Currently Browsing: Software

Gerenciamento de senhas “aberto”: Conheça o Keepass!

Posted by Marcos A.T. Silva in Opensource, Segurança informação, Software, Software livreNov 13th, 2007 | 2 responses

O problema

Confesso que sempre tive interesse por segurança da informação, mas curiosamente a utilização de uma senha diferente para cada “item” onde isto era necessário não fazia parte das minhas políticas de segurança há até algum tempo atrás: eu utilizava uma única senha “forte” (como forte leia-se apenas uma senha com 12 caracteres utilizando letras, números e alguns caracteres especiais) para todos os serviços, sites, servidores, softwares e o que quer que necessitasse de uma senha para acesso. Isto sempre me incomodou, e não sei bem ao certo o motivo de ter postergado por tanto tempo uma mudança neste modo (errado) de trabalho.

Entretanto, com o passar do tempo, comecei a sentir que este modo de trabalho era muito arriscado, pois se por algum motivo esta “senha única” fosse descoberta, muitas informações confidenciais, pessoais e coisas do tipo iriam literalmente pro “beleléu“. E aqui pode-se considerar como agravante não somente a descoberta das tais senhas por outras pessoas pelos meios mais óbvios, mas também a imensa quantidade de malwares existentes e operantes a pleno vapor, muitos deles com o único e exclusivo objetivo de capturar dados de acesso e lesar os incautos.

Devido a isto, resolvi diversificar um pouco a coisa toda, e passei a criar mais algumas senhas, trocando as de alguns serviços, utilizando senhas diferentes em novos serviços/sites, etc. Mas aí, um novo problema surgiu: onde e como armazenar com segurança todas estas senhas e dados importantes?

Minha cabeça já não estava mais dando conta de lembrar de tantos números, letras, asteriscos, underlines e sinais de adição e subtração, e guardar tudo isto em simples arquivos *.DOC ou *.XLS, mesmo que protegidos por senha, seria super arriscado, pois é fato comprovado que qualquer pessoa com um pouco de paciência e utilizando as ferramentas certas consegue quebrar as senhas de tais arquivos em questão de minutos (ou segundos, dependendo do caso); arquivos txt, então, nem se fala.

A solução

Foi então que descobri o Keepass, um gerenciador de senhas opensource, que trás consigo inúmeras vantagens, incluindo o óbvio de que qualquer um pode efetuar o download do código fonte, dar uma olhada nos algorítimos de criptografia implementados, e muito mais .

Mas aí você pode pensar:

“- Epa, um gerenciador de senhas com código aberto? É seguro?”

E é o próprio Dominik Reich, desenvolvedor do software, quem diz:

“- Em minha opinião, todo software que tem algo a ver com segurança deve ser de código aberto.”

E ele ainda complementa, citando uma frase do Bruce Schneier, um dos maiores experts mundiais em criptografia e assuntos relacionados a segurança :

“- As a cryptography and computer security expert, I have never understood the current fuss about the open source software movement. In the cryptography world, we consider open source necessary for good security; we have for decades. Public security is always more secure than proprietary security. It’s true for cryptographic algorithms, security protocols, and security source code. For us, open source isn’t just a business model; it’s smart engineering practice.”

Ou em uma tradução livre:

“- Como um especialista em criptografia e segurança da computação, eu nunca entendi o atual rebuliço a respeito do movimento de software de fonte aberto. No mundo da criptografia, nós consideramos o fonte aberto necessário para uma boa segurança; temos durante décadas. Segurança pública é sempre mais segura que segurança proprietária. Isto é verdadeiro para algorítimos criptográficos, protocolos de segurança e código fonte de segurança. Para nós, o fonte aberto não é somente um modelo de negócio; ele é uma considerável/talentosa/inteligente prática de engenharia.”

Com a citação acima do Bruce Schneier, o Dominik deixa bem claro o porquê do Keepass estar licenciado da forma que está, e acredito que este seja um motivo a mais para se utilizar a ferramenta, pois diferentemente de outras soluções proprietárias/fechadas, como o Roboform, por exemplo, pode-se guardar quaisquer informações confidenciais e importantes sem estar-se preso ao pagamento de licenças de uso, expiração de licenças, risco do software ser abandonado e, por ser fechado não se ter acesso ao fonte do mesmo para poder, por exemplo, continuar o desenvolvimento, corrigir bugs, recuperar dados, etc.

Nada disto ocorre com o Keepass, pelos motivos já expostos acima, e o software realmente cumpre o que promete, excedendo em muito minhas expectativas, tanto por sua leveza quanto pela facilidade de uso e grande quantidade de recursos disponíveis, incluindo tradução disponível para diversos idiomas, entre eles o português do Brasil. Isto sem contar o fato de que você só precisa de uma única senha (chave-mestra) para ter acesso a todos os dados e senhas armazenados no mesmo.

Ou seja, você pode a partir de agora ter uma senha diferente para cada site/fórum em que participa, uma senha diferente para cada servidor que possui, uma senha diferente para cada conta de e-mail que possui, etc, aumentando assim sua segurança e diminuindo o risco de que algum destes serviços seja invadido: muito mais fácil, prático e seguro, não é?

Se você desejar aumentar ainda mais a segurança, pode escolher trabalhar com a chave-mestra em conjunto com um “key file” (que pode ser armazenado em qualquer local, inclusive em um pendrive), e desta forma será sempre necessário o conjunto “digitação da chave-mestra” + presença/localização do key file” para se ter acesso aos dados armazenados.

É claro, você deve sempre tomar o máximo cuidado para jamais esquecer a senha principal/chave mestra (ou perder o key file, caso o utilize), pois se isto acontecer, seus dados também irão para o beleléu, como citado no segundo parágrafo deste artigo, e aí a extrema segurança da solução deixará de ser um benefício, e se transformará em um tormento.

Lembre-se de que o Keepass armazenará seus dados em uma base de dados extremamente segura e à prova de “quebras”, (e você pode criar várias) utilizando criptografia AES de 256 bits como padrão, a mais segura disponível atualmente e “praticamente” (sendo aqui um pouco otimista para não desanimá-lo caso você perca sua chave-mestra ) inquebrável. Por isso, lembro mais uma vez: memorize e jamais esqueça sua chave-mestra (e não perca seu key-file, caso o utilize).

OBS: particularmente, utilizo somente a chave-mestra, e acredito que esteja de bom tamanho para minhas necessidades.

Vale ressaltar, entretanto, que nada disto tem sentido se você não mantiver um backup de sua base de dados do Keepass (arquivo com extensão *.KDB) em local seguro. Se perder definitivamente tal arquivo, perdeu todos os dados armazenados.

Características

O Keepass é um software extremamente amigável e fácil de ser utilizado. Gostaria de ressaltar que neste artigo tenho a intenção de dar uma “geral” no Keepass, apresentando suas características e recursos mais marcantes. Em breve postarei um tutorial detalhando o mesmo em todos os seus aspectos, desde a instalação até todas as suas funcionalidades e opções. Por enquanto, vou listar abaixo alguns dos recursos presentes na atual versão 1.09.

OBS: existe também uma outra versão do Keepass, desenvolvida em paralelo à 1.x: a “2.x“. Esta é uma versão ainda não estável, que requer a instalação do .NET Framework e possui alguns recursos a mais do que a 1.x, mas não falarei dela por enquanto.

Mesmo porque, o próprio Dominik Reich recomenda por enquanto a utilização da versão 1.x, e afirma que esta continuará sendo suportada indefinidamente, com a consequente adição de novos recursos, juntamente com a versão 2.x.

A versão 1.x tem me atendido extremamente bem, e possui recursos mais do que suficientes para armazenar e gerenciar seus dados confidenciais e senhas, portanto, vamos à lista com alguns dos recursos:

Criptografia AES (Advanced Encryption Standard) de 256 bits
Uma única senha para acessar todas as suas demais senhas, usuários e dados de qualquer tipo
Possui versão “portátil”, para você carregar em seu pendrive
Cópia da senha e/ou usuário para a área de transferência do windows, para “colagem” em qualquer campo, sendo que o próprio software apaga a senha da área de transferência após o tempo de expiração que você configurou previamente. Segurança elevada ao cubo, não?
Proteção adicional e reforçada contra keyloggers
Criação de “grupos” e “sub-grupos”, com possibilidade de visualização em árvore
Possibilidade de definição de data e horário para a expiração de uma entrada qualquer
Gerador de senhas customizável
Gerador de senhas TAN (que só podem ser utilizadas uma única vez)
Exportação dos dados para vários formatos diferentes, entre eles XML, HTML e TXT
Pode ser minimizado para o system tray, facilitando o acesso aos dados, e ainda assim mantendo as senhas e usuários protegidos
Possibilidade de anexar (e assim proteger) arquivos dos mais variados tipos a uma entrada qualquer
Abertura de URL’s no navegador a partir de uma entrada qualquer, seguida da inserção automática do “usuário” e da “senha” (caso necessário e solicitado) de forma totalmente segura: ou seja, você escolhe uma entrada e “pede” para que o Keepass abra a url da mesma no navegador e em seguida efetue o login para você, sem que você tenha que digitar informação alguma, ou até mesmo copiar manualmente dados para a área de transferência (o usuário e a senha são automaticamente apagados da área de transferência após o uso). Quer mais comodidade do que isto?
Travamento opcional do software quando minimizado para o system tray: assim, ninguém terá acesso às suas senhas quando você se ausentar do computador, pois será solicitada novamente a chave-mestra para a reabertura do software.
Inúmeros plugins disponíveis no site oficial, como por exemplo plugins para backup automático da base de dados, verificação automática de updates, etc.
Tradução para diversos idiomas, entre eles o português do Brasil
O melhor de tudo: código aberto, pode ser distribuído livremente e você não paga nada por isso!