso não autorizado e ainda seja capaz de usá-las confortavelmente.

Os administradores de sistema, em particular, precisam de muitas senhas diferentes e muito fortes, pois ainda são o elo mais fraco na cadeia de proteção de uma rede.

funcionalidade

Em um gerenciador de senhas, o usuário insere o nome de usuário utilizado, as senhas associadas, uma designação para a conta do usuário (ou o serviço web) e possivelmente outras informações como, por exemplo, para cada uma de suas contas de usuário em um gerenciador de senhas - ao configurar e regularmente mais tarde. B. o endereço da web no banco de dados . Este banco de dados de senha é protegido (criptografado) por uma senha mestra. Assim como uma lista telefônica é usada para ligar para contatos, a maioria dos gerenciadores de senhas oferece suporte para login automatizado em serviços online e portais da web. Conseqüentemente, a senha principal deve ser uma senha forte. Se necessário, a segurança pode ser aumentada por um arquivo de chave adicional ou por autenticação de dois fatores .

Senha principal

O usuário deve guardar a senha principal ou mestra com cuidado - afinal, ela representa a autorização de acesso ao banco de dados de senhas. Assim, ele pode salvá- la em um cofre , em um pendrive ou similar e, se necessário, também fora do lar.

Encriptação

Como regra, os programas não criptografam apenas as senhas, mas todo o banco de dados. Algoritmos de criptografia fortes são usados idealmente.

Gerador de senhas

Interface de usuário do gerador de senha ( KeePass )

Um gerador de senha geralmente também é integrado, com o qual senhas de diferentes níveis de força podem ser geradas aleatoriamente. Sob certas circunstâncias, ele cria senhas de qualquer comprimento e diferentes conjuntos de caracteres com base na entrada aleatória do usuário com o mouse ou teclado. Senhas com 100 ou mais bits podem ser criadas facilmente . Essas senhas fortes com 15 ou mais caracteres só podem ser usadas praticamente com o gerenciamento de senhas. Exemplo:D`k+oGw(^#"mPoO

Software de aplicação

Os programas e serviços da web para gerenciamento de senhas que têm pontuado repetidamente positivamente em testes devido à sua funcionalidade, facilidade de uso e aspectos de segurança incluem:

KeePass - software independente para sistemas operacionais Windows, Linux, Mac (código aberto)
LastPass - solução em nuvem via aplicativo ou complemento do navegador, sincronizada entre plataformas via hospedagem na web
1Password - solução em nuvem, plataforma cruzada sincronizada via hospedagem na web

Fusível

Um sistema de gerenciamento de senhas coleta as senhas centralmente, i. H. o banco de dados de senha é armazenado em um único arquivo - em um formato nativo. Uma vez que este arquivo é criptografado pela senha mestra, ele pode ser copiado e salvo em outro suporte de dados. Com os provedores de nuvem, o banco de dados de senha é armazenado na nuvem.

Se um arquivo de chave foi usado, ele também deve ser salvo em um suporte de dados separado.

Para fins de troca de dados, o banco de dados de senhas geralmente pode ser exportado como um arquivo CSV - um formato compatível com todos os programas de gerenciamento de senhas e editores de texto comuns. A exportação flexível de XML ou impressão simples também é possível. No entanto, a desvantagem desses formatos é que eles salvam as senhas não criptografadas.

desvantagem

Os usuários do Password Manager dependem de seu banco de dados de senhas. Como as senhas individuais não são mais memorizadas, o usuário precisa de acesso regular e permanente ao banco de dados de senhas. O banco de dados de senha deve, portanto, ser feito backup regularmente para evitar danos. No caso de soluções que salvam o banco de dados de senhas na nuvem, o provedor assume o backup dos dados.

defeitos

Em 2019, estudos mostraram que as senhas de gerenciadores de senhas populares permaneceram na memória por um tempo desnecessariamente longo, mesmo que o gerenciador de senhas fosse bloqueado.

Alternativas

Deixe o navegador salvar senhas

Navegadores da Web como Mozilla Firefox , Google Chrome e Internet Explorer também oferecem gerenciamento de senha, mas as senhas geralmente são armazenadas sem criptografia. As senhas armazenadas não criptografadas no navegador podem ser facilmente roubadas assim que um terceiro tiver acesso ao computador do usuário e representam uma lacuna de segurança. Stiftung Warentest, portanto, recomenda não deixar o navegador salvar senhas ou pelo menos gerenciar as senhas do navegador com uma senha mestra. Neste caso, as senhas salvas não podem ser usadas sem inserir a senha mestra. As senhas armazenadas no navegador geralmente são copiadas e sincronizadas por meio de uma conta de usuário na nuvem do fabricante do navegador. Caso contrário, o próprio usuário deve cuidar para que suas senhas sejam protegidas contra perda de dados.

Construir e memorizar senhas de acordo com um esquema

Com as senhas criadas por meio de fórmulas, os usuários permanecem independentes de fornecedores externos. O usuário se lembra de uma fórmula que se aplica a todas as senhas, o que resulta em senhas diferentes em conexão com um fator variável. Exemplos de tais fatores variáveis são, por exemplo, um endereço na Internet ou o nome de uma empresa. De tal sequência de caracteres, você pega certos caracteres e os combina com números e caracteres especiais de acordo com um esquema fixo. O usuário só se lembra do código de criptografia necessário para criar a senha e, portanto, recebe senhas individuais e seguras ao mesmo tempo. No entanto, se esse código de criptografia for conhecido, todas as senhas criadas pelo usuário também serão inseguras. Outra lacuna são os diferentes requisitos de senhas, que são feitos por serviços como fóruns na Internet, lojas na Internet, etc. Isso pode impedir a aplicação do algoritmo que você mesmo criou.

As desvantagens listadas até agora são possíveis dividindo a senha em duas. Para isso, é necessária uma ferramenta adicional (chamada de senha), que anexa a segunda parte da senha (“Salt”) e, se necessário, caracteres especiais ou semelhantes para cumprir as regras da página. Para que a segunda parte da senha não seja revelada ao espionar uma página, o próprio resultado tem que ser criptografado (senha do gerenciador de senhas + "Salt" + criptografia = senha para login).

Porém, com este sistema, o usuário se torna dependente de não esquecer a senha. E dependendo da qualidade da senha, se uma senha for comprometida, todas as senhas podem ter que ser alteradas imediatamente.

"Sign in with" (também: single sign-on)

Vários grandes provedores de nuvem, como B. Amazon, Apple, Facebook ou Google oferecem um serviço "Login com", compare o Login (tecnologia da informação) .

Evidência individual

↑ Andrew Cunningham, Thorin Klosowski: Os melhores gerenciadores de senhas . New York Times Wirecutter, 8 de dezembro de 2020
↑ Joerg Geiger: Teste do Password Manager 2020: Esses serviços resolvem seu problema de senha . Chip.de, 8 de setembro de 2020
↑ Jan Schüßler: Baús de tesouro - 15 gerenciadores de senhas em comparação . c't 15/2020, heise.de, p. 22
↑ Daniel Nawrat: Teste do Password Manager 2020: Vencedor do teste e as melhores recomendações . GIGA.de, 13 de novembro de 2020
↑ Gerenciador de senhas em teste. De 14, 3 se saem bem . Stiftung Warentest, 28 de janeiro de 2020
↑ Moritz Tremmel: Os gerenciadores de senhas deixam as senhas na memória principal. In: golem.de. 21 de fevereiro de 2019, acessado em 14 de outubro de 2019 .
↑ Gerenciador de senhas. teste 2/2020, p. 31

[NY_Times-1] Andrew Cunningham, Thorin Klosowski: Os melhores gerenciadores de senhas . New York Times Wirecutter, 8 de dezembro de 2020

[2] Joerg Geiger: Teste do Password Manager 2020: Esses serviços resolvem seu problema de senha . Chip.de, 8 de setembro de 2020

[3] Jan Schüßler: Baús de tesouro - 15 gerenciadores de senhas em comparação . c't 15/2020, heise.de, p. 22

[GIGA-4] Daniel Nawrat: Teste do Password Manager 2020: Vencedor do teste e as melhores recomendações . GIGA.de, 13 de novembro de 2020

[test.de-5] Gerenciador de senhas em teste. De 14, 3 se saem bem . Stiftung Warentest, 28 de janeiro de 2020

[6] Moritz Tremmel: Os gerenciadores de senhas deixam as senhas na memória principal. In: golem.de. 21 de fevereiro de 2019, acessado em 14 de outubro de 2019 .

[7] Gerenciador de senhas. teste 2/2020, p. 31

Languages