Se há algo que as pessoas associam à tecnologia moderna são as senhas. Eles estão por toda parte e a maioria de nós os usa para dezenas de coisas todos os dias. Mesmo assim, a maioria das pessoas é surpreendentemente indiferente quanto à segurança de suas senhas. A maioria de nós provavelmente conhece alguém que usa a mesma senha para tudo, do computador e do e-mail às contas do Facebook e bancárias — e essa senha pode ser algo tão óbvio quanto o aniversário ou o nome da rua onde cresceram. E provavelmente também conhecemos alguém que tem um post-it na lateral do monitor chamado “Senhas” (em vermelho, sublinhado duplo) com uma lista de tudo, desde Twitter até Netflix, aberta para qualquer um ler.
Estas práticas podem parecer algo da geração dos nossos avós, mas isso não é estritamente verdade: na semana passada assisti a um membro completo da Geração D tentando mudar de um Samsung Galaxy S (er, Fascinate) para um HTC Rezound através de seu notebook computador. Como ele estava transferindo todas as suas senhas? Ele tinha um pedaço de papel na carteira com “todas as suas senhas” – e por
Vídeos recomendados
Felizmente, existem maneiras simples de tornar as senhas difíceis de adivinhar e fáceis de lembrar. Infelizmente, a indústria de tecnologia às vezes atrapalha seu uso. Aqui está um resumo dos pontos fracos comuns das senhas e algumas maneiras de melhorar suas senhas e sua segurança online.
Obscuridade versus complexidade
Um truísmo comum sobre senhas é que elas deveriam nunca seja fácil de adivinhar. A maioria das pessoas que entendem de tecnologia concorda que ninguém deve usar detalhes sobre si mesmo como senha: isso inclui aniversários, endereços e nomes de amigos e familiares (incluindo pais, irmãos, cônjuges, filhos e até mesmo animais de estimação). De forma similar, senha cria uma senha singularmente ruim – assim como todas as outras senhas descartáveis comumente usadas.
Este conselho perene muitas vezes é interpretado como significando que as senhas devem ser obscurecer, ou um termo que ninguém pensaria que você escolheria se tivesse um milhão de anos. Sim, obscuro pode funcionar – e é muito melhor do que escolher uma senha óbvia. No entanto, uma senha obscura protege você apenas de pessoas que sabem algo sobre você. Provavelmente, a maioria das pessoas está tentando decifrar suas senhas não sei quem é você.
A maior parte das quebras de senha não acontece da maneira como é retratada nos filmes, onde Nosso Herói (ou O Vilão) senta em frente ao teclado, tenta uma ou duas frases, esfrega o queixo e depois espia uma foto de infância a mesa. Ah! Digite a palavra mágica e presto, segurança contornada. No mundo real, a grande maioria das quebras de senhas é automatizada, com os computadores literalmente jogando cada palavra do dicionário (e mais algumas) em um sistema na esperança de tropeçar no termo correto. Essa abordagem pode funcionar porque os computadores podem tentar senhas muito mais rápido do que os humanos conseguem digitá-las, e podem funcionar 24 horas por dia, sete dias por semana, sem pausas para ir ao banheiro. Os crackers automatizados de senhas não sabem nada sobre os usuários que estão tentando comprometer: é uma abordagem de força bruta.
Então, acontece que a chave para uma senha forte não é a sua obscuridade mas é complexidade – coisas que tornam menos provável que seja adivinhado por um cracker de senha automatizado. No entanto, criar uma senha boa e complexa significa saber um pouco sobre como as senhas são quebradas.
Quebrando senhas
Em termos muito gerais, os crackers de senhas normalmente têm duas abordagens. Uma delas é tentar literalmente uma lista pré-compilada de possíveis senhas. Geralmente começam com senhas muito comuns (como senha ou qwerty) e chegar a termos menos comuns e, eventualmente, usar uma lista de palavras compilada de um dicionário on-line e de outras fontes. É mais provável que essa abordagem encontre senhas que sejam palavras válidas ou variantes delas, mesmo que sejam obscuras.
Outra abordagem para quebrar senhas é tentar sequências válidas de letras, números e símbolos, independentemente do seu significado. Um cracker de senha usando esta abordagem pode começar com aaaaaaaaa para uma senha de oito caracteres e tente aaaaaab então aaaaaac e assim por diante no alfabeto, misturando letras maiúsculas e minúsculas e inserindo números e símbolos. É mais provável que essa abordagem encontre senhas “amigáveis à máquina” ou geradas aleatoriamente. Uma senha como 4De78Hf1 não é mais difícil encontrar esse caminho do que adolescente seria.
Então, quais são as chances de uma senha ser adivinhada? A maioria dos sistemas hoje em dia permite que os usuários criem senhas usando letras (maiúsculas e minúsculas), números e uma seleção de símbolos. Os símbolos permitidos geralmente variam entre os sistemas (alguns permitem quase tudo, outros permitem apenas alguns), mas para nossos propósitos vamos suponha que isso signifique que cada caractere em uma senha pode ter um entre cerca de 80 valores - dois alfabetos com 26 letras cada, dez algarismos e 18 símbolos. (Em teoria, pelo menos 127 valores deveriam estar disponíveis para cada caractere, mas na prática é um número menor.)
Usando uma abordagem puramente de força bruta, isso significa que seriam necessárias no máximo 80 tentativas para descobrir aleatoriamente uma senha de um caractere. Uma senha de quatro caracteres pode exigir mais de 40 milhões de tentativas (80 × 80 × 80 × 80 = 40.960.000) e uma senha de oito caracteres pode exigir mais de 1,6 quatrilhão de tentativas (1.677.721.600.000.000).
Se um cracker de senhas fosse capaz de adivinhar 1.000 tentativas por segundo, seria necessário cerca de um mês para executar todas as combinações de uma senha de quatro caracteres, e mais de 53.000 anos para executar todas as combinações de uma senha de 8 caracteres. Isso parece bastante seguro, certo?
Bem, na verdade não. Em termos puramente estatísticos, um cracker tem 50/50 de chance de encontrar a senha no metade daquela vez. O mais preocupante é que as pessoas que criam crackers de senhas têm outras maneiras de aumentar suas chances. Lembre-se de como senha foi uma das piores senhas para usar? Adivinha o que também é uma senha muito ruim? Senha0, substituindo um número zero por uma letra O. Embora os crackers de senhas estejam executando suas palavras comuns em um dicionário, eles também estão tentando variantes comuns dessas palavras. palavras, substituindo zeros por O's, sinais @ e 4's por A's, 3's por E's, 1's e !'s por I's, 7's por T's 5's por S's, e breve. De forma similar, 0qww294e é uma senha terrível - isso é apenas senha subiu uma linha em um teclado inglês padrão. Essas técnicas se aproveitam da preferência dos usuários por senhas fáceis de lembrar. Infelizmente, ao substituir (ou colocar em maiúscula) um ou dois caracteres num termo fácil de lembrar, as pessoas tornam as suas palavras-passe mais obscuras, mas não muito mais seguras. Na verdade, senhas típicas de oito caracteres selecionadas pelo usuário com letras maiúsculas, números e símbolos geralmente têm apenas cerca de 30 bits de entropia, ou pouco mais de um bilhão de combinações possíveis. Por que? Porque a lista de termos nos quais as pessoas baseiam suas senhas é muito menor do que o total de combinações possíveis de letras, números e símbolos.
Quão rápido as senhas podem ser quebradas? Tentar 1.000 senhas por segundo pode parecer impossível – afinal, a maioria dos serviços tende a nos impedir de acessar nossas próprias contas se quisermos. digitar uma senha incorretamente três ou quatro vezes, muitas vezes redefinindo a senha e exigindo que respondamos a perguntas de segurança para fazer uma nova um. Essas técnicas de “gateway” fazer melhorar a segurança da conta e, aliás, também são uma maneira extremamente fácil de irritar as pessoas. (Não sei dizer quantas vezes minha conta do iTunes foi bloqueada por ataques de senha, mas provavelmente já passou de cem.)
No entanto, os invasores que pretendem quebrar senhas não estão batendo na porta de um serviço e tentando (literalmente) milhões de vezes fazer login na mesma conta. Eles estão usando métodos de autenticação menos públicos que não estão sujeitos a bloqueios (como uma API privada para parceiros ou aplicativos), espalhando seus ataques em uma ampla variedade de contas para evitar períodos de bloqueio ou (na melhor das hipóteses) aplicar técnicas de quebra de senha a senhas roubadas dados. A maioria dos sistemas criptografa os dados de senha que armazenam, mas esses arquivos criptografados são tão seguros quanto o próprio sistema. Se os invasores conseguirem obter o arquivo de senha criptografada (através de uma falha de segurança, comprometida máquina, ou engenharia social, para começar) eles podem atacá-la muito rapidamente quando estiverem por conta própria sistemas. É por isso que histórias sobre invasores obtendo informações de contas (como Stratfor, Épsilon, Sony, e Zappos) são preocupantes. Depois que os dados criptografados forem liberados, os invasores poderão aplicar ferramentas muito mais poderosas para abri-los.
No mundo real, isso significa que o número de 1.000 senhas por segundo é extremamente conservador. O hardware de computação desktop típico hoje em dia pode testar milhões de senhas por segundo contra tecnologias de criptografia comuns. Da mesma forma, agora existem ferramentas de quebra de senhas que utilizam processadores gráficos, e operadores criminosos de botnets também estão no negócio de quebra de senhas. Eles podem distribuir a carga de trabalho por milhares de computadores. Combine esse poder bruto com heurísticas sofisticadas (como experimentar variantes de números e letras em palavras comuns) e não é incomum quebrar uma senha de usuário típica de oito caracteres em menos de meio minuto. hora.
Atirando no próprio pé
Observamos acima como uma senha de oito caracteres pode, com letras maiúsculas, minúsculas, números e símbolos, ter bem mais de um quatrilhões de combinações possíveis, mas a maioria das senhas de oito caracteres em uso hoje se enquadram em um conjunto de apenas cerca de um bilhão combinações. Isso porque os humanos não são máquinas. Onde um computador se contenta em usar tartaruga ou Y&4nS0\2 como senha, adivinhe qual é mais fácil para um ser humano lembrar? Agora, adivinhe qual é mais seguro.
Alguns sistemas implementam requisitos de senha destinados a garantir que os usuários não usem senhas facilmente decifradas. Uma abordagem comum é exigir que as senhas dos usuários tenham pelo menos uma letra maiúscula, um número, um símbolo e tenham pelo menos oito caracteres. (Alguns sistemas não impõem requisitos, mas oferecem um indicador da “força da senha” como uma medida da eficácia que uma senha pode ter. ser.) Alguns sistemas também exigem que os usuários alterem suas senhas de vez em quando (digamos, a cada 30 ou 45 dias) e os impedem de reutilizá-las. senhas.
Esses tipos de requisitos fazer aumentam a segurança das senhas, mas também tornam as senhas muito mais difíceis de serem lembradas pelas pessoas. Isso significa que uma parcela significativa dos usuários descobrirá imediatamente maneiras de subverter a segurança do sistema para sua própria conveniência. Claro, algumas pessoas conseguem lidar com senhas como 9,3nDs(# mas muitas outras pessoas responderão com notas adesivas carregadas de senhas nas laterais dos monitores, notas em seus carteiras ou um documento do Microsoft Word em sua área de trabalho rotulado como “Senhas” para que eles possam copiar e colar quando necessário. Os requisitos de construção de senhas também tendem a prejudicar a produtividade e aumentar os custos de suporte (tanto para funcionários quanto para funcionários). clientes), já que mais pessoas esquecerão suas senhas ou terão suas contas bloqueadas, exigindo intervenção.
Criando senhas complexas
O Santo Graal das senhas pareceria então ser uma senha que é complexo o suficiente para que seja impraticável hackear usando técnicas automatizadas, mas fácil o suficiente para lembrar que os usuários não comprometem a segurança armazenando-os ou gerenciando-os de forma insegura.
Aqui estão algumas dicas para criar senhas complexas e fáceis de lembrar:
- Use senhas longas. Se uma senha de oito caracteres pode ter 1,6 quatrilhão de combinações possíveis, imagine quantas uma senha de 16 caracteres pode ter? (Cerca de 2,8 nonilhões, ou 2,830.) No entanto, talvez mais importante, o conjunto de valores para uma senha de 16 caracteres usando termos comuns e variações é pouco menos de 1,2 quintilhão, onde era pouco mais de um bilhão com um número de oito caracteres senha. Usar senhas mais longas é a maneira mais fácil de tornar as senhas mais complexas e seguras.
- Use palavras combinadas. Como criar senhas longas fáceis de lembrar? Uma técnica comum é usar uma série de três a cinco não relacionado termos. Geralmente são tão fáceis de lembrar quanto os números PIN; cognitivamente, as pessoas tendem a lembrar palavras inteiras como unidades únicas. No entanto, essas senhas podem ser muito complexas, pelo menos do ponto de vista da quebra de senhas. E essas senhas são fáceis de criar apenas olhando ao redor ou folheando um livro em uma página aleatória. Olhando para a esquerda pela janela, vejo um sapo de brinquedo, um carro e a janela da cozinha de alguém. Nova Senha: FrogHubcapArmário - são 18 caracteres, mas apenas três palavras para lembrar. Olhando certo: RunnerCameraGlueString — quatro palavras curtas, 22 caracteres. Usei apenas letras maiúsculas para ajudar a separar as palavras. Adicionar mais caracteres ou substituições pode aumentar a complexidade – apenas não fique tão complexo a ponto de ser vítima dos pontos fracos de senhas difíceis.
- Use frases ou letras. Outra forma de criar senhas longas é usar partes de frases ou letras. Para letras, músicas relativamente comuns talvez sejam melhores do que aquelas particularmente importantes para você: novamente, você não quer pessoas que o conhecem bem possam adivinhar suas senhas só porque você é um grande fã de Michael Bolton (ou não). Exemplos de senhas criadas a partir de fases ou letras podem ser Você não é Jack Kennedy (19 caracteres), iShotaManinReno (15 caracteres), impeepinandimcreepin (20 caracteres).
- Use mnemônicos. A desvantagem das senhas longas é que podem ser difíceis de digitar, especialmente em um dispositivo móvel. Outro truque que algumas pessoas consideram útil para gerar senhas mais curtas e complexas é usar o primeiro caractere de cada palavra em uma frase ou letra. “Quantas estradas um homem deve percorrer” poderia se tornar HmrmamwD—apenas oito caracteres, mas relativamente complexo do ponto de vista de um programa de quebra de senhas. Da mesma forma, “Agite, agite como uma foto polaroid” poderia se tornar SiSiLapp - talvez não ótimo, mas melhor do que tartaruga. Esse truque também pode ajudar a gerar boas senhas para sistemas que ainda têm um limite de comprimento das senhas.
Essas diretrizes geralmente ajudarão você a criar senhas complexas e fáceis de lembrar. É claro que, ao lidar com sistemas de senha com requisitos de composição (ou seja, eles esperam maiúsculas e minúsculas, números ou símbolos), você ainda terá que inventar variações estranhas nas senhas para cumpri-las. requisitos. Basta lembrar que com senhas mais longas, você pode fazer substituições e alterações em locais óbvios — normalmente, essas senhas longas são mais fáceis de lembrar, mesmo com requisitos, do que curtas e sem sentido senhas.
Algumas outras dicas
Outras coisas a considerar ao escolher suas senhas:
- Use senhas separadas para serviços separados. Não use sua senha de rede social para serviços bancários online. Se uma senha for comprometida em um serviço, os outros deverão estar seguros.
- Escolha senhas importantes com cuidado. Os sistemas de login único podem ser extremamente convenientes, mas também criam um ponto único de falha para vários serviços. Exemplos seriam senhas para contas de serviços do Google, Yahoo e Microsoft, onde uma única senha quebrada poderia fornecer alguém acessa e-mail, documentos, fotos, redes sociais, blogs, bibliotecas de fotos, listas de contatos, catálogos de endereços e mais. Da mesma forma, com tantos sites (mesmo Tendências Digitais) aceitando logins do Facebook e do Twitter, uma senha de rede social comprometida pode ter repercussões de longo alcance.
- Mude suas senhas. É tentador pensar que se uma de suas senhas for quebrada, você saberá imediatamente: seu e-mail desaparecerá, seu blog desaparecerá. torne-se um conjunto de gráficos lulz, sua lista de presentes da Amazon pode estar repleta de opções embaraçosas, sua conta do PayPal pode ser apagada fora. No entanto, nem sempre é esse o caso: se alguém quebrar sua senha, pode não haver nenhum sinal evidente, pelo menos não imediatamente. Ao alterar sua senha regularmente, você garante que, mesmo que alguém invada, a janela de oportunidade para explorá-lo será limitada. A frequência com que você deve alterar as senhas varia de acordo com a forma como você usa os serviços online. Para qualquer coisa que envolva dinheiro real, geralmente recomendo que os usuários alterem suas senhas a cada 30 a 90 dias – quanto mais dinheiro, com mais frequência.
Nenhuma senha é segura
Talvez a coisa mais importante a lembrar sobre senhas seja que qualquer a senha pode ser quebrada: é apenas uma questão de quanto tempo e esforço alguém está disposto a investir nisso. As dicas aqui ajudarão a reduzir as chances de suas senhas serem descobertas por invasores aleatórios e até mesmo por amigos e familiares, mas nenhuma senha é completamente segura. Se o acesso seguro a um serviço for muito importante para você, considere procurar várias formas de autenticação de múltiplos fatores para reduzir ainda mais as chances de acesso não autorizado.
Crédito da imagem: Shutterstock / jamdesign / Tatyana Popova / Pedro Miguel Sousa
Recomendações dos Editores
- Essas senhas embaraçosas fizeram com que celebridades fossem hackeadas
- Não, o 1Password não foi hackeado – eis o que realmente aconteceu
- Como proteger uma pasta com senha no Windows e macOS
- LastPass revela como foi hackeado – e não é uma boa notícia
- Reddit foi hackeado – veja como configurar 2FA para proteger sua conta
