Aplicações

O gestor de palavras-passe não é tão seguro como pensas

Bruno Peralta
Bruno Peralta
22 de Fevereiro de 2026 4 Min Read

Os gestores de palavras‑passe tornaram-se a carteira digital de muita gente. A grande promessa é simples: guardas credenciais encriptadas na nuvem e acedes a partir de qualquer dispositivo. A encriptação é a muralha que impede olhos alheios de verem o conteúdo, mesmo que alguém chegue aos servidores.

Neste artigo encontras:

Mas há uma nuance importante: entre o utilizador e esse cofre cifrado existe toda uma “estrada” de sincronização, partilha e recuperação que, se não for pensada ao detalhe, pode abrir fendas inesperadas.

Segue-nos no Google News

O que os investigadores suíços puseram a nu a Bitwarden, LastPass e Dashlane

Uma equipa de investigação suíça decidiu testar na prática quão robustos são alguns dos gestores mais populares. Em vez de tentarem decifrar a encriptação (algo impraticável), criaram servidores que se comportavam como se fossem os serviços legítimos. O resto foi “rotina do dia‑a‑dia”: iniciar sessão, abrir o cofre, visualizar entradas ou sincronizar dados. O resultado? Uma série de cenários em que conseguiram interferir com a integridade dos cofres, aceder a palavras‑passe e até manipulá‑las.

Pessoa segurando smartphone com ícone de cadeado e senha, destacando a importância da segurança digital.

O mapeamento de ataques que demonstraram impressiona pela amplitude: 12 vetores no Bitwarden, 7 no LastPass e 6 no Dashlane. Em organizações, alguns destes cenários ampliam-se: quando há partilhas internas e múltiplos utilizadores, uma falha de verificação num ponto pode escalar para comprometer vários cofres. Não estamos a falar de supercomputadores, mas de software capaz de se fazer passar por servidor legítimo quando a aplicação cliente aceita sinais ambíguos.

Conveniência vs. segurança: a arquitetura que cresce e complica

Porque é que estas lacunas existem? A resposta curta: complexidade. Ao longo dos anos, os gestores de palavras‑passe foram adicionando funcionalidades valiosas — recuperação de conta, partilha familiar, cofre empresarial com permissões, preenchimento automático inteligente, integrações com navegador e mobile. Cada camada aumenta a superfície de ataque, multiplica caminhos internos e decisões de design. Os próprios investigadores apontam para “arquiteturas bizarras” que nascem desta corrida à conveniência.

A boa notícia é que a encriptação de ponta continua a ser o pilar certo. O desafio está no que acontece antes e depois: como o cliente verifica a identidade do servidor, que metadados trafega, como gere chaves de sessão, como sincroniza e como valida partilhas. Pequenos atalhos ou exceções “para não atrapalhar o utilizador” podem transformar-se em pontos de entrada.

O que isto significa para utilizadores e empresas que dependem destes serviços

Se usas Bitwarden, LastPass ou Dashlane, não é altura para pânico, mas para disciplina. Os fornecedores foram notificados antecipadamente, reconheceram os problemas e iniciaram correções, embora a velocidade varie.

O panorama real muda consoante a versão da app, as extensões instaladas, as políticas de partilha e as definições de recuperação que tenhas ativo. Para equipas, o risco é naturalmente maior: mais contas, mais partilhas, mais navegadores e dispositivos — mais oportunidade para uma configuração menos robusta.

Medidas práticas para reduzir o risco já hoje

  • Atualiza tudo, sem exceção: aplicações desktop, apps móveis e extensões de navegador. Muitas correções chegam primeiro às extensões.
  • Liga a autenticação de dois fatores (2FA) forte: preferencialmente com chave de segurança (FIDO2/U2F) ou uma app TOTP. Evita SMS.
  • Revê partilhas e permissões: remove acessos antigos, valida quem pode ver o quê e evita partilhar itens sensíveis desnecessariamente.
  • Desativa funções de recuperação que fragilizem a “chave mestra”: se existir uma opção que permite recuperar acesso sem a tua palavra‑passe principal, percebe o impacto e decide conscientemente.
  • Considera cofres separados: usa um cofre pessoal e outro para trabalho. Em empresas, aplica políticas de “mínimo privilégio”.
  • Diminui a dependência do preenchimento automático em sites críticos: para banca ou e‑mail principal, considera colar manualmente a palavra‑passe.
  • Reforça o navegador: usa perfis separados, limpa extensões redundantes e verifica permissões. Menos integração, menos superfícies.
  • Monitoriza as notas de versão: subscreve os blogs de segurança dos fornecedores para saber quando chegam correções relevantes.

Porque é que “fazer-se passar pelo servidor” ainda resulta em 2026

À primeira vista, o TLS deveria travar tentativas de imitar servidores. E, em muitos casos, trava. O problema aparece quando clientes têm exceções, quedas de verificação, dependem de componentes do sistema que são interceptáveis em certos ambientes, ou implementam fluxos adicionais (por exemplo, partilha/recuperação) com validações imperfeitas.

Basta uma cadeia de decisões certas para o atacante e erradas para a aplicação para abrir uma janela. A lição é clara: além de encriptar, é preciso validar agressivamente cada etapa, preferir designs “zero‑knowledge” coerentes e reduzir caminhos alternativos.

Devemos abandonar gestores de palavras‑passe?

Não. A alternativa — reciclar palavras‑passe fracas ou manter ficheiros espalhados — é pior. O que os estudos mostram é que nenhum produto está imune à dívida técnica e ao peso da conveniência. A maturidade está em corrigir rápido, publicar auditorias independentes, ativar por defeito proteções fortes e comunicar com transparência.

Enquanto utilizador, assumes o teu papel: escolhe um fornecedor com histórico de resposta, usa 2FA robusto e mantém olhos abertos para novas práticas.

FAQ

– Os meus cofres foram expostos?
Não há indicação pública de um ataque em larga escala baseado nestas técnicas. O estudo demonstrou possibilidades em ambiente controlado. Mantém tudo atualizado.

– A encriptação foi quebrada?
Não. O alvo não foi “decifrar” os cofres, mas explorar falhas nos fluxos que antecedem ou complementam a encriptação (sincronização, partilha, recuperação).

– Qual é o gestor mais seguro?
A segurança é um alvo móvel. Procura transparência, auditorias regulares, resposta rápida a falhas e suporte a 2FA com chaves de hardware. Revê as notas de versão recentes de cada um.

– Devo evitar extensões de navegador?
São convenientes, mas ampliam a superfície de ataque. Mantém apenas a extensão oficial, sempre atualizada, e considera desativá-la em sessões críticas.

– 2FA resolve tudo?
Ajuda muito, sobretudo contra acessos à conta. Mas não substitui correções de arquitetura nos próprios clientes/servidores do gestor.

– Vale a pena um cofre local sem nuvem?
Para perfis de risco elevados, sim: reduz o vetor de sincronização. Para a maioria, um serviço na nuvem bem configurado, com 2FA e boas práticas, oferece o melhor equilíbrio.

Fonte: PCworld

Etiquetas

2FABitwardenchaves de segurançadashlaneencriptaçãogestores de palavras‑passeLastPasspartilha de credenciaisproteção de dadosrecuperação de contasegurança na nuvemsincronização de cofresspoofing de servidorvulnerabilidadeszero‑knowledge

Gostou? Partilhe Artigo com os seus amigos!

Bruno Peralta

Bruno Peralta

Fanático de tecnologia e fã do Android, mas com consciência que a Apple revolucionou vários mercados. Quem me conhece, sabe que estou sempre à procura de notícias sobre tecnologia.

Sem Comentários! Seja o Primeiro.

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *