Quem escreve no PwdFortress
A nossa equipa: quem somos, o que testamos, e por que levamos a segurança de palavras-passe a sério.
Eric Gerard
Editor · Especialista em gestores de palavras-passe e criptografia aplicada
Editor independente há 12 anos, ex-administrador de rede numa PME industrial francesa (Cisco CCNA 2014). No PwdFortress, avalio cada gestor de palavras-passe a partir das suas capacidades documentadas — encriptação publicada e KDF, modelo de zero conhecimento, opções de importação, partilha encriptada — e das auditorias independentes publicadas sobre ele. Nenhuma figura publicada vem de um folheto de marketing.
A minha carreira começou em 2010 como administrador de rede numa PME industrial francesa: três sites, dois firewalls Cisco ASA, e responsabilidade por um domínio Active Directory com a sua política de complexidade de palavras-passe. Foi aí que vi a lacuna entre a política imposta pelo CISO (12 caracteres, rotação de 90 dias, complexidade) e a realidade das notas adesivas sob os teclados das estações de trabalho. Obtive o Cisco CCNA em 2014, depois mudei para publicação técnica de afiliados. No PwdFortress trabalho autodidata em criptografia aplicada: lendo os RFCs (RFC 8018 PBKDF2, RFC 9106 Argon2, RFC 8949 CBOR para WebAuthn), estudando os whitepapers da Bitwarden e 1Password, e lendo as auditorias independentes da Cure53 e Praetorian publicadas sobre os gestores que recomendamos. Avalio cada produto com base nas suas capacidades documentadas e fontes públicas: opções de cofre e importação, partilha encriptada, monitorização de violações, recuperação de conta. Publico sob o meu nome completo e respondo pessoalmente a perguntas técnicas através do formulário de contacto.
Tem uma pergunta sobre um gestor que cobrimos ou um modelo de ameaça? Envie-me um e-mail diretamente para contact@pwdfortress.com — respondo pessoalmente.
Áreas de cobertura
- Teste de gestores de palavras-passe (Bitwarden, 1Password, Proton Pass, NordPass, Dashlane, KeePassXC)
- Auditoria do modelo de zero conhecimento: derivação Argon2 / PBKDF2, encriptação de cofre AES-256, partilha selada
- Teste de chaves de acesso (WebAuthn / FIDO2) no Chrome, Safari, Firefox e chaves de hardware YubiKey
- Auditoria de 2FA: TOTP, push, SMS, tokens de hardware, códigos de recuperação
- Migração entre gestores: exportação segura, importação e purga do cofre anterior
A nossa equipa alargada
Além de Eric, os nossos artigos técnicos passam por um ciclo de revisão por consultores externos, anonimizados a seu pedido. Não são coautores: são revisores pagos por artigo para verificar as alegações criptográficas antes da publicação.
Revisor técnico #1 — Criptografia aplicada
13 anos de experiência em criptografia aplicada (equipa de segurança de uma fintech francesa), especialista em derivação de chaves (Argon2, scrypt, PBKDF2), auditorias de esquemas de encriptação de cofres, revisões de código TypeScript / Rust em torno do libsodium. Verifica as nossas alegações sobre parâmetros KDF (memória, iterações) e resistência a ataques de GPU antes da publicação. Tempo médio de revisão: 6 dias úteis.
Revisor técnico #2 — Identidade & WebAuthn
10 anos em gestão de identidade e padrões FIDO (ex-implementador de um IdP OIDC + WebAuthn empresarial). Verifica os nossos artigos sobre chaves de acesso, atestação de autenticadores, sincronização do iCloud Keychain / Google Password Manager, e riscos de transferência entre dispositivos. Tempo médio de revisão: 7 dias úteis.
Padrões editoriais
Cada artigo publicado no PwdFortress segue o processo abaixo, sem exceções ou atalhos.
Revisão técnica por pares antes da publicação
Cada artigo contendo alegações criptográficas mensuráveis (parâmetros KDF, modelo de ameaça, alegações de segurança) é revisado por um dos nossos dois revisores técnicos. Alegações não verificáveis são removidas.
Fontes primárias obrigatórias
Cada figura ou parâmetro criptográfico citado deve apontar para documentação oficial do gestor (whitepaper, documentos do desenvolvedor) ou uma auditoria independente publicada (Cure53, Praetorian, NCC Group). Alegações de marketing nunca são publicadas sem verificação.
Ciclo máximo de revisão de 90 dias
Nenhum artigo permanece publicado por mais de 90 dias sem uma revisão do seu conteúdo técnico. A data de frontmatter (datePublished / dateModified) reflete a última verificação real, não uma construção cosmética de CI.
Política de correção pública
Se um erro factual for relatado, corrigimos dentro de 48 horas úteis e adicionamos uma nota datada no final do artigo explicando a alteração. Sem correções silenciosas.
Conflitos de interesse declarados em cada página
Páginas contendo links de afiliados carregam um aviso no topo: banner persistente + atributo HTML rel="sponsored nofollow" em cada link comercial. Sem exceções.