Se há uma coisa que as pessoas associam à tecnologia moderna, são as senhas. Eles estão por toda parte, e a maioria de nós os usa para dezenas de coisas todos os dias. No entanto, a maioria das pessoas é chocantemente indiferente quanto à segurança de suas senhas. A maioria de nós provavelmente conhece alguém que usa a mesma senha para tudo, do computador e e-mail para o Facebook e contas bancárias - e essa senha pode ser algo tão óbvio quanto o aniversário ou o nome da rua onde cresceram. E provavelmente também conhecemos alguém que tem um post-it na lateral do monitor chamado “Senhas” (em vermelho, duplo sublinhado) com uma lista de tudo, do Twitter ao Netflix, apenas disponível para qualquer um ler.
Essas práticas podem soar como algo da geração de nossos avós, mas isso não é exatamente verdade: na semana passada, assisti a um membro completo da Geração D tentando mudar de um Samsung Galaxy S (er, Fascinate) para um HTC Rezound através de seu notebook computador. Como ele estava mudando todas as suas senhas? Ele tinha um pedaço de papel em sua carteira com “todas as suas senhas” – e por
todos ele quis dizer três. Um para e-mail e redes sociais, um para o e-mail de sua tia-avó (“Eu verifico para ela”) e outro para todo o resto. Olhando por cima do ombro, todas as três eram palavras do dia-a-dia: mophandle,resmungão, e lilian. Adivinha qual era da tia dele?Vídeos recomendados
Felizmente, existem maneiras simples de tornar as senhas difíceis de adivinhar e fáceis de lembrar. Infelizmente, a indústria de tecnologia às vezes atrapalha seu uso. Aqui está um resumo dos pontos fracos comuns das senhas e algumas maneiras de melhorar suas senhas e sua segurança online.
Obscuridade versus complexidade
Um truísmo comum sobre senhas é que elas devem nunca ser fácil de adivinhar. A maioria das pessoas com conhecimento de tecnologia concorda que ninguém deve usar detalhes sobre si mesmos como senha: isso inclui aniversários, endereços e nomes de amigos e familiares (incluindo pais, irmãos, cônjuges, filhos e mesmo animais de estimação). De forma similar, senha cria uma senha singularmente ruim - assim como todas as outras senhas descartáveis comumente usadas.
Este conselho perene geralmente é interpretado como significando que as senhas devem ser obscurecer, ou um termo que ninguém jamais pensaria que você escolheria se tivesse um milhão de anos. Sim, obscuro pode funcionar - e é muito melhor do que escolher uma senha óbvia. No entanto, uma senha obscura apenas protege você de pessoas que sabem algo sobre você. As probabilidades são, a maioria das pessoas tentando quebrar suas senhas não sei quem é você.
A maioria das quebras de senha não acontece da maneira como é retratado nos filmes, onde Nosso Herói (ou O vilão) senta-se em um teclado, tenta uma ou duas frases, coça o queixo e espia uma foto de infância em a mesa. Ah! Digite a palavra mágica e presto, segurança contornada. No mundo real, a grande maioria da quebra de senha é automatizada, com computadores literalmente jogando todas as palavras do dicionário (e mais algumas) em um sistema na esperança de tropeçar no termo correto. Essa abordagem pode funcionar porque os computadores podem tentar senhas muito mais rápido do que os humanos podem digitá-las e podem funcionar 24 horas por dia, sete dias por semana, sem ir ao banheiro. Os crackers de senha automatizados não sabem nada sobre os usuários que estão tentando comprometer: é uma abordagem de força bruta.
Então, acontece que uma chave para uma senha forte não é sua obscuridade mas é complexidade - coisas que tornam menos provável que seja adivinhado por um cracker de senha automatizado. No entanto, criar uma boa senha complexa significa saber um pouco sobre como as senhas são quebradas.
Quebrando senhas
Em termos muito gerais, os crackers de senha normalmente têm duas abordagens. Uma delas é literalmente tentar uma lista pré-compilada de possíveis senhas. Eles geralmente começam com senhas muito comuns (como senha ou qwerty) e desça para termos menos comuns e, eventualmente, use uma lista de palavras compiladas de um dicionário online e outras fontes. Essa abordagem tem mais chances de encontrar senhas que sejam palavras válidas ou variantes delas, mesmo que sejam obscuras.
Outra abordagem de quebra de senha é tentar sequências válidas de letras, números e símbolos, independentemente de seu significado. Um cracker de senha usando essa abordagem pode começar com aaaaaaaa para uma senha de oito caracteres, tente aaaaaaab então aaaaaaaac e assim por diante o alfabeto, misturando letras maiúsculas e minúsculas e acrescentando números e símbolos. Essa abordagem tem maior probabilidade de encontrar senhas que sejam “compatíveis com a máquina” ou geradas aleatoriamente. Uma senha como 4De78Hf1 não é mais difícil encontrar este caminho do que adolescente seria.
Então, quais são as chances de uma senha ser adivinhada? Atualmente, a maioria dos sistemas permite que os usuários criem senhas usando letras (maiúsculas e minúsculas), números e uma seleção de símbolos. Os símbolos permitidos geralmente variam entre os sistemas (alguns permitem quase tudo, outros permitem apenas um punhado), mas, para nossos propósitos, vamos suponha que isso significa que cada caractere em uma senha pode ser um dos cerca de 80 valores - dois alfabetos com 26 letras cada, dez numerais e 18 símbolos. (Em teoria, pelo menos 127 valores devem estar disponíveis para cada caractere, mas na prática é um número menor.)
Usando uma abordagem puramente de força bruta, isso significa que seriam necessárias no máximo 80 tentativas para descobrir aleatoriamente uma senha de um caractere. Uma senha de quatro caracteres pode levar mais de 40 milhões de tentativas (80 × 80 × 80 × 80 = 40.960.000) e uma senha de oito caracteres pode levar mais de 1,6 quatrilhão de tentativas (1.677.721.600.000.000).
Se um cracker de senha fosse capaz de fazer 1.000 tentativas por segundo, levaria cerca de um mês para executar todas as combinações de uma senha de quatro caracteres e mais de 53.000 anos para executar todas as combinações de uma senha de 8 caracteres. Isso parece bastante seguro, certo?
Bem, na verdade não. Em termos puramente estatísticos, um cracker tem 50/50 de chance de encontrar a senha em metade naquela época. Mais preocupante, as pessoas que fazem crackers de senha têm outras maneiras de melhorar suas chances. Lembre-se de como senha foi uma das piores senhas para usar? Adivinha o que também é uma senha muito ruim? Senha, substituindo um número zero por uma letra O. Enquanto os crackers de senha estão executando suas palavras comuns de um dicionário, eles também estão tentando variantes comuns nesses palavras, substituindo zeros por O's, sinais @ e 4's por A's, 3's por E's, 1's e !'s por I's, 7's por T's 5's por S's, e breve. De forma similar, 0qww294e é uma senha terrível - isso é apenas senha deslocado uma linha para cima em um teclado inglês padrão. Essas técnicas atacam a preferência dos usuários por senhas fáceis de lembrar. Infelizmente, ao substituir (ou capitalizar) um ou dois caracteres em um termo fácil de lembrar, as pessoas estão tornando suas senhas mais obscuras, mas não muito mais seguras. Na verdade, senhas típicas de oito caracteres selecionadas pelo usuário com letras maiúsculas e minúsculas, números e símbolos geralmente têm apenas cerca de 30 bits de entropia, ou pouco mais de um bilhão de combinações possíveis. Por que? Porque a lista de termos pessoas em que as pessoas baseiam suas senhas é muito menor do que o total de combinações possíveis de letras, números e símbolos.
Com que rapidez as senhas podem ser quebradas? Tentar 1.000 senhas por segundo pode parecer impossível - afinal, a maioria dos serviços tende a nos bloquear em nossas próprias contas se digite uma senha incorretamente três ou quatro vezes, muitas vezes redefinindo a senha e exigindo que respondamos a perguntas de segurança para fazer uma nova um. Essas técnicas de “porta de entrada” fazer melhorar a segurança da conta e, incidentalmente, também são uma ótima maneira incrivelmente fácil de irritar as pessoas. (Não sei dizer quantas vezes fui bloqueado em minha conta do iTunes por ataques de senha, mas provavelmente são mais de cem.)
No entanto, os invasores com a intenção de quebrar senhas não estão batendo na porta de um serviço e tentando (literalmente) milhões de vezes fazer login na mesma conta. Eles estão usando métodos de autenticação menos públicos que não estão sujeitos a bloqueios (como uma API privada para parceiros ou aplicativos), espalhando seus ataques em uma ampla gama de contas para evitar períodos de bloqueio ou (na melhor das hipóteses) aplicar técnicas de quebra de senha a senhas roubadas dados. A maioria dos sistemas criptografa os dados de senha que armazenam, mas esses arquivos criptografados são tão seguros quanto o próprio sistema. Se os invasores conseguirem obter o arquivo de senha criptografado (através de uma falha de segurança, máquina, ou engenharia social, para começar) eles podem atacá-lo muito rapidamente quando estiverem por conta própria sistemas. É por isso que histórias sobre invasores obtendo informações de conta (como Stratfor, Epsilon, sony, e Zappos) são preocupantes. Depois que os dados criptografados são liberados, os invasores podem aplicar ferramentas muito mais poderosas para quebrá-los.
No mundo real, isso significa que o número de 1.000 senhas por segundo é extremamente conservador. Hoje em dia, o hardware de computação de desktop típico pode testar milhões de senhas por segundo contra tecnologias de criptografia comuns. Da mesma forma, agora existem ferramentas de quebra de senha que utilizam processadores gráficos, e operadores criminosos de botnet também estão no negócio de quebra de senha. Eles podem distribuir a carga de trabalho em milhares de computadores. Combine esse poder bruto com heurística sofisticada (como tentar variantes de números e letras em palavras comuns) e não é incomum quebrar uma senha típica de usuário de oito caracteres em menos de meio hora.
Atirando no próprio pé
Observamos acima como uma senha de oito caracteres pode, com maiúsculas, minúsculas, números e símbolos, ter mais de um quatrilhões de combinações possíveis, mas a maioria das senhas de oito caracteres em uso hoje se enquadra em um pool de apenas cerca de um bilhão combinações. Isso porque humanos não são máquinas. Quando um computador se contenta em usar tartaruga ou Y&4nS0\2 como uma senha, adivinhe qual é mais fácil para um ser humano lembrar? Agora, adivinhe qual deles é mais seguro.
Alguns sistemas implementam requisitos de senha destinados a garantir que os usuários não usem senhas facilmente quebradas. Uma abordagem comum é exigir que as senhas dos usuários tenham pelo menos uma letra maiúscula, um número, um símbolo e pelo menos oito caracteres. (Alguns sistemas não impõem requisitos, mas oferecem um medidor de “força da senha” como uma medida de quão eficaz uma senha pode ser considerada be.) Alguns sistemas também exigem que os usuários alterem suas senhas de vez em quando (digamos, a cada 30 ou 45 dias) e os impedem de reutilizar senhas.
Esses tipos de requisitos fazer aumentam a segurança das senhas, mas também tornam as senhas muito mais difíceis de serem lembradas. Isso significa que uma parte significativa dos usuários criará imediatamente maneiras de subverter a segurança do sistema para sua própria conveniência. Claro, algumas pessoas podem lidar com senhas como 9.3nDs(# mas muitas outras pessoas vão responder com notas adesivas com senhas nas laterais dos monitores, notas em seus carteiras ou um documento do Microsoft Word em sua área de trabalho rotulado como “Senhas” para que possam copiar e colar quando necessário. Os requisitos de construção de senha também tendem a prejudicar a produtividade e aumentar os custos de suporte (tanto para funcionários quanto para clientes), pois mais pessoas esquecerão suas senhas ou terão suas contas bloqueadas, exigindo intervenção.
Fazendo senhas complexas
O Santo Graal das senhas pareceria então ser uma senha que é complexo o suficiente para ser impraticável quebrar usando técnicas automatizadas, mas fácil de lembrar que os usuários não comprometem a segurança armazenando ou gerenciando-os de forma insegura.
Aqui estão algumas dicas para criar senhas complexas e fáceis de lembrar:
- Use senhas longas. Se uma senha de oito caracteres pode ter 1,6 quatrilhão de combinações possíveis, imagine quantos uma senha de 16 caracteres pode ter? (Cerca de 2,8 nonillion, ou 2,830.) No entanto, talvez mais importante, o conjunto de valores para uma senha de 16 caracteres usando termos comuns e variações é pouco menos de 1,2 quintilhão, onde foi pouco mais de um bilhão com um de oito caracteres senha. Usar senhas mais longas é a maneira mais fácil de tornar as senhas mais complexas e seguras.
- Use palavras combinadas. Como criar senhas longas fáceis de lembrar? Uma técnica comum é usar uma série de três a cinco simples, não relacionado termos. Geralmente, eles são tão fáceis de lembrar quanto os números PIN; cognitivamente, as pessoas tendem a se lembrar de palavras inteiras como unidades únicas. No entanto, essas senhas podem ser muito complexas, pelo menos do ponto de vista da quebra de senha. E essas senhas são fáceis de criar apenas olhando em volta ou folheando um livro em uma página aleatória. Olhando para fora da minha janela, vejo um sapo de brinquedo, um carro e a janela da cozinha de alguém. Nova Senha: FrogHubcapCupboard - são 18 caracteres, mas apenas três palavras para lembrar. Olhando direito: RunnerCameraGlueString — quatro palavras curtas, 22 caracteres. Eu só usei letras maiúsculas para ajudar a separar as palavras. Adicionar mais caracteres ou substituições pode aumentar a complexidade - apenas não fique tão complexo a ponto de cair nas fraquezas de senhas difíceis.
- Use frases ou letras. Outra forma de fazer senhas longas é usar trechos de frases ou letras. Para letras, músicas relativamente comuns talvez sejam melhores do que aquelas particularmente importantes para você: novamente, você não quer pessoas que te conhecem bem possam adivinhar suas senhas só porque você é um grande fã de Michael Bolton (ou não). Exemplos de senhas feitas de fases ou letras podem ser Você não é nenhumJackKennedy (19 caracteres), iShotaManinReno (15 caracteres), impeepinandimcreepina (20 caracteres).
- Use mnemônicos. A desvantagem de senhas longas é que elas podem ser difíceis de digitar, especialmente em um dispositivo móvel. Outro truque que algumas pessoas acham útil para gerar senhas curtas e complexas é usar o primeiro caractere de cada palavra em uma frase ou letra. “Quantas estradas um homem deve percorrer” poderia se tornar HmrmamwD— apenas oito caracteres, mas relativamente complexos do ponto de vista de um programa de quebra de senha. Da mesma forma, “agite, agite como uma foto polaroid” poderia se tornar SiSiLappName - talvez não ótimo, mas melhor do que tartaruga. Esse truque também pode ajudar a gerar boas senhas para sistemas que ainda têm um limite de quanto tempo as senhas podem ter.
Essas diretrizes geralmente o ajudarão a criar senhas complexas e fáceis de lembrar. É claro que, ao lidar com sistemas de senha com requisitos de composição (ou seja, eles esperam letras maiúsculas e minúsculas, números ou símbolos), você ainda terá que criar reviravoltas divertidas nas senhas para cumprir essas requisitos. Apenas lembre-se de que com senhas mais longas, você pode fazer suas substituições e alterações em locais óbvios — geralmente, essas senhas longas são mais fáceis de lembrar, mesmo com requisitos, do que senhas curtas e sem sentido senhas.
Algumas outras dicas
Outras coisas a considerar ao escolher suas senhas:
- Use senhas separadas para serviços separados. Não use sua senha de rede social para serviços bancários online. Se uma senha for comprometida em um serviço, os outros devem estar seguros.
- Escolha senhas importantes com cuidado. Os sistemas de login único podem ser extremamente convenientes, mas também criam um único ponto de falha para vários serviços. Exemplos seriam senhas para contas nos serviços Google, Yahoo e Microsoft, onde uma única senha quebrada poderia dar acesso de alguém a e-mail, documentos, fotos, redes sociais, blogs, bibliotecas de fotos, listas de contatos, catálogos de endereços e mais. Da mesma forma, com tantos sites (mesmo Tendências Digitais) aceitando logins do Facebook e do Twitter, uma senha de rede social comprometida pode ter repercussões de longo alcance.
- Altere suas senhas. É tentador pensar que, se uma de suas senhas for quebrada, você saberá na hora: seu e-mail vai sumir, seu blog vai torne-se um conjunto de gráficos lulz, sua lista de presentes da Amazon pode ser preenchida com opções embaraçosas, sua conta do PayPal pode ser limpa fora. No entanto, nem sempre é esse o caso: se alguém quebrar sua senha, pode não haver nenhum sinal evidente, pelo menos não imediatamente. Ao alterar sua senha regularmente, você garante que, mesmo que alguém invada, sua janela de oportunidade para explorá-lo seja limitada. A frequência com que você deve alterar as senhas varia de acordo com a forma como você usa os serviços online. Para qualquer coisa que envolva dinheiro real, geralmente recomendo que os usuários alterem suas senhas a cada 30 a 90 dias – quanto mais dinheiro, mais frequentemente.
Nenhuma senha é segura
Talvez a coisa mais importante a lembrar sobre senhas seja que qualquer a senha pode ser quebrada: é apenas uma questão de quanto tempo e esforço alguém está disposto a investir nela. As dicas aqui ajudarão a reduzir as chances de suas senhas serem erradicadas por invasores aleatórios e até mesmo por amigos e familiares, mas nenhuma senha é completamente segura. Se o acesso seguro a um serviço for muito importante para você, considere procurar várias formas de autenticação de múltiplos fatores para reduzir ainda mais as chances de acesso não autorizado.
Crédito da imagem: Shutterstock / jamdesign / Tatiana Popova / Pedro Miguel Sousa
Recomendações dos editores
- Essas senhas embaraçosas fizeram com que celebridades fossem hackeadas
- Não, o 1Password não foi hackeado – aqui está o que realmente aconteceu
- Como proteger com senha uma pasta no Windows e macOS
- LastPass revela como foi hackeado - e não é uma boa notícia
- O Reddit foi hackeado - veja como configurar o 2FA para proteger sua conta
