Como faço para armazenar e gerenciar com segurança 180 senhas?

Eu tenho cerca de 180 senhas para diferentes sites e serviços da web. Todos eles são armazenados em um único documento do Excel protegido por senha. À medida que a lista aumenta, fico cada vez mais preocupado com sua segurança.

Quão seguro é, ou devo dizer inseguro, um documento do Excel protegido por senha? Qual é a melhor prática para armazenar tantas senhas de uma maneira fácil e segura de gerenciar?

Acho o método Excel bastante fácil, mas estou preocupado com o aspecto da segurança.

Minha ferramenta favorita de armazenamento de senhas é o KeePass :

O que é o KeePass?

Hoje você precisa se lembrar de muitas senhas. Você precisa de uma senha para o logon na rede Windows, sua conta de email, a senha FTP do seu site, senhas on-line (como a conta de membro do site), etc. etc. etc. A lista é interminável. Além disso, você deve usar senhas diferentes para cada conta. Porque se você usar apenas uma senha em todos os lugares e alguém obtiver essa senha, você terá um problema ... Um problema sério. O ladrão teria acesso à sua conta de e-mail, site, etc. Inimaginável.

O KeePass é um gerenciador de senhas de código aberto gratuito, que ajuda você a gerenciar suas senhas de maneira segura. Você pode colocar todas as suas senhas em um banco de dados, bloqueado com uma chave mestra ou um arquivo de chave. Portanto, você só precisa se lembrar de uma única senha mestra ou selecionar o arquivo de chave para desbloquear todo o banco de dados. Os bancos de dados são criptografados usando os melhores e mais seguros algoritmos de criptografia atualmente conhecidos (AES e Twofish). Para mais informações, consulte a página de recursos .

Existe algum limite para quantas senhas você pode armazenar nela?

Somente na teoria. Você pode colocar quantas entradas no banco de dados desejar, mas em algum momento sua chave USB ou HDD estará cheia.

Existe uma maneira de sincronizar automaticamente as senhas alteradas?

Não, não como você espera.
Você quer fazer disso um processo manual regular. Isso não pode e não deve ser automatizado.

Gosto de configurar datas de vencimento para todas as minhas entradas de senha:
lembro-me de alterar minhas senhas regularmente. Eu armazeno o URL do site com a entrada de senha, por isso é um processo rápido.

Posso fazer logon automaticamente em um site como o Facebook usando este software?

Não, também não automaticamente (pelo menos que eu saiba). Mas é aqui que o Auto-Type entra em ação. Por exemplo, para o Facebook, esta é minha configuração de Tipo automático:

Como você pode ver, eu criei 3 configurações para diferentes títulos de navegadores. Isso permite que eu simplesmente vá para facebook.com, pressione Ctrl+ Alt+ A, e o nome de usuário e a senha serão inseridos automaticamente e eu entrarei.

Se você tiver várias combinações de nome de usuário / senha para o mesmo título de janela, você verá uma janela pop-up perguntando qual entrada de senha deve ser usada.

E o celular?

Existem aplicativos que suportam o formato de contêiner KeePass em dispositivos móveis. Mas eu fico longe disso. Eu simplesmente não gosto do pensamento do meu banco de dados KeePass no meu telefone.

Prefiro transferir senhas únicas usando o plug-in QR Code Generator . Permite gerar um QR Code a partir de uma senha, que pode ser digitalizada com o telefone. Ajuda a ter um aplicativo que pode copiar o conteúdo digitalizado para a área de transferência.

Parece haver vários fácil de usar crackers de senha do Excel.

Eu usaria um sistema de gerenciamento de senhas como 1password ou LastPass, que funciona em vários sistemas operacionais, incluindo celulares.

Eles possuem plugins para a maioria dos navegadores, que podem preencher senhas e outras informações no formulário da web. O 1password também pode configurar um marcador no navegador que fará login automaticamente (todos os usos do aplicativo requerem o uso de uma senha mestra primeiro)

O 1password também pode armazenar notas, conta (por exemplo, email, ftp) e modelos para ajudar a armazenar cartão de crédito, conta bancária e outras informações. Embora seja comercial, você pode obter uma demonstração gratuita que permite a entrada de até 20 itens.

Uma diferença entre os dois é que o 1password armazena apenas os dados localmente (embora você possa sincronizar os dados criptografados usando o dropbox ou similar), o Lastpass pode (alguém deve corrigir isso) armazenar os dados em seu site, o que permite o acesso da web ao dados e não há necessidade de dropbox etc.

Eu tenho usado Lastpass por um tempo agora e recomendo. Possui alguns maravilhosos plugins de navegador e vários recursos que facilitam a obtenção de senhas mais seguras.

O plug-in do navegador preencherá automaticamente as informações de login (quando conectado ao plug-in). Ele também possui uma função de exportação, para que você possa recuperar seu banco de dados e importá-lo para o KeePass, por exemplo. Ele também usa autenticação em duas etapas para segurança extra.

Cliente de desktop:

Plugin do navegador:

O plugin Password Hasher (para Firefox) é o que eu pessoalmente uso.

Como o Password Hasher ajuda:

• Gera automaticamente senhas fortes.
• Uma chave mestra produz senhas diferentes em muitos sites.
• Atualize rapidamente as senhas "bloqueando" a tag do site.
• Atualize uma chave mestra sem atualizar todos os sites de uma só vez.
• Suporta senhas de comprimento diferente.
• Oferece suporte a requisitos especiais, como dígitos e pontuação.
• Suporta a restrição de uma palavra hash para não usar caracteres especiais. (Novo!)
• Salva todos os dados no banco de dados de senhas seguras do navegador.
• Gera uma página HTML portátil com as tags do site e as configurações das opções que permitem gerar hash em qualquer navegador de qualquer máquina sem a extensão instalada. (Novo!)
• Pode adicionar botões de marcador para desmascarar senhas em qualquer site. (Novo!)
• Extremamente simples de usar!

Eu pessoalmente uso o PasswordMaker para gerar senhas a partir de uma senha mestra e da URL do site. O projeto é bastante maduro, de código aberto e estável. Está disponível para Firefox (como uma extensão), Linux CLI, Android etc.

Como funciona:

Aviso - jargão técnico nesta seção! Você fornece ao PasswordMaker duas informações: uma "senha mestre" - a única senha que você gosta - e o URL do site que exige uma senha. Com a mágica dos algoritmos de hash unidirecional, o PasswordMaker calcula um resumo da mensagem, também conhecido como impressão digital, que pode ser usada como sua senha para o site. Embora os algoritmos de hash unidirecionais possuam várias características interessantes, o maiúsculo do PasswordMaker é que a impressão digital resultante (senha) "não revela nada sobre a entrada usada para gerá-la". Em outras palavras, se alguém tiver uma ou mais de suas senhas geradas, é inviável computacionalmente derivar sua senha mestra ou calcular suas outras senhas.

É arriscado confiar em um aplicativo de terceiros para armazenar suas senhas importantes, especialmente nos aplicativos com potencial de conexão on - line ou nos que você os autoriza a acessar os processos de outro programa; e, mais importante, confiar nos de código não aberto .

Uma maneira mais segura, na minha opinião, é armazenar suas senhas importantes em um arquivo de texto (.TXT) e depois criptografar o arquivo com o algoritmo AES pelo dsCrypt.exe . É necessário digitar sua senha principal no dsCrypt apenas uma vez e você poderá criptografar / descriptografar o arquivo de texto da senha várias vezes sem solicitar que você digite novamente a senha principal sempre que o dsCrypt estiver em execução. Você pode executar automaticamente o dsCrypt com o Windows iniciar e inserir sua senha principal uma vez; e o que você precisa é apenas arrastar e soltar seu arquivo de senha (.txt) no dsCrypt para descriptografá-lo / criptografá-lo quando precisar de suas senhas.

Eu recomendo o KeePassXC, que é um fork da comunidade do KeePassX , uma porta nativa de plataforma cruzada do KeePass Password Safe , com o objetivo de estendê-lo e aprimorá-lo com novos recursos e correções de bugs, para fornecer uma plataforma aberta moderna e rica em recursos gerenciador de senhas de origem.

Esse cliente também é recomendado pela Autodefesa da Vigilância .

Principais Características do KeePassXC :

• Armazenamento seguro de senhas e outros dados privados com criptografia AES, Twofish ou ChaCha20
• Multiplataforma, roda em Linux, Windows e macOS sem modificações
• Compatibilidade de formato de arquivo com KeePass2, KeePassX, MacPass, KeeWeb e muitos outros (KDBX 3.1 e 4.0)
• Integração do agente SSH
• Digite automaticamente em todas as plataformas suportadas para preencher automaticamente os formulários de login
• Arquivo de chaves e suporte à resposta a desafios do YubiKey para segurança adicional
• Geração TOTP (incluindo Steam Guard)
• Importação de CSV de outros gerenciadores de senhas (por exemplo, LastPass)
• Interface da Linha de comando
• Gerador autônomo de senha e senha
• Medidor de força da senha
• Ícones personalizados para entradas de banco de dados e download de favicons de sites
• Funcionalidade de mesclagem de banco de dados
• Recarga automática quando o banco de dados foi alterado externamente
• Integração do navegador com o KeePassXC-Browser para Google Chrome, Chromium, Vivaldi e Mozilla Firefox.
• (Legado) Suporte KeePassHTTP para uso com o KeePassHTTP-Connector disponível para Mozilla Firefox e Google Chrome e passafari para Safari.

Eu uso os arquivos do bloco de notas e .txt. Se você quiser meu conselho, aconselho você a não usar um software de terceiros. De onde você sabe que eles não estão roubando suas senhas?
Então, usar arquivos de texto seria o melhor.
Além disso, se você é um programador, sugiro que você crie um programa simples que use codificação para proteger dados. Essa é a melhor solução.