Muitas empresas e utilizadores particulares enfrentam a mesma questão: como proteger palavras-passe e outras informações confidenciais de forma fiável e, ao mesmo tempo, utilizá-las com comodidade – incluindo a eliminação segura de revisão de dados que já não são necessários e sem riscos desnecessários em relação a locais na nuvem?

A seguir, mostramos como o Password Depot permite um alto padrão de segurança – desde a gestão de palavras-passe, passando por criptografia forte e geração segura de palavras-passe, até a eliminação final de dados e locais de armazenamento seguros.

Gestão eficiente de dados de autenticação

O número de dados de acesso necessários (palavras-passe, identificações de utilizador, PINs) está a aumentar continuamente. Notas, tabelas ou memórias do navegador são comuns no dia a dia, mas são propensas a erros e incentivam a reutilização de palavras-passe. Autoridades especializadas, como o BSI e o NCSC britânico, recomendam, portanto, o uso de um gestor de palavras-passe: ele gera palavras-passe fortes, avisa sobre palavras-passe fracas ou comprometidas e facilita a atribuição inequívoca. Fonte: BSI, Fonte: NCSC

Dica prática: Utilize uma palavra-passe forte e exclusiva para cada serviço e ative, sempre que possível, a autenticação multifator (MFA).

Máxima segurança no armazenamento e acesso

O Password Depot armazena palavras-passe e outras informações confidenciais (por exemplo, chaves de licença, dados de identidade e de pagamento) de forma encriptada. É utilizado o AES‑256 – um processo padronizado pela FIPS 197; a NSA utiliza o AES‑256 na atual suíte CNSA 2.0. FIPS 197, NSA CNSA 2.0

A senha mestra é a chave para o seu banco de dados. Ela não é armazenada em texto simples; em vez disso, um valor derivado criptográfico é utilizado durante o login. As diretrizes modernas exigem, entre outras coisas, métodos de hash de senha de armazenamento rígido e salt, bem como limitação de taxa no lado do verificador. NIST SP 800‑63B‑4

Importante: As regras de complexidade (obrigatórias para caracteres especiais, etc.) são consideradas contraproducentes. Recomenda-se o uso de senhas longas e uma comparação com listas de bloqueio (senhas frequentes/comprometidas). A alteração de senhas deve ocorrer apenas em caso de suspeita de comprometimento, e não em ciclos fixos. NIST SP 800‑63B‑4, NCSC: Três palavras aleatórias

Gerar palavras-passe fortes – verdadeiramente aleatórias, verdadeiramente verificadas

O Password Depot utiliza valores aleatórios criptograficamente seguros para gerar palavras-passe fortes. A entropia pode provir, entre outros, de interações imprevisíveis do utilizador (por exemplo, movimentos do rato) e fontes do sistema para inicializar o gerador de números aleatórios com alta qualidade. Além disso, o gerador verifica a qualidade (incluindo comparação com dicionários e listas de vazamentos) para evitar palavras-passe fracas ou já conhecidas, em conformidade com as diretrizes atuais para comparação com valores comprometidos. NIST SP 800‑63B‑4

Recomendação: Utilize palavras-passe geradas automaticamente com comprimento elevado (por exemplo, ≥ 20 caracteres) ou, quando a usabilidade for crítica, utilize frases-passe longas (por exemplo, três a quatro palavras aleatórias). Informações do NCSC

Eliminação definitiva de dados – o que realmente se aplica hoje em dia

O Password Depot fornece procedimentos para a remoção segura de ficheiros confidenciais, incluindo a frequentemente citada sobrescrita DoD 5220.22-M (várias passagens). Historicamente significativo – mas: Para os meios modernos (especialmente SSDs), a referência relevante hoje é a NIST SP 800‑88 Rev.1. Esta distingue entre Clear, Purge (por exemplo, Cryptographic Erase, ATA Secure Erase) e Destroy e aborda procedimentos específicos para cada dispositivo. NIST SP 800‑88 Rev.1

Na prática, isso significa que: HDDs podem ser limpos com segurança em muitos cenários através da sobregravação documentada (Clear/Purge); para SSDs, Sanitize/Secure Erase ou Cryptographic Erase são os métodos preferidos. O NIST lista explicitamente essas opções (incluindo comandos TCG/ATA). Detalhes em NIST SP 800‑88 Rev.1

Texto claro: DoD 5220.22-M é mais uma referência histórica; no mundo regulatório dos EUA, a diretriz NISPOM (DoD 5220.22-M) foi substituída pela 32 CFR Parte 117 (Regra NISPOM). Atualmente, a norma NIST 800-88 é a referência para a prática de eliminação. DCSA sobre a regra NISPOM, NIST SP 800‑88 Rev.1

Armazenamento seguro e soberania dos dados com o Password Depot

O Password Depot oferece às organizações a máxima flexibilidade: com o Password Depot Client e o Password Depot Enterprise Server, é o utilizador que determina o local de armazenamento – por exemplo, totalmente no local (sem transferência para países terceiros) ou num alojamento da UE à sua escolha.

Contexto jurídico (fluxos de dados UE↔EUA): Em 2020, o TJUE revogou o Privacy Shield (Schrems II), e desde então são necessárias medidas adicionais para transferências para países terceiros. Em 2023, a Comissão Europeia aprovou o novo EU-US Data Privacy Framework (DPF), que foi confirmado pelo Tribunal da UE em 2025 – existe uma certa segurança jurídica, mas os debates jurídicos continuam. Quem escolhe soberanamente os locais de armazenamento (por exemplo, On-Prem ou EU-Hosting) minimiza as dependências. TJUE C‑311/18, Decisão de execução da UE 2023/1795, Confirmação 2025

Considerações finais

A segurança não é um projeto único, mas um processo. O Password Depot ajuda-o a criar dados de acesso fortes, armazená-los de forma segura, utilizá-los de forma controlada e, se necessário, eliminá-los definitivamente. Em combinação com diretrizes claras (MFA, frases-passe, verificação regular de palavras-passe comprometidas, processos de eliminação em conformidade com o NIST), alcançará um nível de proteção robusto e prático.