O teu gestor contra a tua memória: a única regra que sobreviveu

Publicado a por David Carrero

Há uma diferença enorme entre uma regra que não cumpres e uma regra que não podes cumprir. «Uma palavra-passe diferente em cada sítio» é a segunda.

De toda a catequese que aprendemos — a maiúscula, o número, o símbolo, a mudança periódica obrigatória —, o NIST deitou quase tudo fora no SP 800-63B. O comprimento passou a importar mais do que a contorção. A rotação forçada desapareceu, salvo indício de compromisso. A exigência de símbolos foi substituída por algo muito mais sensato: verificar a palavra-passe contra listas das que já foram expostas.

Sobreviveu uma única regra. A de não repetir. E é aquela a que menos ligámos, porque para a cumprir era preciso uma coisa que nenhum cartaz da intranet mencionava.

Porque é que a tua memória não consegue

Pensa em quantas contas tens. Não as que usas: as que tens. O banco, o email, o outro email, a loja onde compraste umas sapatilhas em 2019, o fórum, a companhia aérea, a app do estacionamento, a plataforma do condomínio, o Portal das Finanças que te obrigou a registar para um assunto de cinco minutos.

Agora imagina memorizar uma cadeia longa, aleatória e diferente para cada uma. Não é que seja difícil. É que não é um objectivo alcançável por um cérebro humano, e sustentar o contrário durante anos foi uma das crueldades menores da segurança informática.

Por isso fizemos a única coisa que se podia fazer: uma palavra-passe boa e as suas variações. Bacalhau2019! para o banco e Bacalhau2019? para o fórum. Ou directamente a mesma em todo o lado, com um asterisco mental do género «bom, no banco tenho outra».

E o problema está aí, porque o ataque real não consiste em adivinhar a tua palavra-passe. Consiste em experimentar a que já te roubaram noutro sítio. O fórum de 2019 é comprometido — os fóruns de 2019 são comprometidos —, alguém pega nessa lista de emails e palavras-passe e experimenta-a, de forma automatizada, contra todos os serviços que lhe ocorrem. Não é preciso partir nada. Já lhe deste a chave; ele está apenas a experimentar portas. Isso é credential stuffing, e funciona exactamente porque a única regra que importava era a que ninguém podia cumprir.

Um gestor não é comodidade

É aqui que costumam vender-te o gestor de palavras-passe como um luxo: que cómodo, preenche sozinho, não tens de escrever nada. É verdade, e é o menos importante.

Um gestor não te poupa trabalho: torna possível uma regra que sem ele é inalcançável. É a diferença entre pedirem-te para correr cem quilómetros e darem-te uma bicicleta. O número não muda; muda se consegues fazê-lo.

Com um à frente, todo o resto do SP 800-63B resolve-se sozinho. Longas antes de complexas? O gestor gera-as do comprimento que quiseres, porque não vais escrevê-las à mão. Diferentes em cada sítio? Trivial, por definição. Nada de rotação forçada? Perfeito: só mudas a que foi exposta, e muitos gestores avisam-te quando isso acontece. A única que continuas a ter de memorizar é a mestra, e essa sim merece que a geres com cuidado — quatro ou cinco palavras ao acaso no gerador e ver como aguenta no verificador.

A objecção honesta

«Pôr todos os ovos no mesmo cesto.» Já a ouvi mil vezes e não é nenhum disparate. Se alguém entrar no teu gestor, entra em tudo. É um ponto único de falha, e quem te disser que não é está a vender-te alguma coisa.

A resposta também tem de ser honesta: sim, é um cesto único, mas a alternativa não é ter os ovos repartidos. É tê-los pelo chão. Sem gestor não acabas com oitenta palavras-passe independentes; acabas com a mesma palavra-passe em oitenta sítios, que é o mesmo cesto mas sem fecho, sem cifra e replicado em oitenta servidores alheios cuja segurança desconheces por completo.

Repara no modelo de ameaça real. Que alguém arrombe o cofre cifrado de um gestor sério exige ou uma falha grave do produto, ou a tua palavra-passe mestra. Que alguém experimente no teu email a palavra-passe que usaste numa loja online não exige absolutamente nada: é um script e uma lista. Estás a comparar um ataque que precisa de muito com um que já está a acontecer, constantemente, em piloto automático.

O que é de facto uma precaução razoável: uma mestra longa e única, segundo factor activado no gestor, e ter consciência de que a mestra é agora o teu ponto crítico. Trata-a como tal.

Qual, e porque não há uma resposta única

Aqui é preciso dizer uma coisa incómoda para um site que tem links de afiliado: o melhor gestor é aquele que vais usar, e há mais do que um bom.

Bitwarden é software livre, tem um plano gratuito que cobre o que quase toda a gente precisa e podes alojá-lo tu próprio se te apetecer. Que o código seja auditável não é marketing: significa que não dependes da palavra de ninguém.

KeePass — e os seus derivados — guarda tudo num ficheiro local. Sem nuvem, sem conta, sem fornecedor. Se a tua preocupação é «não quero que as minhas palavras-passe estejam no servidor de outro», essa preocupação está literalmente resolvida. Em troca, a sincronização entre os teus dispositivos é contigo.

1Password é pago e é aquele para o qual apontamos daqui — afiliado, para que fique registado. O que faz bem é a parte que costuma decidir se um gestor sobrevive numa casa: que as pessoas não técnicas o percebam, o partilhem com a pessoa com quem vivem e não o abandonem ao fim de uma semana. Não é mais seguro do que o Bitwarden por ser pago. É, para muita gente, mais fácil de não abandonar.

E o gestor do teu navegador. Grátis, já o tens instalado, já te oferece guardar. Está abaixo dos anteriores em controlo, em portabilidade e na partilha, e prende-te a um ecossistema. Não importa: usar o do navegador é incomparavelmente melhor do que não usar nenhum, porque resolve o problema grande. Quem te disser o contrário está a pôr a pureza à frente do risco real.

A frase que resume tudo

Durante anos disseram-nos como tinha de ser cada palavra-passe e quase nunca nos disseram como íamos lembrar-nos de todas. Era o passo que faltava, e sem ele a única regra que sobreviveu não era uma regra: era uma censura.

Escolhe um. Qualquer um deles. O debate sobre qual é marginal comparado com a distância que existe entre ter gestor e não o ter.


Fontes: NIST SP 800-63B, «Digital Identity Guidelines: Authentication and Lifecycle Management» (comprimento acima da complexidade, sem rotação forçada salvo indício de compromisso, cotejo com listas de palavras-passe comprometidas) · documentação e modelos de segurança publicados pela Bitwarden, KeePass e 1Password.

← Voltar ao blog