O que você vai ler

  1. O diagnóstico: onde suas senhas estão hoje
  2. Por que cada um desses lugares é problema
  3. O gerenciador profissional: como funciona e qual usar
  4. 2FA: a segunda camada que muda tudo
  5. Rotação de tokens: o ciclo que poucos donos fazem
  6. Plano de 8 horas pra sair do caos pra organizado

Acabei de fazer um inventário de credenciais na minha operação. Resultado: 78 tokens diferentes, espalhados por 30 arquivos. Senha de banco em texto puro num docker-compose. Backups de credenciais antigas guardados "por garantia". Tokens compartilhados entre projetos sem isolamento.

Não é incompetência. É como toda PME funciona quando cresce orgânica. A diferença entre o profissional e o amador não é não ter problema. É saber que tem e ter um plano.

Esse artigo é o resumo do que aprendi mapeando o meu caos. Funciona pra você também, com qualquer operação digital, qualquer stack.

O diagnóstico: onde suas senhas estão hoje

Antes de qualquer solução, faça um exercício rápido. Anote (mental ou em papel) onde estão as suas senhas e tokens hoje. Provavelmente em algum lugar dessa lista:

  1. Cabeça: "eu lembro, é tipo, ah, deixa eu pensar"
  2. Papel da gaveta: caderno físico, post-it na tela, agenda
  3. Arquivo de texto: `senhas.txt`, `info.docx`, README do projeto
  4. Planilha: Google Sheets "Cofre", Excel local
  5. Gerenciador do navegador: Chrome, Firefox, Safari
  6. Arquivos `.env` do código: misturados com configuração da aplicação
  7. Email pra si mesmo: "deixa salvo aqui pra não esquecer"
  8. WhatsApp: mensagem mandada pra alguém ou pra você mesmo
  9. Compartilhada por chat: time vê, ex-time também viu

Marque honestamente. A maioria das PMEs usa 4 ou 5 desses ao mesmo tempo. Cada um tem um problema específico.

Por que cada um desses lugares é problema

Cabeça

Funciona até parar de funcionar. Você esquece exatamente no momento crítico. Ou tem que usar a mesma senha em vários lugares pra conseguir lembrar (pior problema, ver "senha reusada" mais à frente). Ou tem que clicar "esqueci minha senha" toda vez, o que cria fluxo de recuperação por email - e se o email for comprometido, vira porta de entrada.

Papel da gaveta

Quem entra no escritório vê. Vidro do prédio também vê (já aconteceu). Foto vazada de tela também vê. Se a casa pega fogo, perdeu. Não tem busca. Não dá pra compartilhar sem fotografar (e foto vai pro Google Photos da sua conta, sem você pensar).

Arquivo de texto

Quem tem acesso ao seu computador, à sua nuvem, ao seu servidor, lê. Atacante que invadir UMA conta sua acessa TODAS as outras de uma vez. Não tem auditoria de quem leu quando.

Planilha (Drive ou Excel)

Mesmo problema do arquivo de texto, agravado: você compartilha o Drive com gente pra outras finalidades, mas a planilha de senha está lá. Histórico de versão do Google Drive mantém TODAS as versões antigas, mesmo se você apagar a senha hoje. Compartilhamento permissivo errado por engano vaza tudo de uma vez.

Gerenciador do navegador

Melhor que texto puro mas tem três problemas: protege contra acesso casual, não contra malware no seu sistema operacional. Vinculado a uma conta (Google) que se comprometida expõe tudo. Sincroniza com TODOS os dispositivos onde você logou no Chrome (celular antigo do parceiro? esquecido).

Arquivos `.env` do código

O pior caso: você acidentalmente commitou no Git uma vez (acontece com TODO mundo). Ficou pra sempre no histórico, mesmo se você "deletar". Bot que vasculha repositório público acha em minutos. Spoiler: existe ferramenta gratuita que faz isso 24/7.

Email pra si mesmo

Email é arquivo, não cofre. Comprometido um, comprometeu todos. Buscável por palavra (atacante que invadiu vai grep "senha" e leva tudo).

WhatsApp

Mensagem fica pra sempre no histórico. Backup do WhatsApp vai pra Google Drive ou iCloud, com criptografia diferente da app. Captura de tela passa adiante.

Chat compartilhado

"Joga lá no chat do time pra todo mundo usar". Ex-funcionário ainda lembra. Cliente que entrou no canal por engano viu. Não tem revogação granular: pra tirar o ex, todo mundo tem que trocar a senha.

A regra mental que ajuda

"Senha boa é senha que só serve pra UM lugar e está num lugar PROJETADO pra guardar senha". Os 9 lugares listados acima quebram uma ou outra dessas duas condições.

O gerenciador profissional: como funciona e qual usar

Gerenciador de senha profissional resolve quase tudo, com uma trocada de comportamento: você só decora UMA senha (a master do gerenciador). Pra todo o resto, ele gera, guarda e preenche.

Como funciona, simplificado

  • Você cria conta com email + senha master forte
  • Instala extensão no browser, app no celular
  • Toda vez que cria conta em algum serviço, gerenciador gera senha aleatória de 30+ caracteres e guarda
  • Toda vez que loga em algum serviço, ele autopreenche
  • Tudo encriptado com a sua senha master (mesmo o provedor não vê)
  • Sincronizado entre todos seus dispositivos
  • Suporta TOTP (2FA) embutido também
  • Permite compartilhar com pessoas específicas (não publicamente)

Qual usar

Os 3 mais sérios pra PME:

  • Bitwarden: open source, plano gratuito serve pra individual, plano Business R$ 18/mês por usuário pra equipe. Auto-hospedável (Vaultwarden) se quiser controlar 100%.
  • 1Password: mais polido, plano Teams US$ 19/mês total (5 usuários), interface mais bonita. Sem opção self-host.
  • Proton Pass: novato, integrado ao Proton Mail. Foco em privacidade. Gratuito generoso.

Minha escolha: Bitwarden. Open source + barato + suficientemente polido + tem CLI (importante pra dev). Mas qualquer um dos três é infinitamente melhor que o status quo de PME.

Estrutura de pastas recomendada

Pra não virar caos de novo:

  • `1-Pessoal` - suas contas pessoais (banco, redes sociais, email pessoal)
  • `2-Operacional` - contas da empresa (Google Workspace, sistemas que sua equipe usa)
  • `3-Infraestrutura` - SSH, root password, painéis de hospedagem (acesso mais restrito)
  • `4-Integrações-Tier1` - APIs críticas (pagamento, IA, hospedagem)
  • `5-Clientes-Acessos` - quando cliente delega acesso, separado

2FA: a segunda camada que muda tudo

2FA (autenticação em dois fatores) significa que pra logar, precisa de duas coisas: a senha (que você sabe) e um código temporário (que vem de um app, ou SMS, ou hardware).

Por que importa: mesmo se atacante vaza sua senha, não consegue logar sem o segundo fator. Compromete o cálculo dele: senha vazada vira inútil sem o celular na mão.

Tipos de 2FA, do melhor pro pior

  1. Chave física (YubiKey): precisa plugar dispositivo USB no computador pra autenticar. Muito seguro, ~R$ 250 cada, mas exige você ter sempre a chave.
  2. TOTP em app dedicado (Bitwarden, Authy, Google Authenticator): código de 6 dígitos que renova a cada 30s. Seguro, prático, gratuito.
  3. Push notification (Microsoft Authenticator, Duo): notificação no celular pra aprovar. Seguro mas pode ter fadiga de aprovação (você aprova sem pensar).
  4. SMS: código por SMS. Funcional mas VULNERÁVEL a SIM swap (atacante convence operadora a transferir seu número). Evitar pra contas críticas.
  5. Email: código por email. Se email comprometido, 2FA inútil. Pior opção.

Recomendação: TOTP em app dedicado pra tudo. Você usa o mesmo app pra todos os serviços. Bitwarden tem TOTP built-in no plano pago (Premium R$ 50/ano, ou Business).

Plataformas onde ativar 2FA AGORA

Por ordem de criticidade pra dono de PME:

  1. Email principal (Gmail, Outlook, Proton): se cair, atacante reseta TODAS as outras contas via "esqueci senha"
  2. GitHub (se você tem código): leva sua propriedade intelectual
  3. Painel de hospedagem (Hostinger, AWS, Vercel): controla todo seu site/sistema
  4. Painel de banco/pagamento (Asaas, Stripe, banco): leva seu dinheiro
  5. Plataforma de cobrança recorrente: pode cancelar mensalidades, pegar dados de cartão
  6. Plataformas de marketing (Meta Business, Google Ads): pode gastar seu orçamento
  7. Registrar de domínio (registro.br, GoDaddy): pode redirecionar seu site
  8. Gerenciador de senhas (o do qual depende todo o resto)

Rotação de tokens: o ciclo que poucos donos fazem

Token é senha de máquina pra máquina. APIs de IA, integrações de pagamento, webhooks, tudo usa tokens. Eles vazam (acidental ou intencional) e precisam ser ROTACIONADOS periodicamente.

Por que rotacionar mesmo sem evidência de vazamento

  • Token pode ter vazado SEM você saber (commit acidental, log público, screenshot)
  • Pessoa que saiu da equipe pode ter cópia "esquecida"
  • Servidor antigo pode ainda ter cópia em backup esquecido
  • Rotação testa se você LEMBRA onde cada token está (se não consegue trocar, não tem controle)

Frequência recomendada por tier

  • Tier 1 (acesso a banco, pagamento, IA cara): a cada 6 meses
  • Tier 2 (webhooks, integrações secundárias): a cada 12 meses
  • Tier 3 (chaves públicas, sem segredo real): revisão anual sem necessidade de rotação
  • Pós-incidente: TUDO, imediatamente

Processo simplificado

Pra cada token:

  1. Gerar novo na plataforma (Anthropic, OpenAI, Asaas, etc)
  2. Atualizar onde for usado (.env, aplicações, configurações)
  3. Reload/restart dos serviços que usam
  4. Validar funcionamento (logs sem erro de auth)
  5. Revogar antigo na plataforma
  6. Documentar data no gerenciador de senhas

Tempo: 15-30 min por token. Pra operação de PME (10-20 tokens críticos), é uma tarde por semestre.

Quer implantar isso direito na sua operação?

Team Studio implanta agentes de IA na sua empresa com a estrutura de credenciais já organizada: Bitwarden configurado, 2FA ativo, rotação documentada. Sem improvisar quando vier auditoria.

Conversar no WhatsApp

Plano de 8 horas pra sair do caos pra organizado

Fim de semana de fazer. Total: ~8 horas, divididas em 2 sessões de 4h.

Sessão 1 (4 horas, sábado)

  1. 30 min: criar conta Bitwarden, instalar extensão no browser principal e app no celular
  2. 30 min: configurar 2FA na própria conta Bitwarden (TOTP em app dedicado tipo Authy ou no próprio Bitwarden Premium)
  3. 2 horas: importar TODAS as senhas no gerenciador (manualmente ou via import do browser). Organizar nas 5 pastas sugeridas.
  4. 1 hora: pra cada senha REUTILIZADA em vários lugares, trocar em UM lugar por senha gerada randomicamente. Repetir até cada serviço ter sua senha única.

Sessão 2 (4 horas, domingo)

  1. 1 hora: ativar 2FA nas 8 plataformas críticas (email, GitHub, hospedagem, banco/Asaas, plataforma de cobrança, Meta Business, Google Ads, registrar de domínio)
  2. 1 hora: salvar backup codes de cada plataforma no Bitwarden (pasta "Recovery codes")
  3. 1 hora: mapear tokens de API em uso (sua VPS, suas aplicações). Lista no Bitwarden.
  4. 1 hora: rotacionar 2-3 tokens críticos (Anthropic, OpenAI, Asaas) pra praticar o processo

Ao fim do domingo, sua operação tem mais segurança do que 95% das PMEs brasileiras. Custo: zero (todos os ferramentas têm versão gratuita) ou R$ 18/mês se quiser plano Business do Bitwarden.

O que vem depois

Esse artigo é o último da Fase A do Aprenda (Segurança e LGPD). Daqui pra frente entramos em:

  • Semana 5: Caminho de uma requisição (entender como tudo se conecta)
  • Semana 6: Git e versionamento pra dono de negócio
  • Semana 7: Banco de dados e RLS (o que separa amador de profissional)
  • Semana 8: Monitoramento e incidente (descobrir antes do cliente)

Se você seguiu até aqui as quatro semanas, parabéns: você passou de "dono que aprova no escuro" pra "dono técnico que entende seu próprio risco". A próxima fase amplia isso pra entender ATIVAMENTE como sua stack funciona, sem virar programador. Continua nos próximos sábados.

Perguntas frequentes

Bitwarden gratuito serve mesmo ou tenho que pagar?
Pra uso individual, plano gratuito serve. Pra time pequeno (2-5 pessoas), também serve até começar a precisar de compartilhamento sofisticado. Premium (R$ 50/ano) adiciona TOTP integrado e relatórios de segurança. Business (R$ 18/mês por usuário) adiciona políticas, SCIM, audit log. Comece grátis, escale conforme precisar.
E se eu esquecer a senha master?
Você perde TUDO. É a única senha que ninguém pode recuperar (porque é com ela que tudo é encriptado). Por isso: anote em papel num cofre real, ou em pelo menos 2 lugares físicos separados. NUNCA digitalmente fora do próprio gerenciador.
SMS pra 2FA é seguro?
Funciona, mas é o método MAIS fraco. Vulnerável a SIM swap (atacante convence sua operadora a transferir seu número). Acontece no Brasil regularmente, especialmente com contas de pessoas-alvo. Use TOTP em app dedicado sempre que possível.
Preciso rotacionar token mesmo sem evidência de vazamento?
Sim, periodicamente. Token pode ter vazado sem você saber (commit acidental, log público, ex-funcionário com cópia). Rotação periódica também testa se você LEMBRA onde cada token está. Se não consegue trocar, não tem controle. Tier 1: 6 meses. Tier 2: 12 meses.
O que faço se um token vazou agora?
Revogue na plataforma IMEDIATAMENTE (mesmo antes de gerar novo). Cliente cobrando 30s de downtime do seu sistema é menos pior que atacante usando o token vazado por 30 minutos. Depois gere novo, atualize uso, valide. Depois de tudo isso, investigue por onde vazou pra não acontecer de novo.