Guias de Segurança

#fundamentos de segurança #gerenciamento de senhas #gestão de segredos #MFA

Guardar suas senhas no Google Drive é seguro? Como mantê-las do jeito certo

Guardando senhas em um documento ou planilha do Google Drive? Por que uma lista em texto puro é perigosa — uma conta Google vira o ponto único de falha para toda senha —, como um cofre criptografado difere e por que um gerenciador de senhas é a resposta.

Publicado 2026-06-11 Atualizado 2026-06-11 7 min de leitura

Para: qualquer pessoa que guarde as senhas do painel admin e das contas em um documento ou planilha do Google Drive, se perguntando "isto é seguro?" Aqui vai a resposta honesta. Nenhum passo de ataque — só como guardá-las com segurança.

A visão deste site: o problema não é 'usar o Drive', é o 'texto puro'

Um equívoco comum é "colocar na nuvem é ruim". Não é. O problema real é tê-lo em texto puro, numa lista. Sincronizar um cofre de senhas criptografado (ex.: um .kdbx do KeePass) via Drive é uma prática normal e segura no mundo todo — o arquivo é só texto cifrado sem sua chave-mestra. Inversamente, por mais trancada que esteja sua conta Google, se o conteúdo é uma tabela em texto puro, qualquer um que entre nessa conta lê tudo. Pense em termos de "legível sem sua chave, ou não" — não em nuvem vs. não-nuvem.

Por que uma lista em texto puro é perigosa

É tentador pensar "está numa conta Google com uma senha sólida, então tudo bem". Mas uma lista em texto puro acumula riscos próprios.

1→tudo

uma conta cai = toda senha vaza

texto puro

qualquer um na conta lê na hora

apps conectados

terceiros com acesso ao Drive veem

colar à mão

você cola em um site parecido

Concretamente, qualquer um destes vaza a lista inteira.

Sequestro da conta Google

Phishing ou roubo de sessão coloca alguém na conta, e o arquivo em texto puro no Drive é lido por completo. As "chaves do reino" do checklist de base viram a chave para toda senha.

Conceder a um app conectado malicioso

Um app de terceiros a que você deu "acesso ao Drive" consegue ler aquele arquivo em texto puro. Um recurso de conveniência vira uma janela para os seus segredos.

Phishing via copiar-colar manual

Copiar uma senha de uma tabela à mão significa que você pode colá-la em um site falso sem perceber. As pessoas não conseguem distinguir de forma confiável um domínio parecido.

Proliferação de dispositivos e links de compartilhamento

Quanto mais dispositivos você sincroniza e mais links de compartilhamento você cria, mais amplo o alcance do texto puro.

E a própria criptografia do Google Drive é do tipo "o Google consegue ler", não de grau de segredos. Torne os segredos ilegíveis sem sua chave antes de entregá-los a qualquer provedor — essa é a regra para lidar com segredos (mesma ideia de arquivos .env e segredos).

Uma escala do perigoso ao seguro

Mesmo "guardado no Drive" varia enormemente conforme o que está dentro.

✗ tabela em texto puro

digitada direto em um documento/planilha

△ zip criptografado

arquivo protegido por senha; o atrito o mata

○ cofre criptografado

um .kdbx do KeePass sincronizado via Drive

◎ gerenciador de senhas

Bitwarden/1Password; preenchimento + monitoramento

Esquerda = perigoso, direita = seguro. A linha divisória: legível sem sua chave, ou não.

Como guardá-las do jeito certo

A melhor resposta é migrar para um gerenciador de senhas dedicado. Estes passos te formam para fora de uma lista em texto puro.

Use um gerenciador de senhas dedicado

Bitwarden / 1Password / KeePass. O conteúdo fica criptografado mesmo quando sincronizado (o provedor não consegue lê-lo), com geração forte, preenchimento automático antiphishing (não preenche em um domínio falso) e monitoramento de vazamentos.

Faça a senha-mestra longa e única

Só a chave que abre o gerenciador precisa ser forte e nunca reutilizada. Avalie-a com o verificador de força de senha.

Coloque MFA resistente a phishing no gerenciador e na sua conta Google

Configure passkeys/chaves de hardware no próprio gerenciador e no seu e-mail/conta Google (→ Nível 0 do checklist de base). Duplique o cadeado, elimine o ponto único de falha.

Após migrar, apague a lista em texto puro de vez

Depois de mover para o gerenciador, apague o arquivo em texto puro no Drive — além da lixeira, do histórico de versões e de qualquer cópia baixada. Resquícios anulam o propósito.

Migre para passkeys onde puder

Reduza as próprias senhas. Em serviços compatíveis, passkeys (a biometria do seu dispositivo etc.) significam que não sobra nenhuma "cadeia de caracteres" a roubar.

Uma lista em texto puro no Google Docs

uma conta cai e tudo vaza
você pode colar em um site falso à mão (sem defesa contra phishing)
sem detecção de vazamento, preenchimento automático ou versionamento
o acesso de app conectado consegue ler o conteúdo

Um gerenciador de senhas dedicado

o conteúdo fica criptografado quando sincronizado (o provedor não consegue lê-lo)
não preenche automaticamente em um domínio falso = resistente a phishing
geração forte embutida, monitoramento de vazamentos, histórico
protegido por uma chave-mestra mais MFA

Se você ainda quiser usar o Drive

Duas condições mínimas. 1) Guarde apenas um arquivo de cofre criptografado (.kdbx etc.) — nunca um documento/planilha em texto puro. 2) Coloque MFA resistente a phishing na conta Google. Com ambos, o Drive vira um mero "ponto de sincronização para texto cifrado", e o risco cai acentuadamente.

O que este site faz por conta própria

Este site mantém segredos — senhas, chaves, strings de conexão — fora de documentos compartilhados, fora do repositório de código e fora das notas de handoff, nunca em texto puro (→ mantendo segredos fora do git). Os logins do dia a dia vivem em um gerenciador de senhas, e as contas importantes são reforçadas em dobro com MFA resistente a phishing. O motivo é simples: nunca construa um estado em que "um lugar cai e tudo cai". Uma lista em texto puro é a forma de manual de criar exatamente esse "um lugar para tudo", então a evitamos.

Leia a seguir

Como funciona: como armazenar senhas com segurança (hashing + salt) ── depois do seu próprio armazenamento, como o serviço deveria armazená-las
Glossário: o que é hashing / o que é um salt
Base: o checklist de base de segurança (chaves do reino, proteger segredos)
Glossário: arquivos .env e segredos
Auto-hospedagem: mantendo segredos fora do git / Git auto-hospedado vs. GitHub
Ferramenta: verificador de força de senha

FAQ

QÉ seguro guardar senhas no Google Drive?

Se estão em um documento ou planilha em texto puro, é perigoso. Uma conta Google vira o ponto único de falha para toda senha — sequestro de conta, um app conectado malicioso ou phishing vazam todas de uma vez. Mas só guardar um arquivo de cofre criptografado (como um .kdbx do KeePass) no Drive é OK — o arquivo é inútil sem sua chave-mestra.

QOnde eu deveria de fato guardá-las?

Em um gerenciador de senhas dedicado (Bitwarden / 1Password / KeePass). O conteúdo fica criptografado mesmo quando sincronizado entre dispositivos (o provedor não consegue lê-lo), com geração forte, preenchimento automático antiphishing (não preenche em um site parecido) e monitoramento de vazamentos — nada disso uma planilha tem.

QO Google Drive não é criptografado de qualquer forma?

O Google criptografa em repouso e em trânsito, mas é uma criptografia 'o Google consegue ler', não de grau de segredos. Qualquer um que entre na sua conta Google, ou qualquer app conectado a que você deu acesso ao Drive, consegue ver o conteúdo. Segredos deveriam ser ilegíveis sem a SUA chave antes de você entregá-los a qualquer provedor.