Revisão e classificação do depósito de senha do Acebit

A tarefa mais básica para um gerenciador de senhas é acompanhar suas senhas e fornecê-las quando necessário, mas os produtos nesse campo expandiram seus objetivos para tornar as coisas ainda mais fáceis para seus usuários. Primeiro, verifiquei as senhas salvas para identificar as mais fracas ou duplicadas. Alguns foram além disso, ajudando ativamente os usuários a atualizar senhas com problemas. Outros se aventuraram no domínio do compartilhamento de senhas e da manipulação da herança de senhas. Durante toda essa evolução, infelizmente, o AceBIT Password Depot praticamente permaneceu o mesmo. Nos dois anos desde minha última revisão, o gerenciador de senhas passou por uma reforma na interface do usuário, mas isso é tudo. Definitivamente, precisa de atualizações que são mais do que profundas.

Preço e Plataformas

Sediado na Alemanha, o AceBIT fixa o Password Depot estritamente em euros, a € 39, 95 por ano. O que você paga dependerá da taxa de câmbio. São cerca de US $ 45 enquanto escrevo isso, o que não é muito diferente do que custou quando o testei há dois anos. Com quase US $ 60 por ano, o Dashlane custa mais, mas a maioria dos gerenciadores de senhas varia de menos a um pouco menos de preço. Keeper e Sticky Password custam menos de US $ 30 por ano, LastPass custa US $ 24 e Zoho Vault é apenas US $ 12.

Além disso, você pode encontrar um gerenciador de senhas gratuito com todos os recursos que deseja. LastPass e Myki, nossas opções gratuitas de escolha do editor de senhas, superam o Password Depot.

Você pode baixar e usar o Password Depot gratuitamente, mas com algumas limitações significativas. O produto completo permite a criação de vários bancos de dados de senhas, talvez para separar senhas de trabalho de senhas pessoais. A edição gratuita permite apenas um banco de dados e limita você a 20 senhas salvas. Naturalmente, a edição premium não tem esse limite. O suporte técnico também é uma vantagem da edição premium.

Quase todos os produtos concorrentes permitem instalar em quantos dispositivos você deseja e sincronizar senhas entre eles. O Password Depot limita você a apenas duas instalações do Windows. Você pode instalá-lo em quantos dispositivos macOS, Android e iOS quiser e sincronizar senhas usando armazenamento em nuvem de terceiros. No entanto, os recursos do produto são limitados nessas outras plataformas.

Observe que o pacote de segurança Panda Dome Complete oferece gerenciamento de senhas por meio de uma edição licenciada do Password Depot 11. A versão atual, revisada aqui, é o Password Depot 12.

Introdução ao Password Depot

A tendência atualmente é de simplicidade, começando com o processo de instalação. Para muitos gerenciadores de senhas, você inicia o instalador e clica em um botão para concordar com os termos da licença e instalar o programa. O instalador do Password Depot é decididamente antigo, com muitas páginas para clicar. Ele pergunta coisas como qual pasta você deseja usar para instalação e se deseja instalar para todos os usuários ou apenas um. Ele também convida você a escolher quais componentes instalar. A maioria dos usuários prefere colocar o programa em funcionamento.

Quando você inicia o programa, é um pouco opaco. A tela de boas-vindas diz que você deve criar um banco de dados e oferece apenas duas opções, DB Manager e Exit. A janela do DB Manager é um espaço em branco grande, com um menu à esquerda e nenhuma explicação. A maioria das opções de menu descreve os locais de armazenamento: Sistema Local, Servidor Corporativo, Dispositivo de Armazenamento USB, Servidor da Internet, Dropbox, Google Drive, OneDrive, HiDrive e Box.

Você pode escolher Sistema local para um banco de dados de senhas de um computador apenas local ou escolher a opção USB para uma instalação portátil que você carrega onde quer que vá. Se você deseja sincronizar entre dispositivos, terá que escolher uma das opções de armazenamento online. Ao contrário do RoboForm, LastPass Premium, Dashlane e a maioria dos produtos concorrentes, o Password Depot não fornece armazenamento online para seus dados.

Depois de selecionar um local de armazenamento e (se necessário) fazer login, você deve encontrar o ícone certo para criar um novo banco de dados (é o ícone de página com canto dobrado usado para um novo documento em muitos programas). Clique nesse ícone para criar o arquivo que conterá suas senhas e outros dados privados. Você também pode usar o DB Manager para abrir um banco de dados existente.

Se seu objetivo é mudar de outro gerenciador de senhas para o Password Depot, você tem mais opções do que quando eu revi este produto pela última vez. O Password Depot pode importar do Dashlane, Keeper, LastPass, RoboForm e uma dúzia de outros, incluindo alguns que são mais conhecidos na Alemanha do que nos EUA.

Dashlane, LastPass e Trend Micro Password Manager podem importar senhas armazenadas de maneira insegura em seus navegadores, excluir a cópia do navegador e desativar a captura de senha pelo navegador. Outros produtos pelo menos importam dos navegadores. O Password Depot não importa senhas do navegador.

Auxiliar de senha mestra

Como parte da criação do seu novo banco de dados de senhas, você decide se autenticar usando uma senha mestra, um arquivo de chave ou ambos. A autenticação de arquivo de chave significa que o Password Depot gera um arquivo contendo chaves de criptografia e que você deve fornecer esse arquivo para desbloquear seu banco de dados. A chave se torna extremamente valiosa; portanto, a ajuda recomenda mantê-la em uma unidade USB. Boa sorte ao fornecer essa chave para a instalação do Password Depot em um dispositivo móvel sem porta USB. Supondo que isso não seja um problema, a escolha do arquivo de chave e da senha mestra fornece autenticação de dois fatores. Eu não recomendo usar o arquivo de chave sozinho, no entanto.

O Password Depot oferece um módulo auxiliar incomum para criar uma senha mestra. Você digita uma frase memorável de pelo menos oito palavras, e o ajudante gera uma senha usando as primeiras letras de cada palavra, convertendo algumas delas em equivalentes de fala fluida. Entrei "Vamos construir um muro, e o México vai pagar por isso". O ajudante retornou "W9b4W4M6Pf1". Posso decifrar a conexão, mas não sei se lembraria dessa senha. Existem maneiras melhores de criar senhas memoráveis.

Se você é realmente paranóico, pode se preocupar que algum malfeitor tenha conseguido instalar um keylogger de software ou hardware no seu PC. Nunca tema; O Password Depot está coberto por você. Quando você digita sua senha mestra (ou qualquer outra senha) usando o teclado virtual, não há como um keylogger capturá-la. Melhor ainda, se você habilitar seu bando de cursores falsos, mesmo um surfista de ombro não poderá ver em quais teclas você clica.

Depende do aplicativo local

Muitos gerenciadores de senhas enfatizam os aplicativos locais, existentes como extensões do navegador e armazenando dados criptografados na nuvem. Com o Password Depot, o aplicativo local é essencial. Embora a interface tenha sido atualizada desde a minha última revisão, ela mantém uma aparência um pouco datada, com um menu padrão na parte superior e a barra de ferramentas logo abaixo. À esquerda, há um painel que lista seus bancos de dados de senhas, além de itens para itens favoritos e excluídos. Se você criou pastas, elas aparecem como uma árvore abaixo do banco de dados. Sim, você pode criar pastas dentro de pastas e é fácil mover os itens salvos para a pasta de sua escolha. O Sticky Password Premium, o LastPass e o RoboForm estão entre os poucos que oferecem suporte a um layout de pasta em vários níveis.

A coluna do meio mostra os itens na pasta atual. Uma caixa de pesquisa na parte superior pesquisa todos os itens, não apenas a pasta atual. O restante da janela, à direita, exibe detalhes do item selecionado e permite editar esses detalhes. Essa visualização de três colunas é bastante padrão, vista em muitos outros gerenciadores de senhas.

O Password Depot instala extensões de navegador para Chrome, Firefox e Internet Explorer. No momento, não há extensão para o Microsoft Edge, deixando os usuários do Windows 10 amantes do Edge em alta. O produto também alega suporte ao Opera, mas não há extensão específica para o Opera. Em vez disso, você deve instalar o suporte à extensão do Chrome e, em seguida, instalar a extensão do Chrome no Opera. Ao fazer isso, você recebe a mensagem desanimadora: "Lembre-se de que esta extensão requer APIs que não são totalmente suportadas no Opera".

Se você já usou outros gerenciadores de senhas, verá que as extensões do navegador não funcionam da maneira esperada. Clicar no botão da barra de ferramentas do navegador abre a janela principal do programa. Se o programa principal não estiver em execução, as extensões do navegador não funcionarão, ponto final. Você pode minimizar o aplicativo na área de notificação ou reduzi-lo ao modo de barra superior, mas se você sair do programa, o jogo termina.

Achei que a vista da barra superior era perturbadora e intrusiva. Ele ocupa a borda superior da área de trabalho, cobrindo parcialmente a linha superior de ícones e ocultando a barra de título de qualquer janela que esteja na borda superior. Uma longa série de ícones oferece acesso aos recursos mais importantes do programa. Você pode pesquisar nas configurações para torná-lo parcialmente transparente, ajustar o tamanho do ícone, reordenar os botões e até configurar qual monitor será usado. Não sei por que você se incomodaria.

Como esperado, o Password Depot notifica quando você faz login em um site seguro e oferece a possibilidade de salvar suas credenciais. No momento da captura, você pode dar à entrada um nome amigável e atribuí-la a uma pasta existente. Você não pode criar uma nova pasta durante a captura, mas é fácil organizar seus logins em pastas posteriormente.

Clicar em Avançado na caixa de diálogo de captura fornece uma grande quantidade de detalhes de configuração para a entrada. Você pode atribuí-lo a uma categoria nova ou existente (diferente de pastas), definir uma data de validade, avaliar sua importância, adicionar URLs equivalentes, especificar qual navegador usar, iniciar um programa e muito mais. Você pode até escolher se preenche senhas usando simulação de teclado, recortar / colar da área de transferência ou uma combinação dos dois projetados para ofuscar o processo e, assim, impedir os keyloggers. A lista continua, mas a maioria dos usuários não precisa de nenhum nível para esse nível de detalhe.

Nos testes, descobri que as credenciais foram capturadas para a maioria dos sites e não tive problemas com vários logins no mesmo site. No entanto, não conseguiu capturar vários sites conhecidos, entre eles Fandango e EventBrite.

Quando você revisita um site já salvo, o Password Depot preenche as credenciais salvas para você. Se houver vários conjuntos de credenciais, será exibida uma janela grande com uma lista para você escolher. Isso funciona, mas eu prefiro um menu pequeno e simples próximo ao campo de entrada da senha, como o que o Dashlane e o Keeper usam.

Seus números estão diminuindo, mas os sites que usam telas de login fora do padrão ainda estão por aí. Alguns gerenciadores de senhas simplesmente não conseguem lidar com isso. Outros, entre eles Sticky Password, LastPass e Keeper, permitem preencher todos os campos e capturar todo o formulário. Se o Password Depot não puder reconhecer e capturar uma página, seu único recurso é criar o login manualmente, preenchendo o nome interno de cada campo e o valor desejado. Poucos usuários saberão como fazer isso; menos se incomodará.

Não há menu de logins anexado ao botão da barra de ferramentas como o que você obtém com o AgileBits 1Password, LastPass, RoboForm e muitos outros. Você deve localizar o login desejado na janela principal e, mesmo assim, não é imediatamente óbvio como iniciar o item salvo. Por padrão, clicar duas vezes em um item apenas abre a janela de edição avançada. Clicar com o botão direito do mouse no item e escolher URL apenas copia o URL para a área de transferência, assim como clicar no ícone da Internet. Para iniciar e efetuar login no site salvo, pressione F5 ou abra um menu para iniciar o site no Chrome, Firefox, Internet Explorer ou Opera.

Poderoso Gerador de Senhas

Mencionei o peculiar auxiliar de senha mestra, que gera senhas supostamente memoráveis ​​usando caracteres de fala leet. Para sites, o Password Depot usa um gerador de senhas completamente diferente. Descobri que, fora da caixa, ele criou senhas de 20 caracteres, o mesmo que Sticky Password e 1Password. O Myki Password Manager & Authenticator vai ainda mais longe, com 30 caracteres.

Usando suas configurações padrão, o Depósito de Senhas cria senhas contendo letras minúsculas, maiúsculas, dígitos e símbolos, como deveria. Uma opção para suprimir caracteres com aparência semelhante, como minúsculas le dígito 1, é ativada por padrão. Esse recurso é importante apenas para senhas que você digitará ou memorizará; a maioria dos usuários deve desativá-lo.

Quase todos os gerenciadores de senhas oferecem alguma forma de gerador de senhas aleatórias, mas a maioria depende de um algoritmo de número pseudo-aleatório. Em teoria, um hacker experiente pode decifrar o algoritmo de randomização e determinar a sequência de senhas que aguardam ser vomitadas pelo gerador de senhas.

A probabilidade de alguém decifrar suas senhas com sucesso usando esse método é muito pequena, mas por precaução, o Password Depot faz de você parte de seu gerador de números aleatórios. Quando você passa o mouse sobre uma tela no estilo Matrix de caracteres em queda, ela usa sua atividade como uma fonte de aleatoriedade não algorítmica e não quebrável. É uma ideia inteligente, e usá-la é um pouco mais fácil do que criar seu próprio gerador de senhas.

Há uma página inteira de configurações avançadas do gerador de senhas. Você pode limitar o gerador a um conjunto de caracteres definido pelo usuário ou ajustar a frequência relativa de diferentes tipos de caracteres. Outras opções permitem excluir execuções de caracteres idênticos, caracteres facilmente confundidos com outros e senhas que contêm palavras do dicionário, para evitar a possibilidade remota (mas real) de que o algoritmo aleatório venha com "password" ou "aaaaaaaa" como saída. A maioria dos usuários deve deixar essas opções avançadas em paz.

Senhas de aplicativos

Nem toda senha pertence a um site - às vezes você deve fazer login em um aplicativo local. O Password Depot também pode lidar com essas situações, embora a configuração de uma senha de aplicativo seja totalmente um caso de bricolage.

Clicar no botão da barra de ferramentas para criar uma nova entrada exibirá a mesma caixa de diálogo de várias páginas exibida em Avançado durante a captura de senha. Na primeira guia, você dá um nome à sua entrada e insere o nome de usuário e a senha. Em vez de digitar ou colar um URL na guia URL, clique para procurar e selecionar o programa. Na guia Adicional, você pode adicionar quaisquer parâmetros de linha de comando necessários.

Preencher suas credenciais a partir da entrada salva é mais uma vez um processo manual. Os botões na janela principal do depósito de senhas servem para copiar o nome de usuário e a senha na área de transferência; você tem 60 segundos para colar os dados copiados.

É certo que poucos gerenciadores de senhas lidam com senhas de aplicativos, mas outros fazem muito mais graciosamente. O RoboForm anexa uma barra de ferramentas na parte inferior das janelas de login, permitindo capturar ou reproduzir credenciais. Com o LastPass, você arrasta um cursor de mira na janela de login para identificá-lo; quando você faz login para que o LastPass possa capturar suas ações. Senha pegajosa usa um cursor especial semelhante.

Política e Análise de Senhas

Por padrão, o Password Depot impõe uma política que requer um tamanho mínimo de senha de 10 caracteres, usando pelo menos três dos quatro tipos de caracteres disponíveis. Se você tentar salvar uma senha que não se encaixa na política, ela exibe um aviso. Obviamente, alguns sites impõem uma política diferente. Um site que eu uso requer uma senha com todos os números; outro proíbe a pontuação. Nesse caso, você pode marcar uma caixa para fazer com que o Password Depot renuncie à política, mas é um pouco confuso. Para aceitar a senha, marque a caixa e clique em Não, não Sim.

Você pode selecionar Analisar no menu Ferramentas para ver uma lista de todas as suas senhas salvas e sua classificação de força. Ele representa força tanto como o número de bits de complexidade quanto como o tempo necessário para quebrar.

A página de análise também relata o grau de semelhança de cada senha com as palavras do dicionário. Por exemplo, a senha do aplicativo simplificado que eu uso para testar o gerenciamento de senhas do aplicativo é "password", que naturalmente classifica 100% porque não passa de uma palavra do dicionário. No entanto, não consegui entender os resultados de outras senhas. O Password Depot atribuiu à senha "ut + xdoL =! A-8" uma classificação de similaridade de dicionário de 50%. Gostaria de saber que dicionário eles estão usando?

O Password Depot não chega perto da atualização automática de senhas, um recurso implementado pelo LogMeOnce Password Management Suite Ultimate, LastPass e Dashlane. O relatório nem sequer possui links para efetuar login quando você deseja alterar uma senha fraca para forte. E quando o relatório de análise é aberto, o Password Depot não pode preencher automaticamente as credenciais. Isso significa que você deve visualizar o relatório, anotar uma senha fraca, fechar o relatório e corrigir a senha. Em seguida, abra novamente o relatório e repita ad nauseam para a próxima senha fraca e a próxima.

Preenchimento limitado de formulários da Web

A mesma técnica que permite que um gerenciador de senhas preencha seu nome de usuário e senha também pode ser usada para preencher formulários da web em geral. Como muitos produtos concorrentes, o Password Depot pode preencher formulários da Web para você, mas é extraordinariamente estranho.

Você pode adicionar dados em várias categorias: cartão de crédito, cartão EC (o equivalente alemão de um cartão de débito), licença de software, informações, arquivo criptografado e documento. Você pode usar esse último item para armazenar e compartilhar com segurança documentos grandes e outros arquivos, da mesma forma que pode com o Keeper Password Manager e o Digital Vault.

Você pode preencher formulários usando dados de um item de identidade ou cartão de crédito, mas não usando nenhum dos outros. O número de campos de dados é limitado ao nome e sobrenome, email, site, data de nascimento, dados de endereço, vários campos de número de telefone e não muito mais. O RoboForm Everywhere oferece muito mais tipos de dados, aceita múltiplos de um determinado tipo e usa todos eles para preencher formulários. Basta escolher a identidade desejada e o RoboForm preenche tudo o que pode.

Quando você clica em um campo em um formulário da web, o Dashlane exibe um menu que oferece possibilidades de identidade. Isso é ainda mais fácil do que o RoboForm e muitos gerenciadores de senhas operam de maneira semelhante.

Com o Password Depot, você faz todo o trabalho. Para cada campo de dados, clique em um ícone na barra superior, clique no campo e escolha em um menu pop-up dos 17 tipos de itens possíveis. Repita o procedimento para o próximo campo até terminar. É apenas mais fácil do que copiar e colar da janela principal (o que você também pode fazer). Nos testes, eu não conseguia fazer o preenchimento do formulário baseado em campo funcionar, então copiar / colar era minha única opção.

Criptografia e destruição

A criptografia de arquivos é uma maneira elegante de manter os arquivos mais importantes longe de olhares indiscretos. No entanto, você ainda precisa se lembrar da senha usada para proteger cada arquivo ou pasta. O sistema de criptografia de arquivos do Password Depot inclui a opção útil para armazenar suas senhas de criptografia de arquivos junto com todas as outras senhas.

A criptografia é um recurso comum nos pacotes de segurança de primeira linha, mas a maioria lida com isso de forma diferente do depósito de senhas. O Bitdefender, o Kaspersky Total Security e muitos outros permitem criar um ou mais contêineres de armazenamento criptografados, geralmente chamados de cofres. Quando o cofre é desbloqueado com uma senha, ele se comporta como qualquer unidade ou diretório. Quando você bloqueia o cofre, os arquivos e pastas inseridos ficam totalmente inacessíveis.

Com o Trend Micro Maximum Security, você recebe apenas um cofre, mas é um pouco diferente do resto. Onde a maioria dos cofres tem um tamanho fixo, definido na criação, a Trend Micro se expande conforme necessário. E se o seu dispositivo for roubado, você poderá selar o cofre remotamente para que nem a senha o abra.

O Password Depot criptografa cada arquivo ou pasta separadamente; não há conceito de cofre. Ele adiciona seu próprio submenu ao menu do botão direito do mouse para arquivos e pastas. Nesse menu, você pode optar por criptografar, descriptografar ou excluir com segurança o item em questão. Há uma opção para excluir com segurança o original após a criptografia; sempre escolha isso. Se você compartilhar o arquivo com alguém que não use o Password Depot, poderá criar um arquivo de extração automática. Como mencionado, você pode fazer com que o Password Depot armazene a senha para você.

Descriptografar um arquivo é uma questão simples de digitar a senha ou solicitar que o Password Depot o insira para você. Opcionalmente, você pode optar por excluir a cópia criptografada após a descriptografia.

Escolher Apagar no menu do botão direito do mouse exclui permanentemente o item, substituindo os dados várias vezes antes da exclusão. Em um raro aceno de simplicidade, o Password Depot não confronta o usuário com a escolha de algoritmos de exclusão segura. Verificando com meus contatos do AceBIT, aprendi que ele substitui os arquivos três vezes antes da exclusão, de acordo com o padrão do Departamento de Defesa.

Outras plataformas

Você pode baixar o aplicativo Password Depot gratuito para macOS, iOS ou Android e usar todos os recursos disponíveis gratuitamente, até sincronizando vários dispositivos via armazenamento na nuvem. Naturalmente, você só pode sincronizar com as edições móveis se tiver escolhido armazenamento em nuvem para o banco de dados de senhas.

Instalado em um Mac, o Password Depot inicialmente se parece muito com a edição do Windows. No entanto, seus recursos são significativamente limitados. Mais importante ainda, ele não captura nem reproduz senhas. Se você deseja preencher credenciais para um site, use a área de transferência. O gerador de senhas não possui uma randomização verdadeira com base nos movimentos do mouse e você não obtém a ferramenta de análise.

O Password Depot também existe como um aplicativo gratuito para Android e iOS, com limitações semelhantes. Após a instalação, você o vincula ao banco de dados de senhas armazenadas na nuvem. Curiosamente, as edições Android, iOS e macOS incluem uma opção para sincronizar usando um servidor FTP. Como essa opção não está mais presente na edição do Windows, não é muito útil. As edições móveis oferecem suporte ao login automatizado, iniciando o site selecionado em um navegador interno.

O que não está aqui

Mencionei que alguns recursos automatizados por produtos concorrentes se tornam trabalhos manuais com o Password Depot. Além disso, outros gerenciadores de senhas oferecem recursos úteis que o Password Depot não possui.

LastPass, Dashlane e LogMeOnce vão além de apenas mostrar quais de suas senhas precisam ser atualizadas. Na verdade, eles automatizam o processo, ficando on-line para fazer as alterações necessárias e armazenando a nova senha. Os designers do Keeper evitam essa automação devido a questões de segurança, mas o Keeper reconhece uma página de alteração de senha e simplifica o processo de atualização.

Nós sempre desaconselhamos o compartilhamento promíscuo de senhas, mas pode haver razões válidas para o compartilhamento, talvez com um parceiro. Keeper, LogMeOnce, Senha intuitiva e Dashlane estão entre os inúmeros produtos que oferecem suporte ao compartilhamento seguro de senhas. Isso não é algo que você recebe com o Password Depot.

Se você desistir amanhã, seus herdeiros terão acesso aos seus ativos digitais? O Password Boss Premium, RoboForm, Dashlane e alguns outros fornecem herança digital da sua coleção de senhas. Esse também não é um recurso do Password Depot.

Muito pouco, muito

Um gerenciador de senhas deve automatizar o tedioso processo de lembrar e aplicar senhas fortes, e o AceBIT Password Depot lida principalmente com esse nível básico de automação. No entanto, muitos recursos essenciais que os concorrentes automatizam totalmente tornam-se tarefas práticas neste utilitário. Ele oferece uma coleção verdadeiramente impressionante de opções de configuração de ajuste fino, mas o usuário médio não precisa delas e provavelmente nunca as examinará. Com pouca automação e muita complicação, o Password Depot continua sendo um produto que não posso recomendar, especialmente porque não evoluiu consideravelmente nos últimos anos.

O Keeper Password Manager e o Digital Vault lida com tarefas básicas e avançadas de gerenciamento de senhas sem problemas, com uma consistência impressionante em diferentes plataformas. O Dashlane oferece uma experiência incomum ao usuário, mesmo que ofereça suporte aos recursos mais avançados. Qualquer um desses gerenciadores de senha da Editors 'Choice é uma escolha muito melhor do que o Password Depot. Por outro lado, o Myki Password Manager & Authenticator e a edição gratuita do LastPass, nossas escolhas do editor para gerenciamento gratuito de senhas, também servirão melhor.