Reforço da segurança através da utilização de Password Depot

Gestão eficiente de dados de autenticação

O número de credenciais necessárias (palavras-passe, identificadores de utilizador, PINs) aumenta continuamente. Papéis com notas, folhas de cálculo ou o armazenamento no browser são comuns no dia a dia, mas estão sujeitos a erros e favorecem a reutilização de palavras-passe. Autoridades especializadas, como o BSI e o NCSC britânico, recomendam, por isso, a utilização de um gestor de palavras-passe: gera palavras-passe fortes, avisa sobre credenciais fracas ou comprometidas e facilita a atribuição inequívoca. Fonte: BSI, Fonte: NCSC

Dica prática

Utilize uma palavra-passe forte e exclusiva para cada serviço e ative – sempre que possível – a autenticação multifator (MFA).

Máxima segurança no armazenamento e no acesso

Password Depot armazena palavras-passe e outras informações confidenciais (por exemplo, chaves de licença, dados de identidade e de pagamento) de forma encriptada. Para isso, utiliza AES-256 – um método normalizado pela FIPS 197; a NSA inclui o AES-256 na atual suite CNSA 2.0.FIPS 197, NSA CNSA 2.0

A palavra-passe mestra é a chave da sua base de dados. Não é não armazenada em texto simples; em vez disso, é utilizado um valor criptográfico derivado no momento da autenticação. As diretrizes modernas exigem, entre outros, métodos de hash de palavras-passe resistentes em termos de memória e salt , bem como rate limiting no lado do verificador. NIST SP 800-63B-4

Importante

Regras de complexidade (obrigatoriedade de caracteres especiais, etc.) são consideradas contraproducentes. O recomendado são longas Frases-passe e a verificação com listas de bloqueio de blocklists (palavras-passe frequentes/comprometidas). As alterações de palavra-passe só devem ocorrer em caso de suspeita de comprometimento – não em ciclos fixos. NIST SP 800–63B–4, NCSC: Three random words

Gerar palavras-passe fortes – verdadeiramente aleatórias, devidamente verificadas

Password Depot utiliza valores aleatórios criptograficamente seguros para gerar palavras-passe fortes. A entropia pode, entre outros, provir de interações imprevisíveis do utilizador (por ex., movimentos do rato) e de fontes do sistema, para inicializar o gerador de números aleatórios com elevada qualidade. Além disso, o gerador verifica a qualidade (incluindo comparação com dicionários e listas de fugas), para evitar palavras-passe fracas ou já conhecidas – em conformidade com as orientações atuais sobre a verificação face a valores comprometidos. NIST SP 800–63B–4

Recomendação

Utilizar palavras-passe geradas automaticamente com grande comprimento (por ex., ≥ 20 caracteres) ou – quando a usabilidade for crítica – frases-passe longas (por ex., três a quatro palavras aleatórias). Contexto do NCSC

Eliminação definitiva de dados – o que realmente se aplica hoje

Password Depot disponibiliza procedimentos para a remoção segura de ficheiros confidenciais, incluindo a muito citada sobrescrita DoD 5220.22–M (múltiplas passagens). Historicamente relevante – mas: para suportes modernos (em especial SSDs), a referência determinante atualmente é NIST SP 800–88 Rev.1. Esta distingue Clear, Purge (por exemplo, Cryptographic Erase, ATA Secure Erase) e Destroy e aborda procedimentos específicos do dispositivo. NIST SP 800‑88 Rev.1

Na prática, isto significa: HDDs podem, em muitos cenários, ser saneados com segurança através de sobrescrita documentada (Clear/Purge); para SSDs são Sanitize/Secure Erase ou Cryptographic Erase as opções preferenciais. O NIST enumera explicitamente estas opções (incluindo comandos TCG/ATA). Detalhes em NIST SP 800‑88 Rev.1

Texto simples

DoD 5220.22‑M é mais uma referência histórica; no quadro regulamentar dos EUA, a diretiva NISPOM (DoD 5220.22‑M) foi entretanto substituída por 32 CFR Part 117 (NISPOM Rule). Hoje, a referência para as práticas de eliminação de dados é a NIST 800‑88. DCSA sobre a NISPOM Rule, NIST SP 800‑88 Rev.1

Armazenamento seguro e soberania dos dados com Password Depot

Password Depot oferece às organizações máxima flexibilidade: Com Password Depot Client e Password Depot Enterprise Server determina o local de armazenamento – por exemplo, totalmente On‑Premises (sem transferência de dados para países terceiros) ou num alojamento na UE à sua escolha.

Contexto jurídico (fluxos de dados UE↔EUA): Em 2020, o TJUE anulou o Privacy Shield (Schrems II), desde então são necessárias medidas adicionais para transferências para países terceiros. Em 2023, a Comissão Europeia adotou o novo EU‑US Data Privacy Framework (DPF), que foi confirmado em 2025 pelo Tribunal da UE – existe um certo grau de segurança jurídica, mas o debate jurídico continua. Quem escolhe soberanamente os locais de armazenamento (por exemplo, On‑Prem ou alojamento na UE) minimiza dependências. EuGH C‑311/18, EU‑Durchführungsbeschluss 2023/1795, Confirmação 2025

Considerações finais

A segurança não é um projeto pontual, mas sim um processo. Password Depot ajuda-o a gerir credenciais de acesso, fortes a gerar, com segurança a armazenar, de forma controlada a utilizar e – quando necessário – definitivamente eliminar definitivamente. Em combinação com diretrizes claras (MFA, frases-passe, verificação regular de palavras-passe comprometidas, processos de eliminação conformes com o NIST), obtém um nível de proteção robusto e adequado à prática.

Implementação imediata

• Escolha uma frase-passe mestra longa (por exemplo, ≥ 15 caracteres ou três a quatro palavras aleatórias).
• Utilizar o gerador de palavras-passe; não reutilizar palavras-passe; ativar MFA.
• Permitir “colar” nos campos de login e utilizar o preenchimento automático do gestor de palavras-passe (ajuste da política).
• Para a eliminação, aplicar e documentar procedimentos conformes com a NIST 800-88 para cada suporte (HDD/SSD).
• Definir estrategicamente o local de armazenamento (On-Prem/EU Hosting) – minimizar os fluxos de dados.