Como guardar suas senhas (e chaves privadas) de forma segura?
Вставка
- Опубліковано 21 лип 2018
- **Lembretes importantes (LEIA!):
1) Nunca baixe o keepassx de um site que não seja o oficial, e preferencialmente confira a assinatura GPG do arquivo depois do download. A última coisa que você deseja é concentrar todas as suas senhas em uma cópia "envenenada" do keepassx que possa potencialmente enviá-las para algum atacante. Custodiar suas próprias senhas requer alguns cuidados e atenção.
2) Se você mantém várias cópias de backup em lugares distintos do banco de dados de senhas, você é responsável por atualizar todos os backups todas as vezes em que houver uma alteração. Sempre mantenha os backups atualizados e sincronizados, ou você corre risco de perder a cópia mais recente e você somente ter guardada uma cópia que contém uma senha mais antiga. Os gerenciadores de senhas online fazem esta sincronia automaticamente, mas lembre-se que a segurança é inversamente proporcional ao conforto.
- Acesse o forum: tribocrypto.com
Aprenda a mexer no terminal do Linux comigo:
- Curso de Terminal Linux: ead.diolinux.com.br/ver/curso...
- Curso de Shell Script: ead.diolinux.com.br/ver/curso... - Наука та технологія
Muito obrigado, estava tendencioso a procurar um software de gestão de senha mesmo, ou pelo próprio papel, mas suas considerações tiveram muita importância para como vou decidir lidar agora.
Agradeço novamente por ter compartilhado seu conhecimento.
Sensacional! Dica simples, mas muito útil!
Opa! Valeu, Jose!
Segurança é inversamente proporcional ao conforto. Concordo. O próprio Bruce Schneier fez uma palestra inteira onde ele fala apenas disto.
Valeu Avelino!! Bom saber que não estou sozinho então hehe.
Obrigado por este conteúdo raro, educativo e relevante!
Disponha, Mateus!
Excelente
Obrigado.
**Lembretes importantes (LEIA!):
1) Nunca baixe o keepassx de um site que não seja o oficial, e preferencialmente confira a assinatura GPG do arquivo depois do download. A última coisa que você deseja é concentrar todas as suas senhas em uma cópia "envenenada" do keepassx que possa potencialmente enviá-las para algum atacante. Custodiar suas próprias senhas requer alguns cuidados e atenção.
2) Se você mantém várias cópias de backup em lugares distintos do banco de dados de senhas, *você* é responsável por atualizar todos os backups todas as vezes em que houver uma alteração. Sempre mantenha os backups atualizados e sincronizados, ou você corre risco de perder a cópia mais recente e você somente ter guardada uma cópia que contém uma senha mais antiga. Os gerenciadores de senhas online fazem esta sincronia automaticamente, mas lembre-se que a segurança é inversamente proporcional ao conforto.
- Acesse o forum: tribocrypto.com
Vou baixar o keepassx achei mto interessante a parte de nota. Só mais uma dúvida. No caso das phrases das wallets, colocaria na parte das notas ou senha? Pelo que entendi não faz diferença uma vez que todo o conteúdo é criptografado. É isso? Antes usava o evernote para com a função de criptografia de texto para salva minhas senhas. Mas esse programa parece mais lógico. Obrigada pela dica.
Exatamente. O conteúdo total é criptografado. Independente se está na área de senha ou de notas.
O ideal é fazer um teste com algum texto aleatório, salvar, fechar e abrir o programa antes de colocar a seed lá.
Baixei para windows, nesse caso o programa é portátil, quando clica para abrir o arquivo de banco de dados na área de trabalho ele abre como bloco de notas criptografado e não aparece lugar para colocar senha mesmo depois de fechar o programa.
Tem como usar uma forma compartilhada esse gerenciador? Realizar a instalação em máquinas diferentes e importar o banco já cadastrado de uma máquina por exemplo?
Grande Tiago, mais um excelente vídeo bem instrutivo. Acho que está na hora de abandonar os post-its amarelos colados em volta do monitor e os pedaços de papel guardados na gaveta.....rsrsrs....Mas falando sério, e quanto ao uso das digitais, íris e palma da mão. Existem alguns notebooks que faziam a leitura da digital mas parece que não vingou. Os smartphones passaram a usar bastante essa funcionalidade de leitura da digital, será que é melhor ou mais seguro?
Valeu Cecílio! post-its amarelos são inseguros. Se eu fosse você trocava por azuis. haha
Com relação as digitais, é aquela coisa.. você move o problema de um lugar para outro. Dificulta um atacante de acessar sua conta sem sua presença física, mas por outro lado, um atacante realmente determinado a acessar sua conta poderia ainda te fazer de refém para você desbloquear o dispositivo. Não resolve, mas minimiza o tipo de ataque.
Não tenho uma opinião formada sobre isso ainda para falar a verdade. O máximo que consigo pensar é que eu pessoalmente evitaria desbloquear um dispositivo que contém algo de extremo valor em ambiente público para que não saibam que a minha digital é o meio pelo qual um atacante irá conseguir algo.
Blz. Vou trocar a cor então....rsrsrs...me sinto muito mais seguro assim....
Eu não gosto da ideia de confiar em um programa para salvar minhas senhas, uso esteganografia e assim escondo em uma foto por exemplo, não chama atenção.
Interessante! É uma possível técnica para um usuário mais avançado. Confesso que já brinquei com o steghide algumas vezes, mas nunca me passou pela cabeça ocultar minhas senhas em arquivos de imagens, especialmente por se tratar de um número elevado de senhas e dados adicionais a serem armazenados. Não deixa de ser uma alternativa curiosa. Obrigado pela contribuição.
@@TiagoSalem Não esquecendo de criptografar tbm. Deixando a senha lá aberta, alguém suficientemente ousado poderia escanear o arquivo e obter os dados
Essa extentão de arquivo do keepass, só pode ser aberta com esse programa em específico? Não corre o risco do app sair do ar?
Muito bom , podia fazer um video sobre 2fA de celular e por que nao é recomendado.
Para colocar as senhas no Keepassx é melhor deixar tudo offline ?
Faz o video sobre autenticação por SMS por favor? Bancos e aplicações hoje em dia enviam cada vez mais códigos (otp, pin) por SMS. Quais seriam as alternativas para quem desenvolve esses sistemas?
Vou fazer sim. O problema do sms começa por ser um canal de comunicação inseguro, mas tem umas formas muito primárias de roubar o número de telefone de alguém usando um pouco de engenharia social e ligando para a operadora. Esse youtuber explica o que aconteceu com ele: ua-cam.com/video/caVEiitI2vg/v-deo.html
E como lidar com o problema da sua área de transferência estar hackeada? Vc tem a senha segura mas quando copiar do aplicativo ela fica disponibilizada para o atacante...
Neste caso, se o computador está comprometido, nada que você faça ajudará muito. Se o clipboard está sendo monitorado, você ja foi infectado e é possível que exista keyloggers e outras coisas para capturar sua senha em outro formato. Quando o computador local está comprometido, não tem muito para onde correr.
Sugiro que você coloque os links dos vídeos referidos. Não achei o vídeo anterior que vc mencionou.
Costumo usar o Wise Folder Hider, gostei muito desse programa portátil, a única coisa que fiquei na dúvida, se dá para salvar várias senhas escritas em um bloco de notas e copiar para dentro dele.
Não sei se ele importa senhas de um arquivo texto. É mais seguro fazer manualmente já que se tratam de dados sensíveis.
eu utilizo o bitwarden, ele também é open source e tem pra várias plataformas. só que ele peca nesse quesito que você falou, a sincronização com servidor. eu ainda não estou disposto a perder essa comodidade, porque utilizo bastante no celular também.
Não conheço essa bitwarden. Pois é. Segurança é sempre isso aí. Precisa avaliar o risco x comodidade.
Vou dar uma olhada nesse software aí. Valeu!
@@TiagoSalem A Desvantagem dele é que ele é hospedados em um dos 14 olhos, mas é sef host
@@lorran5675 só lembrando que o bitwarden tbm tem opção de fazer auto-hospedagem
Existe alguma versão confiável do keepassx para Android?
(eu sei que os times de desenvolvimento são outros, mas gostaria de saber se você confia em algum)
Caso você não utilize nenhuma versão Android, qual dica você dá pra acessar as senhas do keepassx pelo celular?
Eu sei que existem algumas versões do keepass para android, e apesar de já ter usado no passado, tenho um pouco de receio por precisar ter o banco de dados salvo no próprio celular (que eu carrego para todo lado) ou em cloud (que não está em minha posse).
Pessoalmente não recomendo nenhum, mas você pode dar uma olhada nessa thread aqui que eles listam algumas opções. Teria que pesquisar cada um individualmente para ver qual a melhor alternativa.
www.quora.com/Whats-the-best-KeePass-App-for-Android
Se descobrir, manda posta aí pro pessoal saber também.
Valeu!
Tiago Salem opa valeu pela resposta, vou pesquisar mais tarde e falo aqui se descobrir algo. Sobre o receio de carregar o banco de dados no celular, isso só seria perigoso se alguém roubasse meu celular e soubesse de uma falha de segurança no KeePass, certo? ou estou esquecendo de mais detalhes?
A mesma coisa sobre guardar na nuvem, só se torna perigoso se descobrirem uma falha no KeePass? Caso contrário, é um arquivo inútil para o invasor.. (logicamente, tendo uma senha mestra bem difícil)
Exatamente. Vamos supor um cenário hipotético que o keepassx utilizasse um algoritmo criptográfico como RSA para encriptar o banco de dados. O RSA se baseia na premissa que não existe forma rápida e fácil de descobrir quais números primos foram multiplicados para gerar as chaves (veja o vídeo sobre criptografia assimétrica aqui no canal). Este é um problema de matemática que até hoje não foi resolvido, porém um dia certamente será. Neste ponto, sabendo da vulnerabilidade, sites que usam RSA para efetuar conexões seguras mudariam para algum outro algoritmo não vulnerável, porém, o seu arquivo encriptado que está na posse de um atacante continuará encriptado com o mesmo algoritmo, que agora se tornou vulnerável, e facilmente conseguiria quebrá-lo.
Outra coisa é o surgimento de computadores quânticos, que podem potencialmente acelerar em muito a quebra de vários algoritmos de criptografia.
Esta é a importância que um arquivo, mesmo que totalmente encriptado, permaneça somente sob sua custódia. Por mais que um dia descubram uma falha na criptografia, você conseguira facilmente migrar para outro software/algoritmo sem ficar com a dúvida de que os dados que estão naquele arquivo podem estar vulneráveis e potencialmente acessíveis por outras pessoas.
E compactar o arquivo e criptografá-lo com uma senha difícil não é um bom método ?
Olá! Não saberia dizer especificamente sobre compactação com senha pois depende de qual algoritmo você irá usar para criptografar. Se o algoritmo for seguro, provavelmente é um bom método. Porém softwares como o keepassx fazem algo muito similar (incluindo a compactação), mas tendo a vantagem de manter o armazenamento das senhas de forma organizada, e fornecendo ferramentas para gerar as senhas (e inclusive copiar para a área de transferência com ctrl + c) sem a necessidade de expôr visualmente as senhas em tela. Algo que você não conseguira com um arquivo em texto plano, por exemplo.
Uso já a muitos anos, o KeepassPortable, da PortableApps
O que você acha do TrueCrypt ou do VeraCrypt?
Não seriam soluções mais seguras que o keypassx?
Parabéns pelo canal.
Obrigado Charles!
Bom, ambos os programas servem para criptografar discos. É um caso de uso diferente de gerenciadores de senhas. Tanto o TrueCrypt quanto o VeraCrypt servem para proteger o sistema de arquivos como um todo, e não um arquivo em específico. O truecrypt também foi descontinuado e tem um aviso na página oficial para não utilizá-lo, pois pode ter falhas de segurança não corrigidas.
Sem sombra de dúvidas que criptografar os discos podem adicionar uma camada extra de segurança, mas infelizmente não é suficiente para resolver por completo o problemas de múltiplas senhas.
O gerenciador de senhas criptografa um arquivo em específico. Se você copiá-lo para outro dispositivo (como um pendrive), este arquivo continuará criptografado, o que não é verdade se você somente estiver usando o veracrypt para criptografar o disco do seu computador.
como eu verifico a assinatura GPG ??
Não cheguei a fazer vídeos sobre isso, mas acho que tem um video do Tayrone explicando em detalhes: ua-cam.com/video/QNRjvht03j0/v-deo.html
Com certeza há mais vídeos no youtube explicando como fazer a verificação ou até mesmo artigos. É algo bem comum neste meio.
mas para usar as senhas geradas é na base do ctrl+c ctrl+v ?
Sim. O software se encarrega de limpar a senha do ctrl+v depois de alguns segundos.
@@TiagoSalem grato
Qual a diferença entre o "keepass" e o "keepassX"?
São softwares diferentes, mas que conseguem abrir o mesmo tipo de banco de dados de senhas. Implementam o mesmo protocolo, mas keepassX é mais atual.
Qual o nível de segurança de uma senha mestra sendo uma palavra aleatório, por exemplo: Ventilador?
Nenhuma segurança. Um simples "ataque de dicionário" pode quebrar em questão de segundos. Se deseja usar palavras para lembrar mais fácil, é mais indicado utilizar uma frase completa (com várias palavras) e que só você saiba (não exista em nenhum lugar público), que faça pouco sentido e que misture caracteres especiais e letras maiúsculas e minúsculas. Nosso cérebro é melhor em guardar frases inteiras do que sequências aleatórias de caracteres.
Infelizmente não encontrei em Português, mas esta tirinha explica o motivo técnico de porquê usar sequências de palavras é mais seguro: xkcd.com/936/
valeu, então uma frase aleatória sim seria algo seguro?
Com certeza mais seguro do que uma palavra só, desde que ninguém saiba que frase é, e que de preferência ela faça pouco sentido. Vou planejar um vídeo específico sobre segurança de senhas.
Thiago, como sei que o keepass é seguro?
Nao tenho conhecimento nenhum por isso a pergunta idiota...
A pergunta não é idiota. Fica tranquilo. Na verdade não há um método especifico para provar que algo é seguro, mas você pode usar alguns indícios. Ser software de código aberto é um bom início, e não ter muitas vulnerabilidades descobertas é outro. No final das contas, o usuário é geralmente o ponto de falha. O software pode ser seguro, mas se o computador da pessoa já estiver comprometido, com virus ou cavalos de troia, de nada adianta. O keepassx teve poucas vulnerabilidades conhecidas, e as poucas que existiram foram corrigidas rapidamente.
E se o keepass deixar de existir?😅 obrigado
Não é melhor guardar em 1 pendrive por exemplo!
Não entendi a pergunta. Se você diz guardar em um pen drive de forma não criptografada, definitivamente não é mais seguro. Qualquer pessoa com acesso físico pegaria suas senhas. Você pode guardar o arquivo do keepass em um pen drive, mas tem que ter backup. Se o pen drive queimar, você perde tudo.
Se for pra guardar em um site e mais facil anotar num caderno
Não é um site. Keepass é um aplicativo local que você pode rodar offline.
Eu nao guardaria senha do dia a dia com senhas de wallets, seeds ou hashes.
Sem dúvida que não se deve misturar. O ideal é ter um banco separado para cada coisa. Talvez não tenha ficado claro no vídeo, mas seeds e private keys deve-se guardar em um db separado e só usar quando necessário e de um local confiável.
tá aí o o motivo de Hackers estar sempre um passo a frente dos Analistas de Segurança da Informação por motivos muito simples. Erros atrás de erros cometidos. Até mesmo neste video.
Editou a mensagem original por algum motivo específico?
Primeiro, não sei de onde tirou que eu sou analista de segurança. Segundo, depois da besteira que escreveu no comentário original, nem merece resposta.
@@TiagoSalem eu nem ia te responder meu querido, mas vamos lá... Primeiro que eu edito quantas vezes a plataforma me permitir, o recurso está aí pra ser usado...Segundo: releia o meu comentário até voce entender, pois voce leu errado, mas se após ler novamente e nao entender eu volto aqui e explico pra voce. tenha mais atenção ao ler pra nao intepretar errado.
boa noite.
@@DeepOf o mínimo que vc deveria fazer é apontar os erros do video né cara, dizer que o cara tá errado é o mesmo que nada
Muita conversa fiada.
Não dá pra assistir até o fim.