Deixando bairrismo e sentimentos de lado o artigo analisa friamente os prós e contras de cada um dos dois maiores softwares dessa área: 1Password e LastPass. Os dois são abordados por serem os maiores e mais usados, mas vale ressaltar que existem outras ferramentas do tipo, mas simplesmente não estamos comentando sobre elas neste texto.
Quando falamos de segurança da informação devemos considerar que sempre haverá um tradeoff entre a segurança e a usabilidade. Nós sempre podemos adicionar uma camada a mais de segurança, no entanto, iremos acabar abrindo mão da usabilidade, principalmente no dia a dia. Quando se trata de gerenciamento de senhas, devemos levar isso a sério, mas não é necessário tornar a autenticação uma odisséia em nome da segurança e também não é preciso transformá-la numa comédia em nome da usabilidade.
Ter senhas únicas e fortes para cada serviço nos ajudam a manter os dois primeiros, dos cinco “d” da segurança da informação (desencorajar, dificultar, detectar, deter e diagnosticar). Usar um gerenciador de senhas nos ajuda a manter uma base de código fortes e gerados para serem difíceis, e não deduzidos por humanos ou máquinas, sem que enlouqueçamos tentando memorizar todos eles ou ainda que caiamos no mau hábito de usar variações óbvias e previsíveis de uma única senha. Ainda no pior dos casos, cair na tentação de anotar num post-it ou muito pior num arquivo de texto no próprio computador.
Gerenciadores de senhas nos dão uma vantagem no tradeoff mencionado acima, teremos produtividade sem afetar demais nossa segurança. Isso porque agora, todas as senhas estão ligadas a um único serviço protegido por uma senha mestra. E é nesse ponto que os dois sistemas (LastPass e 1Password) se diferenciam.
Dentre os dois serviços, o 1Password, aparentemente, é o mais seguro porque tem aliado a senha mestre uma secret key, que fica atrelada ao seu equipamento e não é armazenada em servidores remotos, no entanto, é uma faca de dois gumes, uma vez que é aconselhável que haja uma cópia dessa secret key no mundo real (uma impressão guardada num local seguro). Em caso de perda dessa informação, o usuário encontra uma longa jornada para recuperar o acesso à conta, o que acaba com a produtividade. O 1Password também oferece a possibilidade de autenticação biométrica digital.
Por outro lado, o LastPass não tem uma secret key protegendo a senha mestra, mas oferece a autenticação em dois fatores, e integração com autenticação por serviços de terceiros, como o Google. As senhas são armazenadas remotamente (permitindo acesso a vários dispositivos que você deseja usar via extensão de browser) ofuscadas com criptografia 256-bit AES (o que é mais do que aceitável, já que mesmo que use os computadores mais rápidos do mundo em 2019 – com exceção da China e da NSA – levaria milhões de anos para quebrar essa criptografia e nós sabemos que você vai mudar essa senha antes desse tempo não é mesmo?).
Some a isso o fato de que a cifra 256-bit AES é a primeira e única block cipher de acesso público aprovada pela NSA para informações classificadas como TOP SECRET (vide norma ISO/IEC 18033-3:2005 e revisão 2010). Outro fator importante é que suas senhas só serão descriptografadas e criptografadas no seu dispositivo local, fazendo com que não seja possível um ataque de man in the middle.
Outro ponto a ser analisado, é que o LastPass teve dados divulgados em 2017 (possibilitando roubos de senhas), no entanto, podemos considerar isso como um diferencial do 1Password (haverá controvérsia) – que até onde sei nunca teve falha de vazamentos de dados. Quem sofreu um ataque cibernético, sabe como sua compulsão por segurança é elevada exponencialmente para que isso não se repita.
Portanto, durante a escolha de um programa responsável por gerenciar as suas senhas, leve em conta a criticidade dos serviços que estão sendo armazenados no sistema (no caso de empresas, verifique se sua política de SI permite que credenciais de acesso a seus serviços sejam armazenadas nesses sistemas) e lembre que senhas, em geral, não são seguras. Fatores de dupla autenticação como tokens, e outras formas sofisticadas poderão fazer mais sentido para cada caso. Além disso, lembre de trocar as senhas periodicamente, sem repetir o código.