Cada termo explicado
sem jargão

Uma sequência secreta de caracteres que usa para provar que é você ao aceder a um serviço. É a chave digital que protege as suas contas. Uma palavra-passe forte é longa, única para cada serviço, aleatória e difícil de adivinhar.

O contentor encriptado onde um gestor de palavras-passe armazena todas as suas credenciais, notas seguras e dados sensíveis. É como um cofre digital: só pode ser aberto com a sua palavra-passe mestra. Tudo lá dentro está encriptado e ilegível sem a chave correta.

A única palavra-passe que precisa de lembrar num gestor de palavras-passe. Atua como a chave mestra que desbloqueia o seu cofre e gera a chave criptográfica que desencripta todos os seus dados. É a única palavra-passe que não está armazenada em lado nenhum — só existe na sua cabeça.

O processo de se identificar num sistema ou aplicação introduzindo as suas credenciais (geralmente nome de utilizador e palavra-passe) para aceder à sua conta. "Login" é o substantivo (o processo de entrada) e "log in" é o verbo (a ação de entrar).

O processo de terminar formalmente uma sessão ativa numa app ou serviço. Quando termina sessão, os tokens de sessão são invalidados e os dados são limpos da memória, impedindo outros utilizadores do mesmo dispositivo de acederem à sua conta.

O conjunto de dados que o identifica num sistema: geralmente um nome de utilizador (ou email) mais uma palavra-passe. Também pode incluir certificados digitais, tokens de hardware ou dados biométricos.

Quaisquer dados sensíveis que devem permanecer privados: palavras-passe, chaves de API, tokens, certificados ou qualquer informação que conceda acesso a sistemas. Os gestores de palavras-passe modernos permitem armazenar segredos de todos os tipos, não apenas palavras-passe.

O processo de transformar dados legíveis num formato ilegível usando um algoritmo matemático e uma chave. Apenas alguém com a chave correta pode reverter o processo (desencriptar) e ler a informação original. É a base de toda a segurança em gestores de palavras-passe.

O padrão de encriptação mais amplamente utilizado e atualmente considerado inquebrável. O número "256" refere-se ao tamanho da chave em bits: 2^256 combinações possíveis. Quebrá-la por força bruta demoraria mais do que a idade do universo mesmo com todos os computadores do mundo. É o mesmo padrão que os governos usam para informação classificada.

Um algoritmo que transforma a sua palavra-passe mestra (texto legível) numa chave criptográfica de 256 bits adequada para encriptação. Faz isto executando milhares de operações matemáticas repetidas, tornando ataques de força bruta extremamente lentos. Se um hacker tentasse testar milhões de palavras-passe, o PBKDF2 faria com que demorasse anos em vez de segundos.

O processo de gerar uma chave criptográfica a partir de um segredo (geralmente a sua palavra-passe mestra) usando um algoritmo especializado como PBKDF2, Argon2 ou bcrypt. O resultado é uma chave binária de comprimento fixo que é determinística (a mesma palavra-passe produz sempre a mesma chave) e irreversível (não se consegue obter a palavra-passe a partir da chave).

Um valor aleatório único adicionado a uma palavra-passe antes de derivar ou armazenar. Garante que dois utilizadores com a mesma palavra-passe acabam com chaves completamente diferentes. Protege contra ataques de dicionário e rainbow tables (listas pré-computadas de hashes comuns).

Um modelo onde os dados são encriptados no dispositivo de origem e só desencriptados no dispositivo de destino. Nenhum intermediário (nem o fornecedor do serviço nem o servidor) consegue ler os dados em trânsito. É a base do WhatsApp, Signal e gestores Zero Knowledge como o Cleverpass.

Um sistema de segurança que requer duas provas independentes de identidade para aceder: algo que <em>sabe</em> (palavra-passe) e algo que <em>tem</em> (o seu telemóvel, um código temporário) ou algo que <em>é</em> (biometria). Mesmo que a sua palavra-passe seja roubada, sem o segundo fator não conseguem entrar.

Um código numérico de 6 dígitos que muda a cada 30 segundos e é usado como segundo fator de autenticação. A sua app autenticadora (Google Authenticator, Authy…) gera-o usando um algoritmo matemático que combina uma chave secreta com o tempo atual. Sem o seu dispositivo, o código é impossível de adivinhar.

A capacidade de desbloquear o gestor de palavras-passe usando dados físicos únicos do seu corpo: impressão digital (Touch ID), reconhecimento facial (Face ID) ou íris. É mais rápido e conveniente do que digitar a sua palavra-passe mestra, embora ainda seja necessário periodicamente ou ao reinstalar a app.

Um sistema que permite autenticar-se uma vez para aceder a múltiplos serviços sem re-introduzir credenciais. O exemplo mais comum é "Iniciar sessão com Google" ou "Continuar com Apple." Uma identidade central gere o acesso a todos os serviços federados.

Uma credencial criptográfica que substitui completamente as palavras-passe. Usa um par de chaves pública/privada: o site armazena a chave pública e você mantém a chave privada no seu dispositivo. Para autenticar, prova que possui a chave privada usando biometria local ou PIN. Resiste a phishing porque a chave privada nunca é partilhada.

A funcionalidade que deteta automaticamente campos de nome de utilizador e palavra-passe em apps e navegadores e preenche-os com as suas credenciais guardadas com um toque. Remove a necessidade de digitar palavras-passe longas e complexas manualmente.

Uma medida de quão difícil seria adivinhar ou quebrar uma palavra-passe usando ataques automatizados. É calculada com base no comprimento, variedade de caracteres (maiúsculas, minúsculas, números, símbolos) e aleatoriedade. É frequentemente expressa em bits de entropia ou como uma pontuação fraca/média/forte/muito forte.

Uma ferramenta que cria palavras-passe aleatórias e seguras automaticamente com base nos parâmetros que define: comprimento, tipos de caracteres, palavras vs. símbolos. Remove o hábito humano de criar palavras-passe previsíveis ou reutilizar as mesmas.

O processo de manter o cofre atualizado e consistente em todos os seus dispositivos (telemóvel, tablet, computador). Quando adiciona ou modifica uma credencial num dispositivo, as alterações são propagadas automaticamente para os outros via armazenamento cloud.

Uma sequência de dados que representa uma identidade ou permissão de acesso verificada. Em vez de enviar a sua palavra-passe com cada pedido a um servidor, o sistema emite um token quando se autentica. Pedidos posteriores usam esse token. Se o token expirar ou for revogado, precisa de se autenticar novamente.

Um token de curta duração (minutos ou horas) que autoriza acesso a recursos específicos. É enviado com cada pedido para provar que tem permissão. Como é de curta duração, se alguém o intercetar a janela de ataque é pequena. É comum em APIs e sistemas OAuth.

Um token de longa duração (dias ou meses) usado apenas para obter novos tokens de acesso quando expiram, sem exigir que o utilizador re-introduza credenciais. Só é enviado para o servidor de autenticação, não com cada pedido, o que reduz a sua exposição a roubo.

Um modelo de design de sistema onde o fornecedor do serviço não tem acesso técnico aos dados sensíveis do utilizador. Os dados são encriptados no dispositivo do utilizador antes de o deixarem, e o fornecedor só armazena (ou transmite) dados que já estão encriptados e não podem ser desencriptados. Mesmo sob ordem judicial, não pode revelar palavras-passe porque matematicamente não consegue aceder-lhes.

Um protocolo padrão que permite a uma app aceder a recursos de outra em seu nome sem partilhar a sua palavra-passe. Quando uma app lhe pede para "Conectar com Google," usa OAuth. Dá a essa app permissão para aceder a certos dados do Google (por exemplo, o seu Drive), mas o Google nunca partilha a sua palavra-passe com a app.

Uma medida da aleatoriedade e imprevisibilidade de uma palavra-passe ou chave criptográfica, expressa em bits. Mais bits de entropia significam mais combinações possíveis e mais difícil de adivinhar. Uma palavra-passe com 128 bits de entropia tem 2^128 combinações possíveis — praticamente impossível de quebrar.

Um incidente de segurança onde dados confidenciais são acedidos, copiados ou roubados sem autorização. Pode afetar milhões de utilizadores de uma vez quando uma empresa é hackeada. Palavras-passe vazadas em violações frequentemente aparecem na dark web e são usadas em ataques subsequentes.

Uma palavra-passe que foi exposta numa violação de dados ou é conhecida por atacantes. Uma palavra-passe comprometida deve ser alterada imediatamente em todos os serviços onde é usada. Os gestores de palavras-passe modernos comparam as suas palavras-passe com bases de dados de violações e alertam-no.

Um ataque de engenharia social onde um atacante se faz passar por uma entidade de confiança (banco, rede social, empresa) para o enganar a introduzir as suas credenciais num site falso. Geralmente chega por email, SMS ou mensagem instantânea com um link para uma cópia do site legítimo.

Uma técnica de ataque onde todas as combinações de palavras-passe possíveis são sistematicamente tentadas até encontrar a correta. Com computadores modernos, uma palavra-passe simples de 8 caracteres pode ser quebrada em horas. Por isso o comprimento importa e por isso o PBKDF2 abranda cada tentativa.

Um ataque automatizado onde combinações de nome de utilizador/palavra-passe vazadas em violações anteriores são testadas noutros serviços. Funciona porque muitas pessoas reutilizam a mesma palavra-passe em múltiplos sites. Se a sua palavra-passe vazar de um fórum, os atacantes testam essa mesma no seu banco ou email.

Um ataque onde uma terceira parte interceta comunicações entre duas partes (por exemplo você e um site) sem que nenhuma saiba. O atacante pode ler, modificar ou injetar dados. A encriptação ponta-a-ponta torna a interceção dos dados inútil: mesmo que os capturem, estão encriptados.