Os gerenciadores de senhas são os vegetais da internet. Sabemos que são bons para nós, mas a maioria de nós prefere petiscar o equivalente de senhas de junk food. Por quase uma década, isso tem sido ‘123456’ e ‘senha’ – as duas senhas mais comumente usadas na web. O problema é que a maioria de nós não sabe o que faz uma boa senha e não consegue se lembrar de centenas delas.
A maneira mais segura (se for a mais louca) de armazenar suas senhas é memorizá-las todas. (Certifique-se de que sejam longas, fortes e seguras!) Brincadeira. Isso pode funcionar para o Grande Mestre da Memória Ed Cooke, mas a maioria de nós não é capaz de tais feitos fantásticos. Precisamos transferir esse trabalho para os gerenciadores de senhas, que oferecem cofres seguros que podem substituir nossa memória. O melhor gerenciador de senhas oferece conveniência e, mais importante, ajuda você a criar melhores senhas, o que torna sua existência online menos vulnerável a ataques baseados em senhas.
Leia nosso guia sobre provedores de VPN para mais ideias sobre como você pode atualizar sua segurança, assim como nosso guia para fazer backup de seus dados para garantir que você não perca nada caso o inesperado aconteça.
Atualizado em março de 2025: Atualizamos nossa análise do Dashlane com base em testes recentes, adicionamos o NordPass de volta e temos mais detalhes sobre o status do suporte a chaves de acesso.
Por que não usar seu navegador?
A maioria dos navegadores da web oferece pelo menos um gerenciador de senhas rudimentar. (É aqui que suas senhas são armazenadas quando o Google Chrome ou o Mozilla Firefox perguntam se você deseja salvar uma senha.) Isso é melhor do que reutilizar a mesma senha em todos os lugares, mas os gerenciadores de senhas baseados em navegadores são limitados. Nos últimos anos, o Google melhorou o gerenciador de senhas embutido no Chrome, e ele é melhor do que o restante, mas ainda não é tão completo ou amplamente suportado quanto um gerenciador de senhas dedicado como os abaixo.
Os leitores da WIRED também perguntaram sobre o gerenciador de senhas da Apple, que sincroniza através do iCloud e tem algumas integrações interessantes com o navegador Safari. Não há nada de errado com o sistema da Apple. Ele não possui alguns dos extras legais que você obtém com serviços dedicados, mas lida com a segurança de suas senhas e a sincronização delas entre dispositivos Apple. O principal problema é que se você tiver qualquer dispositivo não Apple, não conseguirá sincronizar suas senhas com eles. Todo mundo usando Apple? Então esta é uma opção viável, gratuita e embutida que vale a pena considerar.
Um esforço concentrado para se livrar das senhas começou aproximadamente dois dias após a invenção da senha. As senhas são um incômodo – você não encontrará argumentos aqui – mas não as vemos saindo de cena no futuro próximo. O mais recente esforço para eliminar a senha vem da FIDO Alliance, um grupo da indústria destinado a padronizar métodos de autenticação online. Isso soa um pouco como o infame xkcd 927? Sim, sim, soa. Mas graças à natureza monopolista dos dispositivos, pode funcionar desta vez.
A Apple suporta as especificações FIDO e cunhou o termo chaves de acesso, que pegou. As chaves de acesso são geradas chaves criptográficas geridas pelo seu dispositivo (geralmente seu telefone). Elas são fáceis de criar – você não precisa fazer nada, seu dispositivo cuida dos detalhes. Suas chaves de acesso são armazenadas em seu dispositivo e protegidas por biometria ou PINs. Como as chaves de acesso são pares de chaves geradas em vez de senhas, não há nada para lembrar. Se você está familiarizado com chaves GPG, elas são um pouco semelhantes, pois há uma chave pública e uma privada; o site que você deseja acessar tem uma chave pública e a envia para seu dispositivo. Seu dispositivo compara isso com a chave privada que possui e você está dentro (ou não, se as chaves não coincidirem). Embora as chaves de acesso não sejam uma mudança radical, ainda são uma melhoria por serem uma ferramenta pré-instalada para pessoas que não vão ler este artigo e imediatamente se inscrever para usar um dos serviços abaixo. Se milhões de pessoas pararem de usar 12345678 como senha, isso é uma vitória para a segurança.
Quase todos os aplicativos que sugerimos aqui podem armazenar chaves de acesso, o que significa que você pode armazenar suas chaves de acesso ao lado de suas senhas. Nossos dois favoritos, Bitwarden e 1Password, podem gerar, salvar, armazenar e sincronizar chaves de acesso. Você pode até fazer login no Bitwarden usando uma chave de acesso, o que praticamente elimina a necessidade de uma senha. Uma vez que você tenha uma chave de acesso armazenada, ela será sincronizada automaticamente em todos os seus dispositivos da mesma forma que o Bitwarden e o 1Password sincronizam suas senhas. Quando você retornar ao site, seu gerenciador de senhas fará o login usando a chave de acesso que você gerou.
Pense nas chaves de acesso como cartões de crédito ao lado do dinheiro (senhas) em sua carteira. É possível que um dia as chaves de acesso funcionem em todos os lugares e não haja senhas, nem gerenciadores de senhas. Enquanto isso, acreditamos que é melhor ficar com um gerenciador de senhas, mesmo que tudo o que você esteja fazendo com esse gerenciador seja armazenar chaves de acesso.
Vantagens (e Dicas) do Gerenciador de Senhas
Um bom gerenciador de senhas armazena, gera e atualiza senhas para você com o toque de um botão. Se você estiver disposto a gastar alguns dólares por mês, um gerenciador de senhas pode sincronizar suas senhas em todos os seus dispositivos. Aqui está como eles funcionam.
Apenas uma senha para lembrar: Para acessar todas as suas senhas, você só precisa lembrar de uma senha. Quando você digita isso no gerenciador de senhas, ele desbloqueia o cofre contendo todas as suas senhas reais. Precisar lembrar de apenas uma senha é ótimo, mas significa que há muito em jogo nessa senha. Certifique-se de que seja uma boa. Se você estiver tendo dificuldades para criar essa única senha que rege todas, consulte nosso guia para uma melhor segurança de senha. Você também pode considerar usar o método Diceware para gerar uma senha mestra forte.
Aplicativos e extensões: A maioria dos gerenciadores de senhas são sistemas completos, em vez de uma única peça de software. Eles consistem em aplicativos ou extensões de navegador para cada um de seus dispositivos (Windows, Mac, telefones Android, iPhone e tablets), que têm ferramentas para ajudá-lo a criar senhas seguras, armazená-las com segurança e avaliar a segurança de suas senhas existentes. Todas essas informações são enviadas para um servidor central onde suas senhas são criptografadas, armazenadas e compartilhadas entre dispositivos.
Corrigindo senhas comprometidas: Embora os gerenciadores de senhas possam ajudá-lo a criar senhas mais seguras e mantê-las seguras de olhos curiosos, eles não podem proteger sua senha se o próprio site for invadido. Isso não significa que eles não ajudam nesse cenário, no entanto. Todos os gerenciadores de senhas baseados em nuvem que discutimos oferecem ferramentas para alertá-lo sobre senhas potencialmente comprometidas. Os gerenciadores de senhas também facilitam a alteração rápida de uma senha comprometida e a busca por suas credenciais para garantir que você não reutilizou nenhuma senha comprometida.
Você deve desativar o preenchimento automático de formulários: Alguns gerenciadores de senhas preencherão automaticamente e até enviarão formulários da web para você. Isso é super conveniente, mas para segurança adicional, sugerimos que você desative esse recurso. Preencher automaticamente formulários no navegador tornou os gerenciadores de senhas vulneráveis a ataques no passado. Por essa razão, alguns, como o 1Password, exigem que você opte por esse recurso. Sugerimos que você não faça isso.
Não entre em pânico com hacks: O software tem bugs, até mesmo seu gerenciador de senhas. A questão não é o que fazer se for conhecido que seu gerenciador de senhas tem uma falha, mas o que você faz quando se torna conhecido que seu gerenciador de senhas tem uma falha. A resposta é, primeiro, não entre em pânico. Normalmente, os bugs são encontrados, relatados e corrigidos antes de serem explorados no mundo. Mesmo que alguém consiga acessar os servidores do seu gerenciador de senhas, você ainda deve estar bem. Todos os serviços que listamos armazenam apenas dados criptografados, e nenhum deles armazena sua chave de criptografia, o que significa que tudo o que um invasor obtém ao comprometer seus servidores é dados criptografados.
O Melhor para a Maioria das Pessoas
Fotografia: Bitwarden
Bitwarden (9/10, Recomendado pela WIRED) é seguro, de código aberto e gratuito, sem limites. Os aplicativos são polidos e fáceis de usar, tornando o serviço a melhor escolha para a maioria dos usuários. Mencionei que é de código aberto? Isso significa que o código que alimenta o Bitwarden está disponível gratuitamente para qualquer pessoa inspecionar, procurar falhas e corrigir. Em teoria, quanto mais olhos no código, mais hermético ele se torna. O Bitwarden também foi auditado em 2023 por uma terceira parte para garantir que seja seguro. Você pode instalá-lo em um servidor local para uma auto-hospedagem fácil, caso prefira executar sua própria nuvem.
Existem aplicativos para Android, iOS, Windows, macOS e Linux, além de extensões para todos os principais navegadores da web. O Bitwarden também suporta Windows Hello e Touch ID em seus aplicativos para desktop para Windows e macOS, oferecendo aos usuários a segurança adicional desses sistemas de autenticação biométrica. A interface da web (que eu uso frequentemente) passou recentemente por uma reformulação, o que a torna muito mais limpa e fácil de usar.
O Bitwarden suporta autenticação sem senha, o que significa que você pode fazer login com um código temporário, autenticação biométrica ou uma chave de segurança. O Bitwarden também possui suporte excelente para chaves de acesso, incluindo a capacidade de fazer login no Bitwarden com uma chave de acesso, o que significa que você não precisa usar seu nome de usuário ou senha nem mesmo para abrir seu cofre. Há também alguns extras, como um recurso para compartilhar arquivos com segurança (chamado Bitwarden Send), um aplicativo autenticador (apenas pago) e uma comunidade extremamente ativa e útil.
Gosto da ferramenta de preenchimento semi-automático de senhas do Bitwarden. Se você visitar um site para o qual salvou credenciais, o ícone do navegador do Bitwarden mostrará o número de credenciais salvas desse site. Clique no ícone e ele perguntará qual conta você deseja usar e, em seguida, preencherá automaticamente o formulário de login. Isso facilita a troca entre nomes de usuário e evita as armadilhas do preenchimento automático. Se você realmente precisa do seu recurso de preenchimento automático totalmente automatizado, o Bitwarden também suporta isso.
O Bitwarden oferece contas de upgrade pagas. A mais barata delas, o Bitwarden Premium, custa US$ 10 por ano. Isso lhe dá 1 GB de armazenamento de arquivos criptografados e autenticação de dois fatores com dispositivos como YubiKey, FIDO U2F e Duo, além de um relatório de higiene de senhas e saúde do cofre. Você também obtém suporte ao cliente prioritário com uma conta paga.
Após a inscrição, baixe o aplicativo para Windows, macOS, Android, iOS ou Linux. Também existem extensões para navegadores como Firefox, Chrome, Safari, Edge, Vivaldi e Brave.
O Melhor Upgrade
Cortesia de 1Password
O que diferencia o 1Password das outras opções desta lista é o número de extras que oferece. Como outros gerenciadores de senhas, o 1Password tem aplicativos para todas as principais plataformas, incluindo macOS, iOS, Android, Windows, Linux e ChromeOS. Existe até uma ferramenta de linha de comando que funcionará em qualquer lugar. Existem plug-ins para o seu navegador da web favorito, o que torna fácil gerar e editar novas senhas rapidamente.
Eu ainda considero o BitWarden uma escolha mais econômica para a maioria das pessoas, mas o 1Password tem alguns recursos muito bons que você não encontrará em outros lugares. Se você frequentemente viaja entre fronteiras nacionais, você apreciará minha vantagem favorita: o Modo de Viagem. Esse modo permite que você exclua qualquer dado sensível de seus dispositivos antes de viajar e depois o restaure com um clique após cruzar uma fronteira. Isso evita que qualquer um, incluindo a aplicação da lei em fronteiras internacionais, tenha acesso ao seu cofre de senhas completo.
Vale a pena notar que o 1Password usa uma combinação de duas chaves para desbloquear sua conta: sua senha e uma chave secreta gerada adicional. Embora isso adicione uma camada de segurança que protegerá contra senhas fracas, também significa que parte do que você precisa para desbloquear suas senhas é algo que você não criou. O 1Password se certifica de que você tenha essa chave como um item em seu “kit de emergência”, mas eu ainda prefiro emparelhar uma senha gerada por mim com um Yubikey.
Além de ser um gerenciador de senhas, o 1Password pode agir como um aplicativo de autenticação, como o Google Authenticator. Para segurança adicional, ele cria uma chave secreta para a chave de criptografia que usa, o que significa que ninguém pode descriptografar suas senhas sem essa chave. O lado negativo é que, se você perder essa chave, ninguém, nem mesmo o 1Password, pode descriptografar suas senhas. (Isso pode ser mitigado configurando um grupo personalizado com a permissão ‘Recuperar Contas’).
O 1Password também oferece integração estreita com outros aplicativos móveis. Em vez de copiar e colar senhas do seu gerenciador de senhas para outros aplicativos (o que coloca sua senha na área de transferência, pelo menos por um momento), o 1Password está integrado com muitos aplicativos e pode preencher automaticamente. Isso é mais notável no iOS, onde a comunicação entre aplicativos móveis é mais restringida.
Após a inscrição, baixe o aplicativo para Windows, macOS, Android, iOS, Chrome OS ou Linux. Também existem extensões para navegadores como Firefox, Chrome, Brave e Edge.
O Melhor Gerenciador Completo
Cortesia de Dashlane
O Dashlane oferece a maioria dos recursos que você encontrará nas nossas outras escolhas. A empresa não oferece um aplicativo de desktop, mas eu uso principalmente senhas no navegador da web de qualquer forma, e o Dashlane tem complementos para todos os principais navegadores, além de aplicativos para iOS e Android. Se um aplicativo de desktop é importante para você, essa omissão é algo a ser observado, mas em meus testes, não é um grande problema. O Dashlane usa a mesma criptografia AES de 256 bits em um sistema de zero conhecimento, o que significa que as senhas só são descriptografadas em seu dispositivo. O Dashlane usa autenticação multifator se você quiser, através de um aplicativo autenticador ou uma chave de hardware como o Yubikey.
O Dashlane é consideravelmente mais caro do que o Bitwarden ou o 1Password, mas esse dinheiro extra traz algumas funcionalidades de segurança adicionais, como Alertas de Violação de Site, que permitem que você saiba se algum serviço web que você usa teve seus dados vazados. O Dashlane também monitora ativamente os cantos mais obscuros da web, procurando dados pessoais vazados ou roubados, e alerta você se suas informações foram comprometidas. Há até um sistema de Alerta de Phishing que o impedirá de inserir credenciais em um site com um URL falsificado. Esse último recurso é incrivelmente útil se você estiver configurando um gerenciador de senhas para parentes ou amigos menos técnicos. A proteção contra phishing do Dashlane pode salvá-los de si mesmos. O Dashlane também oferece uma VPN através do Hotspot Shield VPN. Eu não testei a integração do Dashlane, mas, em testes com o Hotspot Shield por conta própria, sempre o considerei muito lento para recomendar em meu guia de VPN.
A configuração e a migração para o Dashlane de outro gerenciador de senhas são simples, e você usará uma chave secreta para criptografar suas senhas, muito parecido com o processo de configuração do BitWarden. Na prática, o Dashlane é muito semelhante aos outros nesta lista. O Dashlane oferece um teste gratuito de 30 dias, para que você possa testá-lo antes de se comprometer.
Após a inscrição, baixe o aplicativo para Android e iOS, e pegue as extensões do navegador para Firefox, Chrome e Edge.
O Melhor para Serviços Agrupados
Fotografia: Nordpass
Você pode conhecer melhor a Nord pelo seu serviço de VPN, mas a empresa também oferece um gerenciador de senhas, o NordPass, e um sistema de armazenamento online bastante legal, o NordLocker. Uma parte do apelo do NordPass vem da sua inclusão nos outros serviços da empresa para conseguir algumas ofertas atraentes. Como gerenciador de senhas, o NordPass oferece tudo o que você precisa. Ele usa uma configuração de zero conhecimento na qual todos os dados são criptografados em seu dispositivo antes de serem enviados para os servidores da empresa. Ao contrário da maioria dos serviços aqui, o NordPass usa XChaCha20 para criptografia. Levaria uma investigação mais profunda em criptografia para entrar nas diferenças, mas a história curta é que é tão seguro e talvez um pouco mais rápido.
Há também um recurso de armazenamento de informações pessoais para manter seu endereço, número de telefone e outros dados pessoais seguros e protegidos, mas fáceis de acessar. O NordPass também oferece um recurso de acesso de emergência, que permite que você conceda a outro usuário do NordPass acesso de emergência ao seu cofre. Funciona exatamente como o mesmo recurso no 1Password, permitindo que amigos ou familiares de confiança acessem sua conta caso você não possa.
Outros recursos legais incluem suporte para autenticação de dois fatores para fazer login em sua conta, bem como ferramentas de segurança para avaliar a força de suas senhas e alertá-lo se algum dos seus dados for comprometido. Observe que o NordPass Premium custa teoricamente US$ 3 por mês, mas sempre há promoções que tornam isso ainda mais baixo. O lado negativo, e minha única reclamação sobre todos os serviços da Nord, é que não há plano mensal. Como mencionado acima, a melhor oferta vem em combinar NordPass, NordVPN e NordLocker para um pacote.
Após a inscrição, baixe o aplicativo para Android e iOS e pegue as extensões para Firefox, Chrome e Edge.
Melhores Opções DIY (Auto-Hospedadas)
Quer manter mais controle sobre seus dados na nuvem? Sincronize seu cofre de senhas você mesmo. Os serviços abaixo não armazenam nenhum de seus dados em seus servidores. Isso significa que os atacantes não têm nada para visar. Em vez de armazenar suas senhas, esses serviços usam um cofre local para armazenar seus dados, e depois você pode sincronizar esse cofre usando um serviço de sincronização de arquivos como Dropbox, NextCloud ou o serviço recomendado por Edward Snowden, SpiderOak. Há dois serviços para acompanhar neste cenário, tornando-o um pouco mais complexo. Mas se você já está usando um serviço de sincronização de arquivos, isso pode ser uma boa opção.
Cortesia de Enpass
O Enpass não armazena nenhum dado em seus servidores. A sincronização é feita através de serviços de terceiros. O Enpass não faz a sincronização, mas oferece aplicativos em todas as plataformas. Isso significa que, uma vez que você tenha configurado a sincronização, ele funciona como qualquer outro serviço. E você não precisa se preocupar com o Enpass sendo hackeado, porque seus dados não estão nos servidores deles. O Enpass suporta sincronização através do Dropbox, Google Drive, OneDrive, iCloud, Box, Nextcloud ou qualquer serviço usando WebDAV. Infelizmente, o SpiderOak não é atualmente suportado. Você também pode sincronizar seus dados através de uma rede local WLAN ou Wi-Fi.
Todos os recursos que você espera em um gerenciador de senhas estão aqui, incluindo geração automática de senhas, monitoramento de violação, login biométrico (para dispositivos que suportam) e preenchimento automático de senhas, além de opções para armazenar outros tipos de dados, como cartões de crédito e dados de identificação. Há também um recurso de auditoria de senhas para destacar quaisquer senhas fracas ou duplicadas em seu cofre. Um extra que eu particularmente gosto é a capacidade de marcar senhas para facilitar a pesquisa. O Enpass também facilita a configuração da sincronização através do serviço de sua escolha. O Enpass adicionou recentemente suporte para chaves de acesso.
O Enpass é gratuito para usar no Windows, Mac e Linux. A versão móvel sincroniza até 25 itens em um cofre gratuitamente. Para mais do que isso, você precisará se inscrever no serviço pago.
Após a inscrição, baixe o aplicativo para Mac, Windows, Linux, Android e iOS e pegue as extensões para Chrome, Vivaldi, Edge e Firefox.
Cortesia de KeePassXC
O KeePassXC funciona como o Enpass acima. Ele armazena suas senhas em um cofre digital criptografado que o mantém seguro com uma senha mestra, um arquivo de chave, ou ambos. Você sincroniza esse arquivo de banco de dados por conta própria usando um serviço de sincronização de arquivos. Uma vez que seu arquivo está na nuvem, você pode acessá-lo em qualquer dispositivo que tenha um cliente KeePassXC. Assim como o Bitwarden, o KeePassXC é de código aberto, o que significa que seu código pode ser e já foi inspecionado em busca de falhas críticas. Se você é um usuário avançado e confortável em lidar com suas próprias questões e suporte, o KeePassXC é uma ótima escolha.
O lado negativo do KeePassXC é que ele não possui clientes móveis oficiais. No entanto, aplicativos de terceiros estão disponíveis para iOS e Android.
Baixe o aplicativo de desktop para Windows, macOS ou Linux e crie seu cofre. Também há extensões para Firefox, Edge e Chrome. O projeto não oferece aplicativos para telefones. Em vez disso, recomenda KeePass2Android ou Strongbox para iPhone.
Outros Bons Gerenciadores de Senhas
Cortesia de Keeper
Os gerenciadores de senhas não são uma solução única para todos. Nossas principais escolhas cobrem a maioria dos casos de uso e são as melhores opções para a maioria das pessoas, mas suas necessidades podem ser diferentes. Felizmente, há muitos bons gerenciadores de senhas por aí. Aqui estão mais alguns que testamos e gostamos.
Keeper Password Manager (US$ 35 por ano para ilimitado): O Keeper oferece uma variedade de ferramentas relacionadas à segurança, incluindo um gerenciador de senhas. O Keeper funciona muito como o 1Password e outros, armazenando apenas seus dados criptografados, e oferece autenticação de dois fatores para fazer login em sua conta. Como o Dashlane, o Keeper tem muitos extras, incluindo monitoramento da dark web, o que significa que verificará dados publicados publicamente para garantir que os seus não estejam disponíveis.
RoboForm (US$ 24 por ano, US$ 48 por ano para um plano familiar de cinco usuários): O RoboForm possui a maioria dos mesmos recursos que os demais desta lista, mas falta algumas das coisas que diferenciam nossas principais escolhas, como o aspecto de código aberto do Bitwarden e os recursos de viagem do 1Password. Eu testei o plano gratuito por um tempo e não tive problemas. Existem aplicativos para todas as plataformas comuns, e é fácil de usar. O RoboForm recentemente completou uma auditoria de segurança independente e saiu bem.
Pass (Gratuito): O Pass é uma interface de linha de comando em torno do GPG (GNU Privacy Guard), o que significa que é apenas para os usuários mais nerds. Ele suporta o gerenciamento de arquivos .gpg criptografados no Git, e aplicativos móveis de terceiros estão disponíveis. Não é para todos. Durante anos, este foi meu gerenciador de senhas preferido, mas eventualmente, a facilidade de uso do Bitwarden me conquistou.
LastPass (US$ 3 por mês): O LastPass teve mais violação de segurança do que qualquer outro serviço nesta página, o que nos levou a removê-lo de nossas principais escolhas. Desde então, a empresa mudou de mãos e parece estar melhor em termos de segurança, o que é bom porque muitas pessoas ainda o utilizam. Dito isso, não há nada sobre o LastPass que o torne uma escolha mais atraente do que o Bitwarden, o 1Password ou os outros mencionados neste guia.
Como Testamos
Os melhores e mais seguros algoritmos criptográficos estão todos disponíveis através de bibliotecas de programação de código aberto. Por um lado, isso é ótimo, pois qualquer aplicativo pode incorporar esses ciframentos e manter seus dados seguros. Infelizmente, qualquer criptografia é tão forte quanto seu elo mais fraco, e a criptografia sozinha não manterá suas senhas seguras.
Isso é o que eu testei: Quais são os elos mais fracos? Sua senha mestra é enviada para o servidor? Cada gerenciador de senhas diz que não é, mas se você observar o tráfego da rede enquanto digita uma senha, às vezes você descobre que, bem, é. Eu também analiso como os aplicativos móveis funcionam: Eles, por exemplo, deixam seu armazenamento de senhas desbloqueado, mas exigem um PIN para voltar? Isso é conveniente, mas sacrifica segurança demais. Nenhum gerenciador de senhas é perfeito, mas os acima representam os melhores que testei. Eles são tão seguros quanto podem ser enquanto permanecem fáceis de usar.