De há uns tempos para cá tenho pensado em segurança e na forma como gerimos as nossas passwords.

É certo uma boa password é meio caminho andado para nos livrarmos de problemas. E nesse aspecto acho que tenho uma boa password (e pequenas variações da mesma).

Porém, acho que estou a chegar a uma fase em que não me contento com uma boa password. E sei que estou a cometer um pecado capital que nunca deve ser realizado: o uso da mesma password (ou pequenas variações) por diferentes sites. É com este comportamento que quero terminar.

Com esta premissa em mente encetei a minha pesquisa na melhor forma de gerir e manter dezenas de password’s indecifávreis (ou muito perto disso). Obviamente é diferente decorar uma password como 123!"# ou decorar a password 9f*Ngu`<I$?,[email protected]}I (a primeira é inventada e a segunda foi gerada).

Depois de alguma pesquisa e algumas experiências a minha escolha recaiu sobre o KeePass. O KeyPass é um software de gestão de passwords com versão para Windows, MacOS, Linux, Windows ME e mais uns quantos. Era para mim essencial que assim fosse. Para além disso, e melhor de tudo, tem uma versão que “PortableApp”.

O que é uma “PortableApp”? #

São versões de programas que correm no computador sem necessidade de instalação. Permite que, por exemplo, colocar numa drive USB os programas que precisamos mais e corrê-los directamente do drive USB.

A flexibilidade e maneabilidade permitida pela versão “Portable” do KeyPass foi um ponto decisivo na hora da escolha. As soluções online que testei, nomeadamente o PassPack.com e o Clipperz.com, embora tenham alguma flexibilidade (não há necessidade de, por exemplo, instalar qualquer software) têm, a meu ver, duas grandes desvantagens:

1. obriga a estar always on;
2. não sei o que cada empresa faz com os meus dados.

Nesse aspecto a solução software teria sempre uma vantagemsobre a opção web.

Depois de escolhida a solução, que faz aquilo que quero e fá-lo muito bem, posso-vos dizer deparei-me com um problema “diferente”. E se eu me esqueço ou perco a minha drive USB. Ficarei sem acesso a praticamente todos os sites que frequento. É isto aceitável para mim?

Foi então que me lembrei das opções de backup online.

Depois de há uns dias arranjar um convite para testar o Dropbox, iniciei um teste de 3 soluções de backup online…

O Dropbox foi o primeiro que experimentei e é de uma simplicidade extrema. Começa por criar uma pasta nos “My Documents” e depois, tudo o que quisermos sincronizar só temos que “descarregar” para as mesmas. As principais características são: 2Gb de espaço (não consegui confirmar este valor), cliente para Windows, Mac e Linux (em versão alpha) e sincronização (ilimitada?) de computadores diferentes. Podemos desta forma, facilmente, sincronizar um Windows com um Mac muito rapidamente.

O Mozy foi instalado quase no mesmo instante que o Dropbox. É um grande nome no mercado e oferece 2Gb para contas livres. Estou neste momento a gastar cerca de 955Mb. Ao contrário do Dropbox, o Mozy não sincroniza múltiplos computadores. A sincronização é de 1 para 1, ou seja, uma conta no mozy e um computador com o software cliente instalado.

Por ultimo, conheci o syncplicity. Este coloca os seus pontos fortes onde o Dropbox falha. Essencialmente permite escolher que pastas queremos incluir como backup e não ficamos presos aquela pasta que o software indica. Infelizmente só tem cliente para Windows esquecendo as pessoas que usam Mac e Linux.

Para além destas soluções, há outros como o Box.net ou o Live Mesh da Micro$oft. Há ainda outra que hei-de experimentar um dia, que é o serviço S3 da Amazon. Neste não há limites de dados, nem limites de transferências ou limites de ficheiros. Sendo um serviço pago, apenas se paga o que se usa e o que se transfere. Por exemplo, guardar 50Gb + 1Gb/mês entrada + 100Mb/mês saída + 100000 pedidos de listagem fica por menos de USD10/mês. Para além disso, sendo a Amazon a prestar o serviço, o SLA do mesmo é devidamente apresentado e um nível de serviço inferior a 100% dá direito a desconto de 10% do preço final. Se o nível de serviço for inferior a 99% o desconto sobe até aos 25%. Se quiserem fazer uma contas a cenários hipotéticos de backup podem sempre usar a calculadora que a Amazon fornece.

Voltando à questão da segurança e das passwords e à forma como faço a gestão do ficheiro do KeePass.

A minha solução passou por usar o Dropbox e o syncplicity e apontar ambos para a directoria onde está o ficheiro com a base de dados do KeePass (sim, eu sei que disse que no Dropbox tinha que ser usada aquela directoria, mas existem formas de apontar aquela directoria para outra directoria directoria) . Desta forma, penso ter resolvido a questão que coloquei antes: se perco a minha drive USB ou me esqueço da mesma, como acedo aos meus sites? Basta-me entrar do Dropbox ou no sincplicity, descarregar o ficheiro que tem a base de dados do KeePass e descarregar o KeePass no sistema operativo que estou a usar.

E se alguém apanha o ficheiro? #

Essa é a parte boa. A base de dados do KeePass está protegida com password (a única que tenho mesmo que saber) e uma chave privada (um ficheiro especial). Só a combinação correcta deste dois dados permite a abertura da base de dados.

Vou começar agora a migrar as minhas passwords mais simples (e menos perigosas de perder) para o KeePass e permitir que o mesmo gere password’s de 20 caractéres. Depois só tenho que usar o Auto-Type, uma característica do KeePass, e o mesmo faz o login no site por mim. Se tudo correr bem, poderei começar a migrar as passwords dos outros sites. Google, Yahoo, PlanetaSoares.com…

Notas:

[1] Imagem da drive USB Kingston Mini Fun retirada daqui.

[2] Ainda tenho alguns convites para o Dropbox. Se alguém quiser testar o serviço deixe um comentário nesta entrada ou use o formulário de contacto.