Recentemente comecei a usar um gerenciador de senhas, especificamente o LastPass. Entendi como o aplicativo funciona internamente para armazenar, criptografar e me dar acesso às minhas senhas. Minha pergunta que não parece intuitiva é qual a melhor política para criar um login para o aplicativo.
É claro que preciso usar uma conta de e-mail para criar a conta LastPass. Minha preocupação é que, se eu usar o LastPass para armazenar minhas credenciais de login dessa conta de e-mail, esquecer minha senha mestra significa que não terei acesso ao meu e-mail. E nenhum acesso ao meu e-mail significa nenhuma maneira de recuperar minha conta LastPass. Por outro lado, se eu mantiver meu login de e-mail independente, minha conta LastPass será tão segura quanto minha senha de e-mail.
Minhas contas de e-mail e LastPass devem ter duas senhas fortes diferentes, a mesma senha ou permitir que o LastPass crie um login para meu e-mail? A primeira opção torna mais difícil lembrar duas senhas complexas diferentes. As outras duas opções têm desvantagens óbvias caso você precise de recuperação de senha.
Responder1
O LastPass mantém apenas a senha da sua conta de e-mail e nada impede que você insira essa senha manualmente ao fazer login na sua conta de e-mail.
Esquecer a senha mestra nega o acesso ao banco de dados de preenchimento de formulários e senhas do LastPass, mas não bloqueia nenhum dos serviços cujos formulários e senhas você armazenou no LastPass.
Ainda é uma boa ideia manter a senha em algum lugar seguro e definir uma boa dica (que não seja absolutamente idêntica à senha). Se o LastPass for hackeado, o que aconteceu no passado, apenas a sua dica será comprometida.
Os dados que o LastPass mantém para você são criptografados e, sem sua senha, ficam inutilizáveis para qualquer pessoa que hackear o site do LastPass e obtê-los.
Sou totalmente contra a reutilização de senhas, por isso não aconselho reutilizar a mesma senha para o LastPass e para o seu e-mail. Um invasor só precisaria quebrar uma senha para obter acesso a várias contas suas.
LastPass oferece a opção de gerar a senha por site. Isso eu também não gosto, já que essas senhas são longas e sem sentido, então são impossíveis de lembrar. Isso significa que você só pode acessar seu e-mail usando o LastPass, e precisa instalá-lo em todos os dispositivos onde deseja consultar seu e-mail.
Você pode criar facilmente senhas memoráveis para sites incorporando partes de seus nomes em uma frase que seja fácil de lembrar. Por exemplo, "++esta é minha senha para superusuário do domínio com!!" é fácil de lembrar, mas impossível de quebrar mecanicamente. O LastPass facilitará o login, mas não será essencial ou insubstituível.
Responder2
Apenas LastPass armazena suas senhas, não é a única maneira de fazer login, mesmo se você usar um gerador de senhas. Você ainda pode inserir sua senha manualmente no GMail ou Outlook sem LastPass.
Eu usaria meu e-mail principal e ainda o armazenaria no LastPass, depois anotaria meu e-mail/senha mestra e trancaria-o em um cofre.
Editar: acabei de perceber que harrymc respondeu praticamente à minha pergunta.