Os gestores de palavras-passe, como o Bitwarden, o 1Password, o LastPass, o Dashlane e o Proton Pass, são a forma mais segura de armazenar os logins das suas contas online. Mas, mesmo estes serviços não são infalíveis e alguns deles já foram alvo de ataques: é por isso que é sempre bom ter um backup das passwords. Neste tutorial, ensinamos as melhores práticas e os erros mais comuns que devem ser evitados, quando guardas as suas credenciais de acesso a sites.
Não escreva palavras-passe em post-its
Anotar uma password numa nota autocolante e afixá-la no monitor dá-lhe acesso instantâneo a essa informação, quando precisar de iniciar sessão numa conta. Mas esta é também a forma menos segura de ter acesso a uma palavra-passe, já que está à vista de todos. Além disso, os post-its podem deixar de ter aderência, cair e perderem-se; se isto acontecer e não se lembrar da password, fica sem forma de fazer login.
Crie notas ocultas no PC
Em vez de escrever as palavras-passe em post-its, considere a possibilidade de as guardar em notas virtuais no seu ‘Ambiente de Trabalho’. O Windows 10 e 11 têm uma aplicação para isto, a Sticky Notes, mas preferimos o Stickies, já que é mais versátil. Este programa gratuito permite criar notas com texto e links, atribuir cores diferentes, movê-las para qualquer parte do ecrã, anexá-las a janelas específicas (como a do browser) e ocultar o conteúdo, mantendo as notas “enroladas”, de forma a que apenas o título fique visível.
Descarregue o Stickies no link ‘Download’, à esquerda, e instale-o. Crie uma nota, vá ao menu dos ícones escondidos do Windows, clique com o botão direito do rato no Stickies e em ‘Settings’. Escolha a caixa ‘Start Stickies with all notes hidden’ para que as notas nunca sejam mostradas. Também pode clicar com o botão direito do rato no ícone do programa, como fez anteriormente, e em ‘Show/Hide All’, para fazer aparecer e desaparecer todas as notas e ajustar individualmente a sua opacidade, para que se tornem quase invisíveis.
Se considerar que o Stickies não é suficientemente seguro, pode optar pelo Notezilla (conceptworld.com/notezilla), uma app que permite bloquear notas com uma palavra-passe e sincronizá-las entre computadores/dispositivos móveis, com encriptação de ponta a ponta. O único problema é que este programa é pago – ainda assim, tem um período de teste gratuito de trinta dias.
Não guarde as passwords em documentos
Ter uma lista das palavras-passe num documento online, ou numa folha de cálculo, pode parecer uma forma fácil de guardar a informação num único local e de partilhar as passwords entre dispositivos, mas é um enorme risco de segurança. Se um criminoso tiver acesso a esse documento, poderá iniciar sessão em todas as contas e roubar diversos dados pessoas, inclusive bancários. E mesmo que armazene a lista offline no PC, os logins podem ser comprometidos se o computador for roubado, se for alvo de ataque com malware ou utilizado por pessoas com intenções duvidosas.
Encripte a lista de palavras-passe
Na verdade, é mais seguro escrever as passwords num caderno que num documento online, já que o primeiro não pode ser acedido remotamente – ao contrário disso, conseguimos escondê-lo num local seguro (no entanto, há sempre o risco de ser roubado ou acedido por terceiros). A opção mais segura é criar uma lista encriptada das palavras-passe e o ideal é usar o Office da Microsoft, já que a Google só permite proteger documentos com palavra-passe em contas pagas.
No Word ou no Excel, clique em ‘Ficheiro’ > ‘Informações’ e seleccione ‘Proteger o Documento’ ou ‘Proteger o Livro’. Escolha ‘Encriptar com Palavra-passe’ e introduza a password que pretende utilizar. Em alternativa, pode utilizar uma ferramenta de encriptação como o AES Crypt (aescrypt.com), para proteger a sua lista de palavras-passe.
Depois de instalar o software, basta clicar com o botão direito do rato num documento, seleccionar ‘AES Crypt’ e, em seguida, introduzir e confirmar a palavra-passe de encriptação. Clique em ‘OK’ para criar uma versão encriptada AES do ficheiro na mesma pasta e, em seguida, elimine o documento original. Quando fizer duplo clique no ficheiro encriptado, ser-lhe-á pedido que introduza a palavra-passe – sem esta, será impossível abrir a lista.
Não confie no gestor de passwords do browser
Um gestor de palavras-passe integrado no browser pode guardar os dados de início de sessão nos sites e introduzi-los automaticamente. O gestor de palavras-passe da Google, no Chrome é, sem dúvida, uma das formas mais fáceis de gerir os dados de login. Contudo, os navegadores são um alvo privilegiado dos cibercriminosos, que podem utilizar malware e extensões maliciosas para extrair as informações pessoais. Além disso, por defeito, os browsers não encriptam os dados, embora alguns possam ter essa opção. Mesmo assim, se alguém tiver acesso ao browser, pode utilizar a funcionalidade de preenchimento automático para entrar nas suas contas.
Impeça o preenchimento automático
Mudar para um gestor de palavras-passe dedicado protege os logins dos criminosos e do malware, mas, para maior segurança, deve também impedir que o browser guarde e introduza automaticamente as palavras-passe.
No Chrome, clique no botão de menu de três bolinhas e entre em ‘Gestor de palavras-passe do Google’ > ‘Definições’. Desactive as opções ‘Propor guardar palavras-passe’ e ‘Iniciar sessão automaticamente’.
No Edge, vá a ‘Definições’ > ‘Perfis’ > ‘Palavras-passe’ e desactive ‘Perguntar se pretende guardar palavras-passe’, ‘Preencher automaticamente palavras-passe’ e ‘Guardar automaticamente palavras-passe’.
Se tiver o Firefox, aceda a ‘Definições’ > ‘Privacidade e Segurança’ e desmarque a opção ‘Pedir para guardar credenciais e palavras-passe para sites’ ou clique no botão ‘Excepções’, para impedir que o browser guarde os dados de sites específicos. Também pode desactivar a opção ‘Auto-preenchimento de credencias e palavras-passe’.
Não guarde palavras-passe em e-mails ou aplicações de mensagens
Enviar uma palavra-passe para si próprio num e-mail ou numa mensagem é um perigo. Qualquer pessoa com acesso à sua caixa de correio, no computador ou no telemóvel, poderá ver a palavra-passe. Além disso, o e-mail pode não estar encriptado em trânsito, o que significa que os hackers podem interceptá-lo; e pode, até, enviar a mensagem à pessoa errada. É por isso que, actualmente, as empresas raramente incluem a palavra-passe nas mensagens de verificação e reposição da conta que enviam por correio electrónico: em vez disso, pedem para redefinir a password nos sites.
Envie mensagens temporárias ou que se autodestroem
Se a única forma de guardar temporariamente uma palavra-passe for enviar uma mensagem a si próprio, certifique-se de que não ficará visível durante tempo suficiente para que os cibercriminosos a roubem. Por exemplo, o Gmail tem um modo ‘confidencial’ que faz com que uma mensagem de correio electrónico se autodestrua e em que o destinatário tem de introduzir um código enviado por mensagem de texto, para aceder ao conteúdo do e-mail.
Para enviar uma mensagem deste género, abra o Gmail, clique em ‘Compor’ > ‘Ative/desative o modo confidencial’ > ‘Expira em 1 dia’ > ‘Código secreto por SMS’. Por segurança, não inclua os termos ‘palavra-passe’, ‘password’ ou ‘login’ no assunto ou no corpo do e-mail.
Se usar o WhatsApp para fazer isto, saiba que esta app tem encriptação de ponta a ponta, o que impede que as mensagens sejam interceptadas. Porém, para impedir que uma palavra-passe permaneça nas conversas, toque no ícone de três pontos no canto superior direito da conversa (Android) ou no nome da pessoa a quem quer mandar este dado (iOS), seleccione ‘Mensagens temporárias’ e escolha ‘24 horas’.
