PrivaPass

Fundamentos da segurança de senhas

Como as senhas são realmente roubadas

A maioria dos sequestros de contas não envolve quebrar uma senha. Bilhões de pares de e-mail e senha vindos de vazamentos de dados anteriores são negociados on-line, e os atacantes simplesmente os testam em outros sites — uma técnica chamada credential stuffing, que funciona porque as pessoas reutilizam a mesma senha em todo lugar. Senhas fracas ou comuns também caem rapidamente diante de ferramentas automatizadas de ataque por dicionário e força bruta, enquanto páginas de phishing capturam tudo o que você digita. A reutilização é, de longe, o maior risco: um único site vazado pode expor todas as contas que compartilham aquela senha.

O que torna uma senha realmente forte

O comprimento importa mais do que os símbolos. Uma frase-senha aleatória de 16 caracteres resiste a ataques de força bruta por séculos, enquanto uma curta "P@ssw0rd!" cai em segundos, apesar de parecer complexa. Cada conta deveria ter sua própria senha exclusiva, para que um único vazamento não se espalhe em cascata por todos os seus acessos. Evite nomes, datas de nascimento e palavras de dicionário — qualquer coisa que possa ser adivinhada a partir da sua vida pública. Um gerador elimina a previsibilidade humana ao produzir sequências de alta entropia que ninguém pensaria em escolher.

Por que um cofre no dispositivo supera a nuvem

Os gerenciadores de senhas na nuvem mantêm uma cópia criptografada do seu cofre em seus servidores, tornando-os um alvo de alto valor — e você precisa confiar na segurança deles, na equipe deles e na disponibilidade do serviço. O PrivaPass mantém o seu cofre criptografado com AES-256-GCM dentro do armazenamento do seu próprio navegador, de modo que não há servidor central a ser violado, nenhuma conta a ser alvo de phishing e nenhuma assinatura para expirar. Sua senha mestra nunca sai do seu dispositivo, e as verificações de vazamento usam k-anonymity, de forma que nem mesmo uma consulta revela nada.

O que é o PrivaPass?

PrivaPass é um gerenciador de senhas gratuito e baseado no navegador que gera, armazena e gerencia todas as suas senhas com criptografia AES-256-GCM — o mesmo padrão em que bancos e governos confiam. Seu gerador integrado cria senhas aleatórias e criptograficamente fortes com comprimento personalizável (mais de 64 caracteres) e a combinação que você escolher de maiúsculas, minúsculas, números e caracteres especiais, para que você nunca mais precise inventar uma senha fraca ou repetida. As pessoas usam para dar a cada conta uma senha exclusiva, guardar os acessos de banco, e-mail e redes sociais atrás de uma única senha mestra, verificar se uma senha apareceu em um vazamento de dados conhecido e levar um backup criptografado do notebook para o celular. Todo o seu cofre fica no IndexedDB do seu navegador e é criptografado antes mesmo de ser gravado em disco — nada é transmitido a nenhum servidor, nem mesmo durante as verificações de vazamento. Não há instalação, não há cadastro e não há assinatura. Como toda a criptografia é executada como JavaScript diretamente no seu navegador, o PrivaPass funciona totalmente offline assim que a página carrega, e o seu cofre e as senhas geradas nunca saem do seu dispositivo.

Como usar o PrivaPass

  1. 1

    1. Gerar uma senha

    Use o gerador integrado para criar senhas aleatórias e criptograficamente fortes com comprimento personalizável e opções de tipos de caracteres (maiúsculas, minúsculas, números, símbolos). Uma senha gerada aleatoriamente é drasticamente mais resistente a ataques do que qualquer senha criada por humanos.

  2. 2

    2. Salvar no cofre

    Armazene suas senhas com segurança no cofre criptografado do seu navegador, protegido exclusivamente pela sua senha mestra. Adicione anotações, URLs e nomes de usuário a cada entrada. Os dados são criptografados antes de serem gravados no armazenamento local.

  3. 3

    3. Exportar e fazer backup

    Baixe backups criptografados do seu cofre para transferir senhas entre dispositivos ou para ter uma cópia de segurança externa. O arquivo de backup é protegido pela mesma senha mestra — seguro para guardar em qualquer local.

Por que o PrivaPass é seguro?

Os gerenciadores de senhas em nuvem mantêm uma cópia criptografada do seu cofre nos próprios servidores, o que os torna um alvo de alto valor — e obriga você a confiar na segurança deles, na equipe deles e na disponibilidade do serviço. O PrivaPass faz o oposto: gera e criptografa tudo no seu navegador com AES-256-GCM, e o seu cofre nunca sai do seu dispositivo. Não há servidor central para violar, nenhuma conta para sofrer phishing e nenhuma assinatura para expirar. Sua senha mestra nunca é armazenada nem transmitida a lugar nenhum — nem em um servidor, nem na memória por mais do que o instante necessário para descriptografar o cofre — de modo que a recuperação é impossível por design, o que também significa que ninguém além de você jamais conseguirá abri-lo. Como tudo é executado inteiramente no lado do cliente, você não precisa acreditar só por confiança: abra a aba «Rede» (Network) das ferramentas de desenvolvedor (DevTools) do navegador enquanto gera uma senha ou salva uma entrada e verá que nenhuma requisição de upload é feita. Para uma prova ainda mais clara, desligue o Wi-Fi depois que a página carregar: gerar, salvar, pesquisar e exportar continuam funcionando, porque nunca houve nada destinado a um servidor. O único recurso que toca a internet é a verificação opcional de vazamentos, e mesmo essa usa o método k-anonymity, enviando apenas os cinco primeiros caracteres do hash da senha, para que sua senha permaneça privada durante a consulta.

Perguntas frequentes

Não. O PrivaPass armazena todos os dados no IndexedDB do seu navegador usando criptografia forte. A senha mestra também não é salva em nenhum lugar — ela é usada apenas em memória para derivar a chave de criptografia. Não há transmissão de dados a servidores, não há conta em nuvem e não há servidor central que possa ser hackeado.
A senha mestra não é salva em lugar nenhum — nem no seu dispositivo nem em servidores. Se você a esquecer, não há como recuperar o acesso ao cofre sem redefinir todos os dados. Isso é o fundamento da privacidade total: apenas você conhece a chave. Anote sua senha mestra e guarde em local físico seguro — um cofre físico ou local reservado em casa.
Sim. Você pode baixar um arquivo de backup criptografado usando a função de exportação e importá-lo em outro dispositivo. O backup é criptografado com sua senha mestra, portanto é seguro para armazenar em qualquer lugar — o conteúdo só pode ser lido por quem conhece a senha mestra.
Para verificar se suas senhas foram expostas em vazamentos de dados conhecidos, o PrivaPass consulta o serviço Have I Been Pwned usando uma técnica que preserva a privacidade. Apenas um trecho parcial e anonimizado do hash da senha é transmitido — a senha real nunca é revelada ao serviço de verificação.
Sim. Como os dados são armazenados no IndexedDB do navegador, eles também serão excluídos ao limpar os dados de navegação ou usar o modo de navegação privada. Recomenda-se exportar backups criptografados regularmente para evitar perda de dados em caso de limpeza acidental do navegador.
Sim ao offline, e não aos uploads. Gerar senhas, salvar e pesquisar entradas e exportar o seu backup criptografado são executados inteiramente no seu dispositivo, sem nenhuma conexão de rede, então você pode usar o PrivaPass em um avião ou com o Wi-Fi desligado assim que a página carregar. Suas senhas e o seu cofre nunca são transmitidos a lugar nenhum — você pode confirmar isso abrindo a aba «Rede» (Network) das ferramentas de desenvolvedor (DevTools) do navegador enquanto trabalha, ou simplesmente desconectando-se da internet e vendo que tudo continua funcionando. A única exceção é a verificação opcional de vazamentos, que por design envia apenas os cinco primeiros caracteres do hash da senha, nunca a senha em si.
Muito fortes. O PrivaPass usa o gerador de números aleatórios criptograficamente seguro embutido no seu navegador (a Web Crypto API) — não um atalho de software previsível — para produzir senhas de alta entropia que nenhuma pessoa ou ferramenta baseada em padrões conseguiria adivinhar. Você controla o comprimento (mais de 64 caracteres) e quais conjuntos de caracteres incluir: maiúsculas, minúsculas, números e símbolos especiais. Como o comprimento contribui muito mais para a força do que a complexidade sozinha, uma senha aleatória de 16 caracteres já resiste a ataques de força bruta por séculos. As senhas são geradas localmente e só são salvas no seu cofre se você decidir salvá-las.