Segundo um estudo de 2024, um usuário de internet tem, em média, cerca de 168 senhas para suas contas pessoais, um aumento de 68% em relação a quatro anos antes. Diante dos riscos de cibersegurança associados ao compartilhamento de dados de login entre contas e ao uso de senhas fáceis de adivinhar, a maioria de nós precisa de ajuda para gerenciar tantos acessos. É aí que entram os gerenciadores de senhas: eles permitem armazenar e lembrar senhas longas, seguras e exclusivas para cada uma de nossas contas on-line.

No entanto, isso não significa que os gerenciadores de senhas sejam uma solução definitiva nem que você deva se descuidar na internet. Como eles contêm literalmente as chaves da nossa vida digital, também se tornaram um alvo para os cibercriminosos. A seguir, separamos seis riscos potenciais e algumas ações para mitigá-los.

6 riscos de segurança dos gerenciadores de senhas

Com acesso aos dados de login armazenados em seu gerenciador de senhas, os cibercriminosos podem sequestrar suas contas para cometer fraude de identidade ou vender acessos/senhas para terceiros. Por isso, eles estão sempre buscando novas formas de ataque. Confira os 6 problemas mais comuns:

1. Comprometimento da sua senha mestra

Pode parecer uma boa ideia usar uma senha única e fácil de lembrar para acessar o gerenciador de senhas com todas os seus dados de login. No entanto, o problema desse método é que, se os cibercriminosos conseguirem obter essa senha mestra, eles terão o mesmo nível de acesso. Por exemplo, isso pode ocorrer por meio de um ataque de "brute force", no qual utilizam ferramentas automatizadas para testar diferentes senhas repetidamente, pela exploração de vulnerabilidades no software de gerenciamento de senhas ou por meio de páginas de phishing que enganam os usuários para que revelem suas informações.

2. Anúncios de phishing ou golpes

Observamos que cibercriminosos publicam anúncios falsos nos resultados de busca do Google, criados para atrair as vítimas a sites falsos que coletam seus endereços de e-mail, senhas mestras e chaves secretas. Esses anúncios parecem legítimos e direcionam para páginas falsas com domínios que tentam imitar os originais.

Por exemplo, um domínio pode ser "the1password[.]com" ou "app1password[.]com", em vez do verdadeiro "1password.com", ou ainda "appbitwarden[.]com" em vez de "bitwarden.com". Ao clicar em uma dessas páginas, a pessoa é levada a uma tela de login com aparência autêntica, criada para roubar todos os logins armazenados no gerenciador de senhas.

3. Malware para roubar senhas

Os cibercriminosos têm desenvolvido malwares específicos para roubar dados de login dos gerenciadores de senhas das vítimas. A equipe de pesquisa da ESET identificou recentemente uma campanha patrocinada pelo governo da Coreia do Norte chamada DeceptiveDevelopment, que utilizava o malware InvisibleFerret. Esse malware tinha uma backdoor capaz de filtrar dados tanto de extensões de navegador quanto dos gerenciadores de senhas, enviando essas informações por Telegram e FTP. Entre os alvos estavam gerenciadores como 1Password e Dashlane.

No caso analisado, o malware estava oculto em arquivos baixados pela vítima durante um detalhado processo falso de entrevista de emprego. Contudo, malwares com características semelhantes podem ser distribuídos por outras vias, como e-mails, mensagens de texto ou redes sociais.

4. Vulnerabilidades em fabricantes de gerenciadores de senhas

Os fabricantes de gerenciadores de senhas sabem que estão entre os principais alvos de ameaças. Por isso, disponibilizam muito tempo e recursos para tornar seus ambientes de TI o mais seguros possível. Mas basta um erro para permitir a entrada dos invasores. Em 2022, o LastPass se encontrou diante do pior cenário. Cibercriminosos comprometeram o notebook de um engenheiro da LastPass para acessar o ambiente de desenvolvimento da empresa. Lá, roubaram o código-fonte e documentos técnicos contendo credenciais, o que permitiu que eles acessassem os backups dos dados dos clientes.

Esse acesso indevido incluía informações pessoais e de contas dos clientes, que poderiam ser usadas para ataques de phishing posteriores, uma lista completa de URLs dos sites armazenados, além dos nomes de usuário e senhas de todos os clientes. Embora essas credenciais estivessem criptografadas, o cibercriminoso conseguiu usar a técnica conhecida como "brute force" (como já mencionado). Acredita-se que esse incidente resultou em um roubo massivo de criptomoedas no valor de US$150 milhões (cerca de R$ 825,81 milhões), servindo como um alerta de que mesmo os fabricantes mais protegidos podem ser vulneráveis.

5. Aplicativos falsos de gerenciamento de senhas

Às vezes, os cibercriminosos aproveitam a popularidade dos gerenciadores de senhas para tentar roubar as senhas dos usuários e espalhar malwares por meio de aplicativos falsos. Até mesmo a App Store da Apple, que normalmente é considerada segura, permitiu no ano passado que os usuários baixassem um desses aplicativos falso de gerenciamento de senhas. Essas ameaças geralmente são feitas para roubar a senha maestra ou instalar malwares que roubam informações do dispositivo do usuário.

6. Exploração de vulnerabilidades

Os gerenciadores de senhas são softwares, e como qualquer programa criado por humanos, inevitavelmente possuem vulnerabilidades. Se um cibercriminoso conseguir encontrar e explorar algum desses erros, poderá ter acesso às credenciais armazenadas no seu gerenciador de senhas. Além disso, eles podem explorar vulnerabilidades nas extensões dos gerenciadores de senhas para navegadores para roubar dados de login e até códigos de autenticação de dois fatores (2FA). Também há a possibilidade de atacar o sistema operacional dos dispositivos para obter esses dados. Quanto mais dispositivos tiverem o gerenciador de senhas instalado, maiores serão as chances de sucesso do ataque.

Como usar gerenciadores de senhas com segurança

Para se proteger das ameaças mencionadas, siga estas dicas:

  • Pense em uma frase de senha mestre que seja segura, longa e única. Uma boa ideia é usar quatro palavras fáceis de lembrar separadas por hífens. Assim, fica muito mais difícil para um cibercriminoso conseguir descobrir essa senha.
  • Sempre aumente a segurança das suas contas ativando a verificação em duas etapas (2FA). Isso significa que, mesmo que os cibercriminosos consigam suas senhas, eles não terão acesso às suas contas sem o segundo fator de autenticação.
  • Mantenha seus navegadores, gerenciadores de senhas e sistemas operacionais sempre atualizados para garantir que estejam usando as versões mais seguras. Isso reduz muito as chances de exploração de vulnerabilidades.
  • Baixe aplicativos somente de lojas oficiais, como Google Play e App Store. Antes de instalar, verifique o desenvolvedor e a avaliação do app, para evitar baixas versões falsas ou maliciosas.
  • Opte por usar um gerenciador de senhas de um fabricante confiável. Pesquise e compare preços até encontrar um que ofereça segurança e com o qual você se sinta confortável.
  • Garanta que todos os seus dispositivos tenham instalado um software de segurança confiável. Isso ajuda a proteger contra ataques que visam roubar suas senhas diretamente do gerenciador.

Os gerenciadores de senhas continuam sendo uma parte essencial das melhores práticas de cibersegurança, mas só garantem proteção plena se forem usadas precauções adicionais. À medida que os riscos de segurança evoluem constantemente, é fundamental manter-se atualizado sobre as tendências atuais de ameaças para assegurar que seus dados de login permaneçam protegidos.