Ultimamente parece que a cada dois dias há uma nova violação de segurança, expondo os dados pessoais de milhões de pessoas. Isso inclui nomes legais completos, nomes de usuário, endereços de e-mail, endereços físicos e, sim, senhas. Muitas vezes, o objetivo de hackear algum fórum obscuro não é obter acesso à sua conta nesse fórum. Em vez disso, é obter suas credenciais de login que você provavelmente também usa em outros sites. Com isso, os hackers podem acessar todas as contas que usam seu e-mail/nome de usuário e senha.
Existem serviços completos como o Have I Been Pawned dedicados a isso. Eles verificam se sua senha vazou procurando em bancos de dados de senhas vazadas. Os hackers costumam usar esses bancos de dados em ataques de dicionário. Existem até serviços que te alertam automaticamente quando sua senha vaza. Muitos gerenciadores de senhas vêm com essa funcionalidade integrada.
Obviamente, a primeira coisa que você deve fazer quando isso acontecer é mudar sua senha. Mas se estiver usando a mesma senha em outros sites, agora você também precisa alterar todas essas outras senhas. E é aí que entram os gerenciadores de senhas. Sua funcionalidade principal é armazenar suas credenciais de login para cada serviço. Dessa forma, você não precisa se lembrar de cada senha. Com essa liberdade, você não precisa mais criar senhas fáceis de lembrar. Finalmente pode criar senhas fortes e impossíveis de adivinhar.
Os gerenciadores de senhas também te protegem de ataques de phishing com o preenchimento automático. Se você clicar em um link para fazer login em um site e suas credenciais não aparecerem, você não está no site real. Isso ocorre porque os gerenciadores de senhas mostram suas credenciais quando você visita o URL correto.
Você pode levar isso um passo adiante usando endereços de e-mail diferentes para cada serviço. Dessa forma, as credenciais de login se tornam descartáveis e os vazamentos têm impacto mínimo. Alguns gerenciadores de senhas se integram a serviços de encaminhamento de e-mail. Isso permite que você crie e-mails mascarados rapidamente para novas contas. Se você tiver seu próprio domínio, pode criar manualmente um endereço novo para cada serviço. Isso protege seu endereço de e-mail real de vazar como uma credencial de login. Se um e-mail descartável vazar, é só mudar. Os serviços de encaminhamento de e-mail também permitem que você pare de receber e-mails de endereços vazados. Isso ajuda a evitar spam.
Muitos gerenciadores de senhas também incluem a funcionalidade 2FA para maior comodidade. Alguns especialistas em segurança recomendam o uso de serviços separados para suas senhas e 2FA. A lógica é que se um for comprometido, você não perderá tudo. Mas a maioria das pessoas provavelmente não está disposta a gerenciar dois aplicativos diferentes para segurança. Então, até que se acostumem, a conveniência de ter os dois em um vale o pequeno sacrifício de segurança. A segurança sempre vem às custas da conveniência. Onde você traça a linha depende de você e de quanta conveniência você está disposto a sacrificar. Pode verificar minhas recomendações para aplicativos de autenticação dedicados para te ajudar a decidir.
Falando em conveniência, chaves de acesso são o futuro aclamado para substituir senhas. Elas são salvas em seu dispositivo (ou em seu gerenciador de senhas) e você não precisa se lembrar de nada. Os serviços podem fazer login assim que detectam uma chave de acesso e solicitam que você se autentique usando biometria. A adoção de chaves de acesso está aumentando, pois elas são mais seguras (e convenientes) do que senhas. A desvantagem das chaves de acesso é que elas são vinculadas ao dispositivo, o que significa que você precisa de uma nova chave de acesso para cada dispositivo. Isso adiciona uma camada extra de dificuldade se você perder o acesso ao seu dispositivo. Por enquanto, ainda é recomendável usar a autenticação por senha como backup.
Nuvem
ProtonPass
ProtonPass é a incursão recente do Proton no espaço de gerenciamento de senhas. Na verdade, é bastante impressionante. Ele está atrás do Bitwarden em recursos, mas está léguas à frente quando se trata de UI/UX. A aparência não parece importante para os puristas da segurança. Mas para a pessoa média, a UX é o que determina se ela usará um produto ou não.
O ProtonPass é um gerenciador de senhas de código aberto suíço que oferece suporte a todos os dispositivos e navegadores. Assim como o Bitwarden, ele também inclui 2FA e máscara de e-mail como recursos pagos. Se você planeja usar um aplicativo autenticador separado, provavelmente achará o nível gratuito satisfatório.
Ao contrário do Bitwarden, você não pode auto-hospedar o ProtonPass. Embora você possa auto-hospedar o serviço de encaminhamento de e-mail deles, SimpleLogin, que o Bitwarden também oferece suporte.
IronVest
O IronVest não é de código aberto!
IronVest é uma extensão de navegador que evoluiu ao longo dos anos. Comecei a usar quando era MaskMe. Tudo o que ele fazia era criar endereços de e-mail mascarados rapidamente e encaminhar e-mails para seu endereço principal. Ele tinha caixas de entrada dedicadas para cada endereço de e-mail mascarado. O MaskMe também oferecia telefone mascarado e cartões mascarados, mas nunca experimentei esses recursos pagos. O MaskMe então se tornou o Blur e adicionou o bloqueio de rastreadores. Foi também quando eles desenvolveram aplicativos móveis.
Hoje, ele se chama IronVest e seu site excessivamente corporativo é deliberadamente confuso. Por baixo de toda a jerga, ele reflete amplamente outros gerenciadores de senhas em recursos. E-mails mascarados não são mais gratuitos, mas também não são mais exclusivos no mercado. O que o diferencia é os telefones e os cartões mascarados, mas seu marketing se concentra mais em segurança. Eles afirmam ser mais seguros do que outros gerenciadores de senhas graças à tecnologia blockchain. Como eles não são de código aberto, ninguém sabe se isso é realmente verdade.
Se eu não tivesse usado pessoalmente seu produto por muitos anos e amasse, nem incluiria aqui. Com base no site deles, o material de marketing atual não inspira confiança. Dito isso, é obviamente voltado para empresas e não para mim.
Auto-hospedado
Nextcloud
Os usuários do Nextcloud provavelmente já estão cientes do Passwords. É um gerenciador de senhas completo que você pode instalar na loja de aplicativos oficial do Nextcloud. Ele oferece suporte a E2EE, QR codes e compartilhamento de senha com outros usuários do Nextcloud. Pode organizar usando tags, pastas e favoritos. Cada senha também pode ter uma nota, como é padrão, mas aqui é levado para outro nível com um editor de texto rico.
O desenvolvedor só oferece extensões de navegador oficiais para todos os navegadores. Mas como é de código aberto, a comunidade construiu aplicativos móveis para ele. Usuários do Android podem usar este ou este. Usuários do iOS podem usar este.
Observe que certos recursos, como chaves de acesso e 2FA, são recursos do lado do cliente. O suporte deles depende do aplicativo que você está usando, não do back-end do servidor. Isso é importante ter em mente quando se trata de aplicativos comunitários.
Bitwarden
Bitwarden é a recomendação padrão para um gerenciador de senhas auto-hospedado de código aberto. Ele é muito completo em recursos, cobrindo não apenas logins, mas também identidades e dados do cartão. É porque salvar e gerenciar senhas é apenas metade do trabalho de um gerenciador de senhas. A outra metade é o preenchimento automático, inserindo as informações para você em navegadores e aplicativos.
O Bitwarden não apenas oferece suporte a todas as plataformas e navegadores, mas também é gratuito para usar. Eles cobram por alguns recursos, como 2FA, mas a funcionalidade completa custa apenas US$ 10 por ano. Um ano é tempo suficiente para decidir se vale a pena auto-hospedar, o que desbloqueia todas as funcionalidades gratuitamente. Planos familiares também estão disponíveis, para até 6 membros.
O maior fator que atua contra o Bitwarden é a UI/UX. Software de segurança geralmente negligencia o design, ainda mais com os recursos limitados do FOSS. Por outro lado, como é FOSS, existem muitas interfaces alternativas para ele. Para Android, eu recomendo o KeyGuard. Ele integra funcionalidades adicionais, como verificar automaticamente se suas senhas vazaram. Ele solicita que você atualize as inseguras, vazadas ou duplicadas. Ele também informa sobre sites que você usa que oferecem suporte a chaves de acesso e 2FA. As chaves de acesso são mais seguras e também mais convenientes do que as senhas. Elas não podem ser roubadas ou esquecidas e permitem que você faça login sem inserir sua senha toda vez.
Offline
Passy
Passy é um projeto FOSS menor e menos conhecido. Mas não se deixe enganar, pois é bastante completo em recursos. Ele se diferencia por se concentrar em ser offline e local, mas também capaz de sincronização online. A sincronização automatizada é possível para um servidor de sua escolha, mas você também pode sincronizar manualmente escaneando um QR code. Uma abordagem interessante.
Quando se trata de recursos, o Passy praticamente corresponde a todos os outros gerenciadores de senhas. Na verdade, ele ainda permite mais personalização em algumas áreas. Por exemplo, pode escolher o algoritmo de 2FA ao configurar um conjunto de credenciais. Outra inclusão notável é a capacidade de definir um nome de usuário e um endereço de e-mail. Isso pode parecer óbvio ou até bobo, mas alguns concorrentes não têm isso. O Passy oferece suporte a credenciais, identidades e cartões de pagamento, como é padrão. Campos personalizados também são bons.
O Passy funciona em todos os dispositivos, incluindo recursos especiais como autenticação biométrica e preenchimento automático. Uma extensão de navegador também está disponível para todos os navegadores.
Pass
Pass é o gerenciador de senhas dos hackers. Não há nenhum tipo de GUI (embora haja um cliente que oferece uma) e é completamente gerenciado e usado por meio de CLI. Isso pode parecer assustador se você for um usuário do Windows, mas se você vive dentro do terminal, faz sentido. É muito direto em sua abordagem. Ele salva suas senhas localmente em arquivos criptografados por GPG. Isso torna muito fácil compartilhar ou migrar senhas para outros dispositivos, e apenas sua chave GPG pode descriptografar suas senhas.
Ele permite que você adicione, edite e recupere senhas usando comandos simples. A sincronização multiplataforma é possível via Git ou algo como SyncThing. Isso oferece uma maneira segura e descentralizada de gerenciar suas senhas. Sendo de código aberto, a comunidade criou, ao longo dos anos, clientes para todos os dispositivos. A maioria desses clientes também oferece suporte a 2FA.