Glossário de palavras-passe e autenticação
32 definições factuais — de AES-256 a zero-knowledge — para compreender a segurança das palavras-passe e a autenticação.
32 termos — 7 categorias
Fundamentos
- Gestor de palavras-passe
- Aplicação que gera, guarda e preenche automaticamente as palavras-passe num cofre encriptado. Só a palavra-passe mestra desbloqueia o cofre localmente; o blob encriptado é sincronizado com o servidor (modelo zero-knowledge).
- Cofre (Vault)
- Base de dados encriptada que contém todas as credenciais, notas seguras e cartões de pagamento. O cofre é encriptado do lado do cliente antes de qualquer sincronização: o servidor só vê texto cifrado.
- Open source
- Software cujo código-fonte é publicamente auditável. Num gestor de palavras-passe, o open source permite a investigadores independentes verificar a implementação criptográfica. O Bitwarden e o KeePassXC são totalmente open source.
- Palavra-passe mestra (Master password)
- A única palavra-passe que o utilizador precisa de memorizar. Deriva a chave de encriptação através de uma KDF (PBKDF2 ou Argon2id) e nunca sai do dispositivo em bruto.
Encriptação
- Zero-knowledge
- Arquitetura em que o fornecedor do serviço não consegue ler os dados do utilizador. A chave de desencriptação é derivada localmente a partir da palavra-passe mestra: só o utilizador tem acesso.
- AES-256
- Padrão de encriptação simétrica com chave de 256 bits (Advanced Encryption Standard). Adotado pelo NIST em 2001, com margem confortável face ao ataque quântico de Grover. Usado pelo Bitwarden, 1Password e pela maioria dos gestores.
- XChaCha20-Poly1305
- Algoritmo de encriptação autenticada (AEAD) que combina a encriptação XChaCha20 e o MAC Poly1305. Usado pelo NordPass e pelo Signal. Oferece melhor desempenho em dispositivos sem aceleração de hardware AES.
- E2EE (encriptação ponta a ponta)
- Encriptação em que apenas as duas partes em comunicação conseguem ler os dados. Num gestor de palavras-passe, o E2EE garante que o servidor só vê blobs encriptados, nunca texto simples.
Palavras-passe
- Entropia (bits)
- Medida da imprevisibilidade de uma palavra-passe em bits. Cada bit adicional duplica o espaço de procura do atacante. Fórmula: L x log2(N), em que L = comprimento e N = tamanho do alfabeto. Objetivo NIST: 60 a 80 bits para contas pessoais.
KDF
- PBKDF2
- Password-Based Key Derivation Function 2. Aplica uma função pseudoaleatória (tipicamente HMAC-SHA256) milhares de vezes para abrandar os ataques de força bruta. O Bitwarden usa 600.000 iterações (limiar OWASP 2023).
- Argon2id
- Vencedor da Password Hashing Competition (2015). Combina resistência à memória (Argon2i) e resistência a GPU (Argon2d). Modo predefinido recomendado para a derivação de chaves de palavras-passe mestras. Usado pelo Bitwarden (opção) e pelo NordPass.
- Salt
- Valor aleatório adicionado a uma palavra-passe antes do hashing. Evita ataques com rainbow tables e garante que palavras-passe idênticas produzam hashes diferentes. Gerado com um CSPRNG e guardado em texto simples junto do hash.
- Hash (criptográfico)
- Transformação unidirecional de dados num resumo de comprimento fixo. Um bom algoritmo de hash (SHA-256, Argon2id) é determinístico, não invertível e resistente a colisões. Não confundir com encriptação, que é reversível.
Autenticação
- Passkey (chave de acesso)
- Credencial FIDO2 composta por um par de chaves assimétricas. A chave privada permanece no dispositivo; o servidor só guarda a chave pública. Elimina as palavras-passe e é nativamente resistente a phishing. Sincronizável entre dispositivos através de um gestor (ex.: Bitwarden, NordPass).
- FIDO2 / WebAuthn
- Padrão aberto da FIDO Alliance e do W3C para autenticação forte sem palavra-passe. O WebAuthn é a API do navegador; o CTAP2 é o protocolo entre a plataforma e um autenticador (chave de hardware, biometria). A base técnica das passkeys.
- TOTP (palavra-passe única baseada no tempo)
- Código de 6 dígitos gerado a cada 30 segundos através de HMAC-SHA1 e da hora atual (RFC 6238). Padrão usado pelo Google Authenticator, Authy, Bitwarden Authenticator. Resistente a ataques de repetição, mas vulnerável a phishing em tempo real.
- HOTP (palavra-passe única baseada em HMAC)
- Variante do TOTP baseada num contador em vez do tempo (RFC 4226). O código muda a cada utilização, não a cada 30 segundos. Usado em algumas chaves de hardware como a YubiKey em modo OTP.
- 2FA / MFA (autenticação multifator)
- Mecanismo que combina pelo menos dois fatores: algo que sabe (palavra-passe), algo que tem (telemóvel, chave de hardware) ou algo que é (biometria). A 2FA é o caso mínimo de dois fatores. Reduz drasticamente o risco de comprometimento por credential stuffing.
- Chave de hardware
- Dispositivo físico (YubiKey, Google Titan) que guarda uma chave privada num chip seguro e assina desafios FIDO2. O mais alto nível de segurança MFA: a chave privada nunca sai do hardware, imunizando contra phishing remoto.
- Biometria
- Fator de autenticação baseado numa característica física (impressão digital, reconhecimento facial). Nos gestores de palavras-passe, a biometria desbloqueia o acesso ao cofre sem reintroduzir a palavra-passe mestra, mas não substitui a chave de encriptação.
- Código de recuperação
- Código de utilização única gerado ao ativar a MFA. Permite recuperar o acesso à conta se o segundo fator se perder. Deve ser guardado offline num local seguro. É, em si mesmo, um vetor de ataque se for comprometido.
Ataques
- Phishing
- Ataque de engenharia social que se faz passar por um site ou serviço legítimo para capturar credenciais ou OTPs. As passkeys e as chaves de hardware FIDO2 são nativamente resistentes a phishing porque ligam criptograficamente a autenticação à origem do site.
- Credential stuffing
- Ataque automatizado que testa pares de nome de utilizador/palavra-passe provenientes de fugas de dados noutros serviços. Explora a reutilização de palavras-passe. Um gestor que gera palavras-passe únicas por site elimina este vetor.
- Força bruta (Brute force)
- Ataque que testa exaustivamente todas as combinações possíveis de uma palavra-passe. A resistência depende da entropia e do custo de cálculo imposto pela KDF. Uma palavra-passe aleatória de 16 carateres (95+ bits) está fora do alcance mesmo das GPU modernas.
- Ataque de dicionário
- Variante da força bruta que testa primeiro palavras comuns, variantes (p@ssw0rd, Summer2024!) e combinações de dicionário. Ferramentas como o Hashcat e o John the Ripper incluem regras de mutação que cobrem milhões de padrões por segundo.
- Fuga de dados (Breach)
- Incidente de segurança em que dados de autenticação (palavras-passe com hash ou em texto simples, emails) são exfiltrados de uma base de dados. A fuga do LastPass em 2022 expôs cofres encriptados de milhões de utilizadores, realçando a importância de uma palavra-passe mestra forte.
- Have I Been Pwned (HIBP)
- Serviço de Troy Hunt que indexa mais de 900 milhões de palavras-passe comprometidas de fugas conhecidas. A API de k-anonimato permite verificar se uma palavra-passe consta na base de dados sem a enviar em texto simples: apenas os primeiros 5 carateres do hash SHA-1 são transmitidos.
- Keylogger
- Software ou hardware que regista todas as teclas premidas. É contornado pelo preenchimento automático dos gestores de palavras-passe (as palavras-passe nunca são escritas) e pelas passkeys (não é necessária introdução de texto).
- Session hijacking (sequestro de sessão)
- Ataque que captura um cookie de sessão válido para se fazer passar por um utilizador autenticado. Ocorre por sniffing de rede, XSS ou roubo de cookies. Os gestores de palavras-passe não protegem diretamente contra este vetor pós-início de sessão.
Empresa
- SSO (Single Sign-On)
- Protocolo que permite a um utilizador autenticar-se uma vez para aceder a várias aplicações. Baseado em SAML 2.0 ou OIDC/OAuth 2.0. Os gestores empresariais (Bitwarden, 1Password, Keeper) integram-se com IdPs (Okta, Azure AD, Google Workspace).
- SCIM
- System for Cross-domain Identity Management (RFC 7643/7644). Protocolo de API REST que automatiza o provisionamento e o desprovisionamento de contas de utilizador num gestor de palavras-passe a partir de um IdP. Elimina contas órfãs quando os colaboradores saem.
- Self-hosting (auto-alojamento)
- Alojar um serviço em servidores próprios em vez da cloud do fornecedor. O Bitwarden e o Vaultwarden (fork open source) são os principais gestores auto-alojáveis. Oferece soberania total dos dados ao custo da responsabilidade pela infraestrutura.