Blog Linux Avante

"Master Password" é uma alternativa ao gerenciador de senhas que não armazena senhas

20 de setembro de 2018

Master Password é uma maneira diferente de usar senhas. Em vez da forma "saber uma senha, salvar todas as outras em algum lugar" de gerenciar senhas usadas por gerenciadores de senhas regulares, a abordagem da Master Password é "conhecer uma senha, gerar todas as outras".

Aplicativo Java para área de trabalho de Master Password

A Master Password é gratuita e de código aberto, não armazena nenhuma senha, não usa servidores em nuvem e requer apenas que você se lembre de uma senha. Está disponível para Android, iOS, desktops, console e web.

Em vez de armazenar suas senhas localmente ou na nuvem, a Master Password calcula suas senhas usando um algoritmo criptográfico. O aplicativo usa os valores de nome de usuário, Master Password, nome do site, contador do site e modelo do site para calcular sua senha para um determinado site. Como resultado, ele pode recuperar suas senhas sem armazená-las em qualquer lugar.

As vantagens de usar a Master Password em vez dos gerenciadores de senha tradicionais incluem:

  • Suas senhas não são armazenadas em lugar nenhum, então você não precisa confiar suas senhas a terceiros (portanto, não há necessidade de se preocupar se algum serviço que você está usando pode ser hackeado ou cair quando você precisar).

  • Não importa se o seu dispositivo quebra ou é roubado, você pode usar qualquer dispositivo para descobrir suas senhas.

  • Você não precisa fazer backup de suas senhas.

  • Não há necessidade de manter suas senhas sincronizadas em algum lugar de fácil acesso.

No entanto, existem algumas desvantagens:

  • Como cada senha criada com a Master Password é derivada de sua Master Password (entre outras), se sua Master Password estiver comprometida ou se você quiser alterá-la por qualquer motivo, também será necessário alterar todas as senhas do seu site. Portanto, use uma senha forte (embora esse seja sempre o caso).

  • Se você precisar alterar a senha de um site (no caso de um site ser hackeado, por exemplo, e forçar você a alterar a senha), será necessário aumentar o valor "Contador" para as configurações desse site na Master Password para gerar um nova senha e lembre-se de usar o novo valor do contador sempre que usar a Master Password para calcular a senha desse site. Uma maneira de contornar isso seria armazenar o valor do contador (e quaisquer outras particularidades que você possa usar para alguns sites) em algum lugar.

Relacionado: Bitwarden: o gerenciador de senhas seguro e de código aberto que você estava procurando

A página sobre Master Password na Wikipedia menciona que o algoritmo usa scrypt, uma função de derivação de chave intencionalmente lenta, para gerar a chave mestra, para inviabilizar ataques de força bruta. A chave mestra é uma chave secreta global de 64 bytes gerada a partir da Master Password secreta do usuário e combinada com seu nome completo.

A chave mestra, o nome do site e o contador do site são usados para gerar segredos/chaves específicos do site usando o algoritmo HMAC-SHA256.

Leia a Master Password FAQ para obter mais informações sobre sua segurança.

Também deve ser observado que embora a Master Password não possa preencher automaticamente as credenciais de login em navegadores da web, existem extensões de terceiros que podem fazer isso. Por exemplo, MasterPassword-Firefox (também disponível para Chrome) pode preencher automaticamente seu nome de usuário e senha.

Usando a Master Password

Embora o aplicativo da web de Master Password não armazene nada e o aplicativo para Android só possa lembrar seu nome (não sei sobre os aplicativos iOS e Mac porque não os experimentei), o aplicativo Java para desktop pode salvar os nomes dos sites que você usou no passado para facilitar o uso no futuro. Isso não é necessário (você pode marcar a caixa Incognito para não salvar o usuário no disco), e é apenas para simplificar a maneira como você acessa as senhas.

O local onde os nomes dos sites são salvos é ~/.mpw.d. Se você usar vários computadores, poderá sincronizá-los usando um serviço como NextCloud, Dropbox, etc. para usá-lo em vários computadores. As senhas não são armazenadas aqui ou em qualquer outro lugar.

O aplicativo de desktop da Master Password usa Java, portanto, para executá-lo, você precisará do JRE. Você pode usar OpenJDK ou Oracle Java. Você pode instalar o OpenJDK 8 JRE no Debian, Ubuntu, elementary OS, Linux Mint e outras distribuições de Linux baseadas em Debian ou Ubuntu usando este comando:

Comandos para usar no terminal

sudo apt install openjdk-8-jre

Você também pode precisar marcar o arquivo masterpassword-gui.jar baixado como executável. Você pode fazer isso usando seu gerenciador de arquivos ou usando este comando (supondo que você coloque o arquivo .jar em seu diretório inicial):

Comandos para usar no terminal

chmod +x ~/masterpassword-gui.jar

Para usar o aplicativo de área de trabalho de Master Password (Java), clique duas vezes no arquivo .jar para iniciá-lo. Em seguida, clique no ícone + à esquerda para adicionar um novo usuário à Master Password. Digite o nome completo (do qual você precisará se lembrar!) Aqui e clique em OK:

Senha mestre adicionar usuário

Opcionalmente, você pode marcar a caixa Incognito se não quiser salvar o usuário no disco.

Na próxima tela, você precisará definir uma Master Password (que, assim como o nome completo inserido na etapa anterior, você precisa ter certeza de não se esquecer):

Master Password

Agora é hora de gerar/calcular uma senha para um site. Digamos que você deseja obter uma senha para sua conta do Twitter. Digite seunomedeusuario@twitter.com (usando seu nome de usuário real do Twitter aqui) no campo ... password for: e pressione a tecla Enter:

Master Password adicionar site

Eu recomendo usar seunomedeusuario@twitter.com (substituindo seunomedeusuario pelo seu nome de usuário real do Twitter) no caso de você ter várias contas. Mesmo que você não tenha várias contas no momento, pode criar mais no futuro e, dessa forma, poderá diferenciar as contas. Você também pode usar twitter.com apenas se tiver certeza de que nunca criará várias contas para este site específico.

Como recomendação, use o mesmo formato para cada site. Desta forma, será mais fácil lembrar como você inseriu o nome do site. Isso porque você precisa entrar no site exatamente da mesma maneira quando quiser usar a Master Password para calcular sua senha (a menos que você use apenas o aplicativo de desktop Master Password com o usuário salvo no disco).

Eu sugiro não inserir mobile.twitter.com, http://twitter.com, https://www.twitter.com ou algumas outras variações, e apenas manter um único formato para isso.

Depois que um site é adicionado, você pode alterar suas configurações clicando no primeiro ícone da parte superior do lado direito da janela do aplicativo:

Configurações do site de Master Password

A partir daí, você pode alterar o algoritmo, o valor do contador, o tipo de senha, o tipo de login e inserir um URL para um site. É melhor usar os padrões o máximo possível, para que você não se esqueça das configurações usadas quando precisa calcular a senha.

Quando quiser usar uma senha, selecione a entrada/site que deseja em Master Password e pressione a tecla Enter. Ao fazer isso, a senha é copiada automaticamente para a área de transferência e a janela do aplicativo Master Password é minimizada.

Se você deseja calcular uma senha usando um aplicativo que não armazenou o nome do site, como o aplicativo da web por exemplo, você precisará inserir seu nome completo, nome do site, valor do contador (se você alterou o padrão 1) e a Master Password. Experimente - use os mesmos detalhes que você usou no aplicativo de desktop, no aplicativo da web da Master Password, e a senha calculada deve ser a mesma.

Baixar Master Password

Baixar Master Password

Existem aplicativos oficiais de Master Password para desktops (Java), macOS, Android, iOS, console e web. Você também encontrará aplicativos/extensões não oficiais, como Master Password para navegadores Firefox ou Chrome/Chromium, outro aplicativo Master Password para Android e provavelmente outros.

O código dos aplicativos de Master Password está no GitLab, junto com mais algumas informações.

Confira a versão original desse post em inglês
Propaganda
Blog Comments powered by Disqus.
Propaganda