Como criar e lembrar uma senha forte.
É fácil criar uma senha forte - e lembre-se dela. Você só precisa saber como!
Navegando no Mar de Senhas Terríveis.
Passo 1: Conheça o seu Inimigo
Ataques contra senhas de usuários podem vir em todos os formatos e tamanhos. Se você quiser criar uma senha forte, o primeiro passo é aprender que tipos de truques podem ser usados para desenterrar a sua. Aqui estão algumas das principais maneiras pelas quais os cyber ne’er-do-wells estão ativamente acessando contas bancárias, e-mails pessoais e perfis de redes sociais.
Na maioria dos casos, os atacantes têm acesso a uma coleção de dados de senha violados. Essas senhas são mais freqüentemente listadas em forma de hashed, mas não é difícil descobrir as credenciais de texto em quadradinhos encontradas dentro delas. Uma vez que uma violação de dados ocorre, a informação vazada se tornou publicamente disponível e provavelmente não vai embora. A melhor maneira de agir para qualquer pessoa que tenha seus dados tornados públicos através de tal violação é alterar imediatamente suas senhas e permitir alguma forma de autenticação multi-fator. Geralmente, recomendamos que nossos usuários ativem a autenticação em duas etapas em nosso guia de segurança de senhas.
Aqui está uma boa exibição de como as senhas podem ser quebradas rapidamente:
É importante ter em mente que este vídeo foi publicado em 2016. A capacidade computacional e as placas gráficas em particular aumentaram muito no desempenho, mas infelizmente a escolha de senha do usuário médio provavelmente não acompanhou esses rápidos avanços.
Ataques de Força Bruta
Chega de chimpanzés com tempo suficiente para forçar a sua senha.
Um ataque de força bruta é uma tentativa de um actor malicioso de testar todas as combinações possíveis de letras, números e símbolos até que eles determinem a palavra-passe que corresponde ao teu nome de utilizador. Um exemplo de um ataque de força bruta com uma senha de 5 dígitos seria um atacante tentando:
aaaaaa … mmmmm … zzzzz
Estes ataques têm uma alta taxa de sucesso contra senhas curtas que não usam números ou caracteres especiais. Felizmente, estes tipos de ataques podem ser mitigados criando senhas mais longas que utilizam uma mistura de letras, números, maiúsculas e minúsculas e caracteres especiais.
Ataques de dicionário
A fuga de dados do RockYou expôs mais de 32 milhões de palavras-passe em texto simples. Esta lista vem como padrão no Kali Linux.
Um ataque de dicionário é um ataque de força bruta mais refinado que usa listas de palavras de dicionário selecionadas para testar senhas em potencial para a sua conta. Se sua senha inclui palavras encontradas nesses dicionários, como as listas de palavras encontradas em instalações padrão de hacking de distros Linux, você é suscetível a esses ataques. Se a sua senha está listada aqui, altere-a agora!
Ataques de Phishing
Os ataques de Phishing são técnicas de colheita bem conhecidas e eficientes que visam directamente o utilizador da conta. Um link inteligentemente disfarçado enviado de uma fonte confiável, de um site ou do seu administrador de TI pode fornecer acesso rápido a credenciais de login válidas. Um ótimo exemplo de como esses ataques podem ser facilmente construídos pode ser encontrado no tutorial em vídeo da NetworkChuck aqui:
Os ataques de phishing não se limitam a mensagens de correio electrónico, mas já se converteram em chamadas telefónicas, SMS, VoIP e outros serviços de mensagens como o WhatsApp e o Signal. Se um atacante estiver focado num indivíduo específico, estes ataques, conhecidos como spear-phishing, podem ser muito mais difíceis de detectar antes que seja demasiado tarde.
A melhor forma de combater os ataques de phishing é manter-se vigilante. Não clique em links enviados em e-mails ou abra anexos inesperados de e-mails. Se você receber e-mails automatizados do seu banco que requerem ação urgente na sua conta, duvide sempre que seja de fato do seu banco. Se você acredita que uma ação pode ser necessária, abra uma nova guia do navegador e faça o login diretamente do site do seu banco.
Ataques de Homem no Meio
Com que frequência faz o login no WiFi gratuito na sua cafeteria favorita? Se não tiver cuidado, você pode estar conectando seu aparelho a um ponto de acesso desonesto em vez daquela confiável conexão Starbucks. Os ataques Man-in-the-Middle ficam entre o seu dispositivo e o ponto de acesso real, fingindo ser alguém que eles não são. Essas redes falsas podem escutar e registrar o tráfego que você envia e recebe através dele, incluindo quaisquer senhas não criptografadas enviadas pelo caminho.
Como criar uma senha forte
Passo 2: O que é uma senha forte e como você pode fazer uma?
O Bom:
Uma senha forte deve ser longa o suficiente para evitar ser forçada. Deve ter, no mínimo, 12 caracteres e incluir uma mistura de letras, números e caracteres especiais. Também é importante não usar esses números ou caracteres especiais de maneiras comuns. A escolha aparentemente inteligente de trocar seus o’s com 0’s ou seus e’s com 3’s não vai enganar ninguém para roubar as informações de login de sua conta bancária.
Se você escolher usar uma seqüência de palavras aleatórias, elas não devem ser relacionadas umas com as outras, a fim de evitar que você seja vítima de um ataque de dicionário. A mistura de números em intervalos aleatórios e nem sempre antes, entre, ou depois das palavras as torna ainda mais difíceis de quebrar. Por exemplo, “B?r!d7sDri%&veP._otat!oC?8ches” tem menos probabilidade de ser quebrado em um ataque de dicionário do que “BirdsFly”.
”B?r!d7sDri%&veP._otat!oC?8ches” pode ser improvável que seja rachado, mas se eu cair em um link de phishing ou for pego em um ataque humano de homem no meio, o erro humano se sobrepõe a qualquer vantagem matemática que os passos anteriores tenham proporcionado.
Mais uma vez, para criar uma senha forte:
- Use pelo menos 12 caracteres
- Incluir letras maiúsculas e minúsculas, números e símbolos especiais.
- Não usar palavras do dicionário
- Não usar caracteres especiais de forma previsível (H3llo ou Pa$$word)
Mais tarde veremos como você pode se lembrar desta nova senha.
O Mau:
Se a sua senha aparecer numa pesquisa no HaveIBeenPwned, deve alterá-la imediatamente. A Pwned Password está disponível para download gratuito e está sem dúvida a ser usada para obter acesso não autorizado a contas em todo o mundo.
É crucial evitar o uso de palavras únicas que são rapidamente forçadas por qualquer computador comum. A senha “agoodpassword” pode ser forçada brutal em dois dias e já aparece em 107 violações de dados de acordo com o Kaspersky’s Password Checker. Se trocarmos os o’s com 0’s, a senha ainda será forçada em dois dias. Vá em frente e experimente alguns destes se estiver interessado.
Eu não recomendo testar suas senhas reais em um site como este, mas é interessante ver como diferentes combinações impactam a força de uma senha.
Sua senha também não deve incluir informações pessoalmente identificáveis, como seu primeiro animal de estimação, seu aniversário de casamento ou a rua em que você cresceu. Toda esta informação está prontamente disponível com alguma engenharia social simples ou uma visita à sua página do Facebook. Isto significa que “amy&bob4ever1997” é uma má escolha. Mesmo que possa levar “12 séculos” para ser forçado a ser bruto de acordo com o verificador de senha forte acima, uma visita às suas páginas de mídia social pública cheia de fotos postadas daquela ocasião especial irá reduzir drasticamente esse tempo.
O Feio:
Há algumas senhas que infelizmente nunca irão desaparecer. A lista seguinte é a lista das 10 senhas mais comuns de acordo com NordPass.com. Se você estiver usando QUALQUER dessas senhas, você precisa mudá-las, de preferência ontem.
Você pode encontrar as 200 principais senhas mais comuns a partir de 2020 [aqui](https://nordpass.com/most-common-passwords-list/).
Passo 3: Mantendo suas credenciais seguras
Agora que temos uma ideia de como criar senhas fortes usando pelo menos 12 caracteres, incluindo números, maiúsculas e caracteres especiais, e evitando palavras de dicionário ou colocando números em lugares óbvios, isto levanta a questão de como vamos nos lembrar deste mastodonte de uma senha?
Uma dica fácil é usar uma senha mnemônica. Crie uma frase longa que provavelmente será fácil de lembrar: “O pato fugiu de um cão enquanto comia 5 cenouras roxas” pode ser abreviado para uma senha que se parece com “Tdr/n4rom1d00gWe5Pur%Ca&“. Isto é 24 caracteres, inclui números e caracteres especiais, e embora possa parecer um disparate à primeira vista, pode ser lembrado pela estranha frase original. Esta é a mesma técnica que muitos de nós usamos na aula de matemática quando tentamos nos lembrar dessa ordem de operações desagradável. Tenho certeza de que “Por favor, desculpe minha querida tia Sally” ainda ocupa um lugar em muitas lembranças.
A nota pegajosa
Garanto-lhe que se entrar em qualquer edifício de escritórios de tamanho médio a grande, alguém escreveu a sua palavra-passe e deixou-a numa gaveta de secretária destrancada. Isto nunca é uma prática de segurança segura. Não seja a pessoa cuja preguiça leva a uma quebra de segurança em toda a empresa.
É importante que os profissionais de TI percebam que seus usuários são a primeira linha de defesa contra o acesso indesejado à sua rede. Um treinamento adequado para seus funcionários é crucial para evitar que deslizes como este aconteçam. As equipes de TI precisam trabalhar com seus usuários para combater as ameaças aos dados da empresa. Numerosos relatórios inofensivos de um óbvio e-mail de phishing são muito menos irritantes do que tentar desfazer os danos de uma infecção de resgate.
Políticas de Rotação de Senha
Uma das principais causas para os usuários anotarem suas credenciais onde elas podem ser facilmente descobertas é a recomendação desatualizada de políticas de rotação de senhas. Felizmente, esses dias se foram e o NIST não recomenda mais essas rotações obrigatórias de senhas. Essas políticas muitas vezes levaram os usuários a escolher senhas mais simples com apenas pequenas variações. Essas escolhas de senha eram muito mais fáceis de serem feitas com força bruta ou levavam os usuários a anotar suas senhas e armazená-las de forma insegura porque eles tinham dificuldades para se lembrar das novas credenciais.
As senhas devem ser alteradas em caso de violação, exposição acidental ou se o usuário se esqueceu delas.
Não reciclar senhas
Reutilizar senhas é a maneira mais fácil para um ator malicioso passar da sua conta comprometida no Facebook para a sua conta bancária. É crucial que as senhas (e nomes de usuário) não sejam usadas entre os serviços. Isso pode parecer assustador, mas existem várias opções que podem tornar mais fácil manter várias senhas fortes.
Existem muitos sites que oferecem “novas senhas criativas e inteligentes para 2021”, mas escolher qualquer senha ou nome de usuário pré-existente que você possa ver online (ou mesmo aqueles nesta publicação) representa um risco de segurança.
Lembre-se, uma boa senha deve ser como papel higiênico: forte e usada apenas uma vez.
Salvando Senhas no Navegador
Uma opção para salvar as senhas para simplesmente salvá-las no seu navegador de internet, seja Firefox, Chrome ou Safari. Muitas dessas senhas podem então ser ligadas a uma conta que pode ser sincronizada entre dispositivos no caso de uma substituição.
Por mais conveniente que isto possa parecer, isto não é recomendado se você não puder garantir que ninguém possa obter acesso indesejado ao seu dispositivo. Uma rápida viagem até a janela de preferências resulta em uma lista completa de senhas salvas que são armazenadas em texto simples para que o mundo as veja. Isto é menos do que o ideal.
Gestores de senhas
Um meio mais confiável de armazenar suas senhas é através do uso de um gerenciador de senhas. Há mais gerenciadores de senhas do que os que podem ser discutidos adequadamente neste post do blog. Os gerenciadores de senhas armazenam todas as suas várias credenciais de login em um local central e (idealmente) criptografam todos esses dados. Caso o seu dispositivo seja roubado, essas senhas e nomes de usuário não podem ser descobertos sem primeiro desbloquear o seu gerenciador de senhas.
Estes programas têm o benefício adicional de incluir geradores de senhas que podem criar e salvar senhas aleatórias que estão além de qualquer expectativa razoável de memória humana. Isto poupa-lhe o trabalho de criar novas palavras-passe fortes no local.
Se você escolher usar um gerenciador de senhas, é absolutamente necessário que você crie uma senha forte. Esta senha funciona como a chave que desbloqueia toda a sua vida digital e deve ser tratada como tal. Felizmente, muitos destes programas também suportam autenticação multi-factor que dá aos seus dados uma camada extra de protecção muito necessária.
Não vou entrar no debate sobre qual opção é a melhor, mas aqui está uma pequena lista de alguns gerentes de senhas populares e links para seus sites:
Algumas destas opções são gratuitas e de código aberto, enquanto outras requerem uma assinatura para poderem utilizar os seus serviços. Se você é um usuário Mac ou Linux, seu dispositivo vem pré-instalado com um programa de chaveiro que também permite que você armazene suas credenciais de login. Estes são recursos convenientes, mas não oferecem o mesmo grau de segurança criptográfica que estas soluções de gerenciamento de senhas de terceiros.
Fique Seguro e Feliz Navegando!
Se você seguir estes passos para criar uma senha mais forte e armazená-la com segurança usando o gerenciador de senhas de sua escolha, você se tornará um alvo digital muito mais difícil. Quando se trata de segurança cibernética, não há nenhum caso de proteção à prova de balas, mas se os atores mal-intencionados estiverem escolhendo quem serão os alvos, sua conta com uma senha forte e autenticação multi-fator será muito menos atraente.
Com estas dicas você pode aumentar sua segurança digital e navegar na web com mais confiança de que suas contas online e suas informações pessoais estão protegidas.
Confira também o nosso guia de segurança de e-mail. Ele explica como uma conta de e-mail é a porta para sua identidade online e como você pode melhorar ainda mais sua segurança online, fazendo algumas escolhas inteligentes.