Apesar de todos os avanços tecnológicos das últimas décadas, algumas coisas ainda incomodam muito quando se quer usar um computador. Uma dessas coisas é, sem dúvida, a quantidade de logins e senhas que cada pessoa deve guardar para entrar nos diversos sistemas que usa habitualmente. Eu, por exemplo, tenho uma conta no Orkut, uma no LinkedIn, uma no Twitter, uma no Yahoo, uma no WordPress, uma no Ceviu, uma para o site do banco, uma para o site da pós-graduação, e assim por diante.
Um projeto bacana chamado OpenID propõe a criação de uma conta única para acessar diversos serviços diferentes. Pode ser que em um futuro próximo isso funcione bem, principalmente quando falamos de sistemas Web. Mesmo assim, acho que há um longo caminho até que as aplicações desenvolvidas para rodar nos computadores pessoais estejam prontas para essa tecnologia.
Enquanto isso, eu gostaria de lhes apresentar um ótimo programa chamado Password Safe. Sua missão é ser um concentrador de credenciais, onde uma credencial é igual a um par de login e senha. Uma vez cadastradas todas as suas credenciais, não mais será necessário se lembrar desses dados toda vez que quiser entrar em um ou outro site ou sistema.
A esta altura você pode dizer: grandes coisas… posso fazer isso com uma planilha em Excel ou até mesmo um arquivo do bloco de notas… Mas o Password Safe vai além. Ele te pede uma senha única para acessar as demais credenciais e esta senha única é também uma chave utilizada para criptografar as demais informações.
Desta forma, você evita que um bisbilhoteiro de plantão consiga, em um único lugar, todas as suas senhas. E de uma coisa você pode ter certeza: é muito mais difícil quebrar a segurança do Password Safe que “invadir” um arquivo Excel protegido por senha. Afinal, arquivos de Excel protegidos por senha podem ser “invadidos” em poucos segundos, desde que se tenha as ferramentas corretas para isso.
Como pode ser visto na imagem acima, você pode organizar suas credenciais em grupos. Assim fica fácil localizar aquela conta daquele site que você usa só de vez em quando. No exemplo acima, os grupos PESSOAL e PROFISSIONAL foram criados por mim. Você pode criar os grupos que quiser.
O programa traz ainda uma série de ferramentas e configurações para facilitar o dia-a-dia dos seus usuários. É possível, por exemplo, clicar duas vezes sobre uma conta cadastrada e o Password Safe abrirá o site relativo àquela conta. Ou seja, ele pode ser usado para armazenar sua lista de “favoritos”. É possível também clicar no botão “Perform Autotype” e o Password Safe preenche automaticamente o login e a senha no web site, sem que você tenha que digitar nada no teclado. Aí você ganha em comodidade e segurança, o que é uma combinação rara, diga-se de passagem.
Outra função muito legal é a possibilidade de se definir uma política de formação de senhas, tipo: as senhas devem conter ao menos uma letra, um algarismo e um caractere especial e ainda ter mais de oito caracteres no total. Daí você pode usar o Password Safe para gerar novas senhas respeitando a política.
O programa permite também definir a data de expiração da senha de uma conta, de forma que, quando a tal data chegar, ele lhe avise que é preciso trocar aquela senha.
A versão atual é a 3.17 e ela possui interfaces para backup, importação e exportação de contas e mais uma série de opções de configuração.
Referências:
OpenID: http://openid.net
Password Safe: http://passwordsafe.sourceforge.net
Tags: confidencialidade, password safe, Segurança da Informação, senha, gerenciamento de senha, senha forte, política de senha, single sign on
18 Maio 2009 às 2:13 pm |
Boa dica!
Realizei alguns testes no sistema e achei muito interessante.
Realmente ha a necessidade da criação de uma “conta única”, para facilitar os diversos acessos. Talvez o único problema e com relação a segurança do próprio aplicativo, ficaremos a deriva caso a senha do software seja quebrada por alguém mal intencionado.
18 Maio 2009 às 2:28 pm |
Esta questão de se ter uma senha única para acesso a vários serviços é mesmo polêmica. Digamos que uma pessoa mal intencionada consiga esta senha de alguma forma, pronto! Lá se vai sua privacidade e segurança em um monte de serviços diferentes. Ainda assim, muitas empresas tem adotado os chamados sistemas de Single Sign On. A decisão de usar ou não geralmente vem embasada em uma análise de riscos e também em um estudo sobre o custo/benefício da solução. No caso do Password Safe, o custo da ferramenta é praticamente zero, restando investir em treinamento e conscientização.
19 Maio 2009 às 11:48 pm |
Muito util!
Estou usando o PasswordSafe (PS) e até o momento tem sido muito util e consideravelemente “seguro”.
Hoje é muito dificil guardar a enorme quantidade de senhas dos mais variados sistemas que temos acesso. É muito comum as pessoas usarem uma unica senha para diversos sistemas, isto torna-se uma vulnerabilidade para os ataques.
Com o PS centralizo todas as senhas, que podem variar sem a necessidade de ser igual para tudo, e uso uma unica senha para acessa-las. É bem verdade que se esta unica senha “vazar” perco todas minhas variadas senhas, mas por outro lado evito ter uma senha unica para varios sistemas facilitando o acesso em todas minhas aplicações/sistemas no caso dela ser descoberta.
20 Maio 2009 às 10:08 am |
É verdade que alguns cuidados especiais são necessários, principalmente em relação à senha de acesso ao PW Safe. Ainda assim, acho que vale a pena.
20 Maio 2009 às 11:15 pm |
É um problema mesmo isto de ter várias senhas. Eu utilizo uma variação da mesma senha sempre, mais nunca a mesma. Ainda acredito que a melhor forma de guardar as senhas é na memória, porque caso tenha problemas com este aplicativo, terei problemas com todas minhas contas cadastradas.
E caso guarde senhas ou alguma info importante, prefiro ainda fazer com o GnuPG, ele tem um sistema de criptografia e assinatura digital muito forte, vale a pena conhecê-lo.
21 Maio 2009 às 9:48 am |
Guardar as senhas na memória é, de longe, a saída mais segura. Mas a situação se complica quando você se compromete a criar sempre senhas fortes e trocá-las sempre, no máximo, a cada 60 dias. Sobre o GnuPG, o software é realmente muito bom, inclusive há um post sobre ele neste blog também: http://penseresponda.wordpress.com/2009/04/06/gnupg-liberdade-e-seguranca-com-criptografia-e-assinatura-digital/
Agora, entre anotar as senhas e criptografar o arquivo usando, por exemplo, o GnuPG ou usar o Password Safe, eu fico com a segunda opção. Além de armazenar as senhas de forma organizada, o PW Safe traz outros recursos muito interessantes como a geração de senhas a partir de uma política configurável, lembrete de expiração, etc. É claro que tudo fica criptografado, de forma segura.