Os aplicativos de gerenciamento de senhas existem há décadas. Hoje em dia, existem dezenas de candidatos legítimos para a tarefa de disputar suas credenciais on-line, e todos eles começam com a mesma arquitetura básica: seus nomes de usuário, senhas e outros segredos são armazenados em um banco de dados (geralmente chamado de banco de dados). cofre) protegido com criptografia forte. Para desbloquear esse cofre, você insere uma senha mestra.
Na verdade, esse modelo é tão difundido que inspirou os nomes de alguns produtos líderes da categoria. Há 1Senhapor exemplo, que promete que você só precisará lembrar uma senha em vez de dezenas ou centenas. Última passagem afirma que sua senha mestra será “a última senha que você precisará”.
Além disso: por que você ainda pode confiar em (outros) gerenciadores de senhas, mesmo depois daquela bagunça do LastPass
Os melhores produtos da categoria oferecem opções sem senha como alternativa à digitação da senha mestra para desbloquear seu cofre de senhas. Normalmente, isso significa usar biometria (reconhecimento facial ou identificação de impressão digital) ou uma chave de hardware em um dispositivo confiável. Mas em todos esses casos, a senha mestra ainda está disponível como método de descriptografia de backup.
E é aí que algumas pessoas ficam nervosas ao confiar todos esses segredos a um gerenciador de senhas. Se alguém conseguir roubar sua senha mestra, poderá assumir o controle de toda a sua existência online. Você pode dificultar consideravelmente o trabalho de um invasor com a autenticação multifator, mas ainda é um ponto fraco em termos de arquitetura.
Mas e se você pudesse se livrar completamente da senha mestra, usando apenas chaves de acesso para provar sua identidade? Essa opção está disponível hoje para qualquer pessoa que crie uma nova conta no Dashlane, e o rival 1Password está oferecendo uma versão beta pública para permitir que seus clientes testem um recurso semelhante. (Ambas as empresas dizem que os clientes com contas pessoais existentes e qualquer pessoa que queira abrir uma conta comercial terão que esperar até 2024 para tornar suas contas completamente sem senha.)
Além disso: qual deve ser o comprimento de uma senha em 2023? Você está fazendo a pergunta errada
Você deveria abandonar completamente sua senha mestra? Eu mergulhei com os dois Dashlane e 1Senhaconfigurando contas de teste gratuitas para ver como é a experiência.
Minha conclusão: existe um gerenciador de senhas sem senha no futuro, mas apenas clientes tecnicamente sofisticados deveriam mergulhar nele hoje.
Configurando uma conta sem senha
Ambos os produtos seguem um fluxo de trabalho semelhante para habilitar contas sem senha. Para o Dashlane, você começa instalando o aplicativo Dashlane em um dispositivo móvel (iOS ou Android) e, em seguida, configura uma nova conta pessoal usando a opção sem senha com um endereço de e-mail que se torna seu nome de usuário. (Não precisa ser um endereço de e-mail principal, mas você precisa confirmar o endereço antes de concluir a configuração.)
Dashlane foi o primeiro desenvolvedor a lançar um gerenciador de senhas totalmente sem senha Captura de tela de Ed Bott/ZDNET
1Password exige que você participe do beta público usando seu móvel ou Área de Trabalho links; depois de criar uma nova conta individual, você pode seguir as instruções para criar uma chave de acesso. (Se você estiver em um iPhone, certifique-se de configurar o iCloud Keychain como um local para armazenar chaves de acesso. Se você tiver um dispositivo Android, continue lendo.)
1Password usa senhas para ativar contas sem senha, o que causa alguns problemas Captura de tela de Ed Bott/ZDNET
Com essas tarefas resolvidas, você pode importar suas senhas existentes e adicionar novas. Mais importante ainda, agora você tem um dispositivo que pode usar para configurar o acesso ao cofre de senhas em outros dispositivos, sem necessidade de senha mestra.
Configurando dispositivos adicionais
A maioria dos gerenciadores de senhas modernos armazena o banco de dados de senhas criptografadas na nuvem para que você possa sincronizar e compartilhar credenciais entre dispositivos. Dashlane e 1Password adotam abordagens muito diferentes para a tarefa de configuração de dispositivos adicionais.
Depois de configurar minha conta Dashlane sem senha em um dispositivo Android, achei fácil configurar outros dispositivos, incluindo um iPhone e iPad, um MacBook Air e vários PCs com Windows 10 e Windows 11. Veja como funciona.
Além disso: Os melhores serviços VPN: testados e revisados por especialistas
Em um dispositivo móvel, instale o aplicativo Dashlane; em um PC ou Mac, instale a extensão do navegador Dashlane. Em seguida, inicie o processo de login inserindo o endereço de e-mail que você usa para a conta. No dispositivo que já está assinado, acesse Configurações > Adicionar novo dispositivo no aplicativo Dashlane e confirme que sim, é você que está tentando fazer login.
No novo dispositivo, o Dashlane exibe um desafio de segurança composto por cinco palavras aleatórias, retiradas do Grande lista de palavras para senhas da Electronic Frontier Foundation; essa mesma lista aparece no dispositivo onde você já está conectado, com uma caixa vazia. Preencha a palavra que falta, toque em Confirmar e seu novo dispositivo estará configurado.
Dashlane exige que você passe neste desafio digitando a palavra que falta exibida no outro dispositivo Captura de tela de Ed Bott/ZDNET
Eu gostaria de poder dizer que o processo foi igualmente simples usando a versão beta do 1Password, mas enfaticamente não é, pelo menos não no meu mundo multiplataforma. 1Password usa senhas para permitir logins sem senha, o que significa que você precisa de uma maneira de compartilhar chaves de acesso entre dispositivos.
Se você tiver o iCloud Keychain da Apple ativado, é muito fácil fazer isso em Macs, iPhones e iPads, mas PCs com Windows e dispositivos Android apresentam um problema. Documentação do 1Passwordna verdade, observa que você precisa do Windows 11 22H2 ou posterior (desculpe, Windows 10) e que “[e]mesmo em versões suportadas do Android, alguns dispositivos podem não suportar o salvamento de uma senha para uma conta 1Password.”
Além disso: Segurança do Windows: como proteger seus PCs domésticos e de pequenas empresas
Não tive problemas ao usar um código QR para configurar meu iPhone, mas quando tentei configurar a extensão 1Password no Microsoft Edge para Mac, levei facilmente meia dúzia de tentativas para fazer as coisas funcionarem. Primeiro tive que explicar ao 1Password que não havia senha no meu telefone Samsung, depois disso apareceu um código QR que escaneei com meu iPhone para ativar um prompt de senha do Keychain. Então tive que aprovar um pop-up confirmando que realmente era eu. 1Password então me mostrou um código que eu deveria inserir em uma caixa de diálogo em uma janela do navegador que estava escondida atrás de algumas outras janelas.
Mas configurar uma conta sem senha no Windows ou Android adicionou um novo nível de frustração. Esta foi a mensagem de erro padrão quando tentei fazer login em um PC com Windows 11.
O Windows não oferece uma maneira de compartilhar chaves de acesso, tornando o 1Password mais difícil de configurar Captura de tela de Ed Bott/ZDNET
Talvez eu tenha conseguido usar o gerenciador de senhas do Google Chrome para compartilhar minha chave de acesso, mas realmente faz sentido usar o gerenciador de senhas de outra pessoa para ativar o recurso 1Password?
Descobriu-se que a melhor maneira de ativar minha conta sem senha era salvar uma senha no 1Password usando minha conta atual no dispositivo Samsung com o qual comecei e, em seguida, anexar essa conta ao 1Password no novo dispositivo usando sua senha mestra e chave secreta, e (finalmente!) adicione a nova conta lá. Como o 1Password suporta anexar várias contas a um único dispositivo, isso funciona, mas é extremamente complicado e ajuda a explicar por que esse aplicativo ainda não está perto de ser digno de lançamento.
Além das senhas: quatro etapas importantes de segurança que você provavelmente está esquecendo
O problema para mim, porém, veio quando tentei exportar minhas senhas da nova conta sem senha. O aplicativo beta do 1Password insiste que você digite uma senha mestra (que não existe para esta conta, é claro) antes de iniciar uma exportação. Um representante de suporte técnico confirmou que esse recurso está faltando na versão beta atual.
Dadas as dores de cabeça do beta, decidi excluir minha conta 1Password sem senha e tentar novamente em alguns meses. Mas o Dashlane foi impressionante o suficiente para me fazer pensar seriamente em mudar.
Qual é o risco?
Quando você tem uma conta sem senha, a única maneira de acessar suas senhas é estabelecer sua identidade com a ajuda de um dispositivo confiável onde você já confirmou suas credenciais com os servidores de gerenciamento de senhas.
Então, o que acontece se você não conseguir acessar nenhum desses dispositivos confiáveis? Você está bloqueado, provavelmente para sempre. O objetivo dos gerenciadores de credenciais de conhecimento zero é que você E só você pode desbloquear esse cofre. Sem uma senha mestra, você não tem um método alternativo para restaurar o acesso ao seu cofre criptografado.
Além disso: pare de usar senhas fracas para serviços de streaming – é mais arriscado do que você pensa
Tanto o Dashlane quanto o 1Password oferecem uma alternativa na forma de uma chave de recuperação. Esse é um código alfanumérico gerado aleatoriamente (a chave do Dashlane tem 28 caracteres; 1Password usa uma chave de recuperação de 56 caracteres) que você imprime e armazena em um local seguro. Se você estiver em uma situação em que não tenha um PC ou dispositivo móvel conectado à sua conta, poderá quebrar o vidro e usar a chave de recuperação como último recurso. Mas você nunca precisará digitá-lo em circunstâncias normais, o que significa que é resistente a phishing, keyloggers e outras ferramentas de hacking.
Você deve mudar para uma conta sem senha?
Não há dúvida de que as contas sem senha representam o futuro, mas não o presente. Neste momento, apenas uma empresa, a Dashlane, está oferecendo o recurso em um produto de remessa, e apenas para novas contas pessoais. Se você está satisfeito com seu gerenciador de senhas atual, ainda não é hora de pensar em mudar.
Fiquei bastante impressionado com Dashlane que vou usar minha nova conta sem senha por alguns meses e ver se ela é um substituto válido para o 1Password. Vou mantê-lo informado.
source – www.zdnet.com
