.
Opinião Para o bem ou para o mal, ainda precisamos de senhas e, para protegê-las e organizá-las, recomendo o gerenciador de senhas Bitwarden de código aberto.
O LastPass é talvez o gerenciador de senhas mais popular do mundo. Também é sem dúvida o gerenciador de senhas mais quebrado. Existe uma alternativa de código aberto melhor e mais segura.
Mas antes de mergulhar no Bitwarden, vamos falar um pouco sobre por que o LastPass é problemático. No final do ano passado, Revelado o CEO do LastPass, Karim Toubba que um incidente de segurança de agosto tinha sido muito pior do que eles admitiram inicialmente. Em vez de simplesmente perder o código-fonte interno e os documentos do desenvolvedor – o que é ruim – eles também perdeu informações da conta do cliente e dados do cofre.
O que isso significa? Isso significa que, pelo menos, alguém pode ter seus dados de conta de assinante não criptografados. Isso inclui seus nomes de usuário do LastPass, nomes de empresas, endereços de cobrança, endereços de e-mail, números de telefone e endereços IP. Eles também têm os dados do seu cofre. Isso inclui URLs de sites e seus nomes de usuário e senhas criptografados.
Sua conta foi violada? LastPass não está dizendo. Os dados da conta de quantas pessoas foram roubados? Nós não sabemos. Os dados de todos foram roubados? Pode ser.
Toubba afirma que os dados criptografados permanecem “protegidos com criptografia AES de 256 bits e só podem ser descriptografados com uma chave de criptografia exclusiva derivada da senha mestra de cada usuário usando nossa arquitetura Zero Knowledge”. Portanto, em teoria, suas senhas devem ser seguras.
Sim. Direita. Se você usou uma senha fraca para sua senha mestra, digamos, a sempre popular “123456”, você está praticamente quebrado. E com isso, todas as suas outras senhas cairão direto nas mãos do invasor. Mesmo o melhor bloqueio de criptografia do mundo não ajudará se você der ao invasor a chave com uma senha mestra fácil de adivinhar.
Também acho mais do que um pouco superficial que o LastPass não esteja contando a ninguém mais detalhes sobre o que aconteceu com a invasão. A Bitwarden, por outro lado, é transparente com seus auditorias e certificações além de sua base de código aberto. A diferença é clara.
O LastPass recomenda que você altere sua senha mestra e todas as outras senhas. Eu recomendo que você diga adeus ao LastPass e mude para outro gerenciador de senhas.
Existem muitos bons gerenciadores de senhas. Eles incluem 1Password, DashLane e NordPass. Mas pelo meu dinheiro, ou nenhum dinheiro, você não pode vencer Bitwarden.
Bitwarden é um tipo de programa de código aberto. Especificamente, ele usa uma licença disponível na fonte. A empresa admite que a licença Bitwarden não se qualifica como código aberto sob a definição da Open Source Initiative (OSI), mas eles “acreditam que a licença equilibra com sucesso os princípios de abertura e comunidade com nossos objetivos de negócios”.
Eu gostaria que estivesse sob, digamos, uma licença Apache, mas ainda é mais amigável ao código aberto do que qualquer outra coisa por aí, então vou viver com isso.
Deixando de lado a questão do licenciamento, o lado prático do Bitwarden é que ele é gratuito para usar tanto em um servidor quanto em um cliente. Por exemplo, como cliente, você pode executá-lo no Linux, Windows, macOS, Android, iPhone e iPad. Com suas extensões de navegador, você também pode usá-lo no Brave, Chrome, Edge, Firefox, Safari, Opera, Vivaldi e Tor. O custo? Você pode executá-lo gratuitamente em todos os dispositivos e navegadores que tiver.
De graça, você também obtém um armazenamento baseado em nuvem para todas as suas senhas, Bitwarden Web Vault; um gerador de senha aleatório; autenticação de dois fatores (2FA); e a segurança adicional do recurso de violação de banco de dados da Bitwarden. Este último recurso verifica se alguma de suas senhas já foi exposta.
Alerta de spoiler: é provável que suas senhas já estejam por aí. Não acredita em mim? Verifique seu endereço de e-mail ou número de telefone em HaveIbeenPwned e prepare-se para uma surpresa desagradável.
Suponha, no entanto, que você não confie em ninguém com seus IDs e senhas. Nesse caso, você pode fazer o que eu faço e execute seu próprio servidor Bitwarden. Se fazer isso do zero é muito assustador para você, você pode configurar o Bitwarden facilmente em sua própria máquina usando contêineres do Docker. Não tem um servidor próprio? Você também pode instale e execute o Bitwarden em um Raspberry Pi.
Digamos que você não seja um administrador de sistema Linux e não seja tão paranóico quanto eu. Nesse caso, você pode querer investir em um dos níveis comerciais da Bitwarden.
Por US $ 10 por ano, você obtém um relatório de força da senha; um gigabyte de armazenamento para anexos de arquivos criptografados; e suporte de login seguro de hardware 2FA para YubiKey e/ou Duo. Eu acredito muito em chaves 2FA físicas. É muito fácil decifrar mensagens de texto/SMS 2FA. Os aplicativos autenticadores mais populares, como o Google e o da Microsoft, estão vinculados às grandes empresas.
Se você tem uma família ou um grupo pequeno, há um plano de $ 40 por ano para seis usuários. Você também pode compartilhar senhas com este plano. Não, repito, não faça isso. Talvez você confie em seu irmão. Mim? Eu não estou tão confiante.
Finalmente, existem dois planos de negócios da Bitwarden. O primeiro, o Teams, para pequenas organizações, custa US$ 3 por mês por usuário. O plano Enterprise maior e mais completo custará US $ 5 por usuário mensalmente.
O que quer que você decida fazer, recomendo que saia do LastPass e mude para outro gerenciador de senhas. Eu não sei o que está acontecendo lá. Ninguém faz. Francamente, não confio mais neles. E você também não deveria. ®
.
