Descobrir que o seu gestor de palavras-passe foi comprometido pode dar arrepios. Por exemplo, muitos utilizadores do LastPass entraram em pânico em dezembro de 2022 devido às notícias de que a empresa tinha sido comprometida várias vezes.  

Isto significa que todas as suas palavras-passe estão por aí a ser vendidas na Dark Web?  

Geralmente, não. A boa notícia é que gestores de palavras-passe de qualidade têm várias funcionalidades (como encriptação superforte) que tornam quase impossível para os cibercriminosos descobrirem as suas palavras-passe, mesmo que ocorra um incidente com a empresa do gestor de palavras-passe.  

Mas deve agir quando souber de qualquer violação, porque a gravidade da situação pode não ser clara à partida. Eis o que recomendamos que faça assim que souber de uma invasão a um gestor de palavras-passe.  

O que fazer agora 

Se for notificado de que o seu gestor de palavras-passe foi vítima de uma violação ou de hacking, deve agir rapidamente para garantir que o seu cofre de palavras-passe permanece bem trancado. Os gestores de palavras-passe de qualidade têm funcionalidades concebidas para manter as suas palavras-passe seguras mesmo que a empresa seja comprometida, mas é sempre melhor tomar precauções.  

Para a maioria das pessoas 

Se usa um gestor de palavras-passe e ele for atacado, qualquer gestor de palavras-passe fiável avisá-lo-á sobre o problema e dir-lhe-á o que fazer para minimizar o risco.  

Regra geral, recomendamos que mude a palavra-passe mestra do seu gestor de palavras-passe se a empresa tiver sido comprometida. Eis como criar uma palavra-passe heroica para um gestor de palavras-passe: 

1. 14 caracteres de comprimento: Recomendamos que a sua palavra-passe principal de acesso ao gestor de palavras-passe tenha 14 caracteres, o que é mais longo do que as palavras-passe de 12 caracteres que normalmente recomendamos. Deve ser algo de que se lembre, mas que não possa ser facilmente adivinhado.  Os caracteres extra valem a pena porque esta é a palavra-passe que protege todas as suas outras palavras-passe.  

2. Letras, números e símbolos: Use uma combinação de letras (maiúsculas e minúsculas), números e símbolos (como $, & e =) na sua palavra-passe mestra.  

3. Ative a autenticação multifator: Ativar a autenticação multifator, ou MFA, acrescenta outro nível de segurança à sua conta. Com muitos gestores de palavras-passe, a MFA assume a forma de enviar um código para uma aplicação autónoma, ou o gestor de palavras-passe enviará por SMS um código de autenticação para o seu telefone.  

Para empresas e organizações 

Se o fornecedor do seu gestor de palavras-passe anunciar que foi comprometido, siga imediatamente os seus procedimentos de resposta a incidentes depois de a sua equipa de segurança ter avaliado o risco. Siga os conselhos da sua equipa de segurança e certifique-se de que comunica estes conselhos a todos os seus colaboradores! 

Se tem um gestor de palavras-passe mas não tem profissionais de segurança dedicados, siga os conselhos que delineámos para indivíduos.  

Como os bons gestores de palavras-passe mantêm as suas palavras-passe seguras 

Eis algumas formas de os gestores de palavras-passe de qualidade manterem as suas palavras-passe protegidas, mesmo que a própria empresa seja comprometida de alguma forma. Procure estas funcionalidades quando estiver a comparar as suas opções.   

• Encriptação:  Os gestores de palavras-passe de qualidade encriptam todas as palavras-passe armazenadas neles, independentemente de estarem armazenadas no seu dispositivo ou nos servidores da empresa. Isto significa que as suas palavras-passe são quase impossíveis de decifrar se um hacker tentasse comprometer o seu gestor de palavras-passe. O único acesso às suas palavras-passe num gestor de palavras-passe é com a sua palavra-passe mestra, que deve ser conhecida apenas por uma pessoa: você.   

• Conhecimento zero:  Como o nome sugere, conhecimento zero significa que um gestor de palavras-passe não sabe quais são as suas palavras-passe – a empresa não armazena as chaves necessárias para desencriptar a palavra-passe principal que desbloqueia o seu cofre ou quaisquer das palavras-passe armazenadas nele. Isto significa que a sua palavra-passe principal nunca é guardada nos servidores do sistema. É a única pessoa que a conhece, por isso deve torná-la forte e protegê-la com MFA. 

• Autenticação multifator:  Como o seu cofre de palavras-passe num gestor de palavras-passe é tão valioso, os melhores gestores de palavras-passe oferecem autenticação multifator para iniciar sessão. Isto significa que qualquer pessoa que tente ver as suas palavras-passe a partir de um dispositivo desconhecido terá de iniciar sessão de várias formas. Isto pode incluir um ID facial, uma leitura de impressão digital, introduzir um código que recebe numa mensagem SMS ou aprovar a tentativa de início de sessão numa aplicação separada. Isto constrói outra barreira à volta das suas palavras-passe, para que saiba que estão guardadas com segurança extra. Ative sempre a MFA para o seu gestor de palavras-passe! 

• Mais autenticação multifator: Já tem isso no seu gestor de palavras-passe, mas não fique por aí. Ative-o em todas as contas que tiver que o ofereçam, como contas financeiras, email e redes sociais. 

Porque é que os gestores de palavras-passe continuam a ser uma escolha inteligente 

Quando se trata de violações de gestores de palavras-passe, não deite o bebé fora com a água do banho! Os gestores de palavras-passe são a melhor, embora imperfeita, solução para gerar, armazenar e manter palavras-passe fortes para cada uma das suas muitas contas online. Os gestores de palavras-passe são mais seguros do que cadernos, post-its e palavras-passe fáceis de memorizar. Bons gestores de palavras-passe até ajudam a criar palavras-passe fortes e únicas para novas contas em questão de segundos. Também o podem ajudar a identificar palavras-passe reutilizadas, fracas ou comprometidas e a alterá-las. 

Mesmo que um gestor de palavras-passe seja comprometido, aspetos como encriptação, MFA e conhecimento zero mantêm as suas palavras-passe indecifráveis para os cibercriminosos. Apesar de os riscos persistirem, recomendamos fortemente que utilize um gestor de palavras-passe.    

Saiba mais sobre gestores de palavras-passe