Na Tuta, o nosso objetivo é manter os dados dos nossos utilizadores seguros com encriptação de segurança quântica. Para alcançar a segurança máxima, a importância de senhas fortes e seguras que sejam longas o suficiente não pode ser exagerada. As palavras-passe e o seu comprimento são a primeira linha de defesa para garantir que nenhum acesso não autorizado possa prejudicar os seus dados ou a si próprio. Embora factores como a complexidade e a imprevisibilidade sejam importantes, os especialistas sublinham que o comprimento é um elemento crítico para garantir a segurança das palavras-passe. Mas dadas as novas ameaças dos computadores quânticos, qual é o comprimento mínimo ideal da palavra-passe recomendado pelo NIST e pela CISA?

O que dizem os especialistas em segurança

O comprimento da palavra-passe aumenta significativamente o tempo e os recursos computacionais necessários para a decifrar”, afirma Bruce Schneier, um reputado criptógrafo e especialista em segurança. “Uma palavra-passe mais longa aumenta exponencialmente a dificuldade dos ataques de força bruta, tornando-a um aspeto crucial da força da palavra-passe.”

O U.S. National Institute of Standards and Technology (NIST) recomendou no passado a escolha de um comprimento mínimo de caracteres superior a 14 para palavras-passe seguras, mas também afirmou que o comprimento mínimo absoluto da palavra-passe deve ser de 8 caracteres, enquanto o comprimento ideal da palavra-passe se situa entre 14 e 16 caracteres. O NIST salienta também que as palavras-passe mais longas são melhores e mais resistentes contra as técnicas modernas de cracking, incluindo ataques avançados direcionados, por exemplo, por agentes estatais ou serviços secretos, capazes de utilizar hardware potente ou mesmo computação quântica. Com o aumento do poder computacional, as palavras-passe também têm de aumentar de comprimento para resistir aos ataques.

Turn ON Privacy in one click.

A sua palavra-passe deve ter 16 caracteres ou mais

O gráfico seguinte sobre o comprimento e a complexidade das palavras-passe baseia-se nas recomendações do NIST e da CISA, publicadas em 2024 . Com o avanço dos computadores quânticos, todos precisam de rever o comprimento das suas palavras-passe para verificar se estas ainda são suficientemente fortes para resistir a ataques de computadores quânticos com um poder computacional muito superior ao dos sistemas informáticos tradicionais.

Tabelle zur Passwortsicherheit basierend auf Länge und Komplexität gemäß den Empfehlungen von NIST und CISA für 2024 Gráfico sobre a segurança das palavras-passe com base no comprimento e na complexidade, de acordo com as recomendações do NIST e da CISA para 2024.

Embora os especialistas em segurança sugiram pelo menos 12 caracteres como um bom comprimento mínimo da palavra-passe, as palavras-passe com 16-20 caracteres ou mais são ideais para contas altamente sensíveis. A Agência de Defesa Cibernética dos Estados Unidos (CISA) recomenda:

“Pelo menos 16 caracteres - mais longo é mais forte!”

O Instituto Nacional de Normas e Tecnologia dos EUA (NIST) actualizou as suas recomendações sobre o comprimento das palavras-passe em 2024 e afirma:

“O comprimento da palavra-passe é um fator primário na caraterização da força da palavra-passe.”

Em 2024, o NIST publicou uma nova diretriz para os serviços online no que diz respeito aos requisitos de palavra-passe para os tornar mais seguros. À semelhança da recomendação da CISA de 16 caracteres para o comprimento mínimo ideal da palavra-passe, o NIST afirma que uma palavra-passe segura DEVE:

“ter um mínimo de 15 caracteres de comprimento”.

Comprimento da palavra-passe vs complexidade

Dado o novo e maior comprimento da palavra-passe, as dicas anteriores sobre a utilização de caracteres especiais e a não utilização de palavras do dicionário não pesam tanto como no caso de palavras-passe mais curtas. Em geral, os especialistas em segurança dizem que quanto maior, melhor. Mas se quiser tentar obter a palavra-passe perfeita, não há mal nenhum em seguir também estas recomendações:

Letras maiúsculas e minúsculas: KLJDFwerfn
Caracteres numéricos: 923857
Caracteres especiais: =)§)]€&
Aleatoriedade: É importante evitar padrões previsíveis, apenas palavras do dicionário ou informações pessoais.

Palavras-passe apenas numéricas: Uma palavra-passe constituída exclusivamente por caracteres numéricos (0-9) fornece apenas dez opções possíveis para cada carácter. Por exemplo, uma senha numérica de oito caracteres teria 10 x 10 x 10 × 10 × 10 × 10 × 10 × 10 × 10 × 10 = 100.000.000 (100 milhões) de combinações possíveis.
Números e letras minúsculas: A adição de letras minúsculas (a-z) à mistura expande o conjunto para trinta e seis opções possíveis para cada carácter. Para uma senha de oito caracteres usando números e letras minúsculas, o número de combinações aumenta drasticamente para 36 x 36 x36 × 36 × 36 × 36 × 36 × 36 × 36 = 2,8211099e+12 (dois trilhões, oitocentos e vinte e um bilhões, cento e nove milhões, novecentos mil ) combinações possíveis.

Para equilibrar segurança e usabilidade, considere a utilização de frases-passe: uma série de palavras aleatórias encadeadas (por exemplo, “Solar-Miles50>Lunar-Meters51!”) que são fáceis de lembrar mas difíceis de adivinhar.

Ao escolher uma palavra-passe segura, tenha em conta que tanto o comprimento como a complexidade são importantes. No entanto, se tiver dificuldade com a complexidade, basta tornar a sua palavra-passe mais longa e obterá um efeito semelhante em termos de força da palavra-passe.

Comprimento da palavra-passe vs tempo de decifração

O comprimento de uma palavra-passe é um dos factores mais críticos para determinar o tempo que um hacker demora a decifrá-la. As ferramentas de decifração de palavras-passe baseiam-se na força bruta - um método que tenta sistematicamente todas as combinações possíveis de uma determinada palavra-passe até encontrar a correta. Este ataque leva tempo - que, obviamente, depende do comprimento mínimo da palavra-passe. Na verdade, o tempo que um atacante de força bruta necessita para decifrar uma palavra-passe aumenta exponencialmente com cada carácter adicional. Por exemplo, uma palavra-passe com seis caracteres pode demorar minutos ou horas a ser decifrada, dependendo da sua complexidade e do poder de computação disponível. No entanto, aumentar o comprimento para 12 caracteres pode fazer com que o processo de decifração demore anos ou mesmo séculos, especialmente quando combinado com diversos tipos de caracteres, como números, letras maiúsculas e minúsculas, caracteres especiais e símbolos.

Este aumento exponencial do tempo sublinha a razão pela qual as palavras-passe mais longas proporcionam uma proteção mais forte.

As recomendações do NIST para 2024 sobre o melhor comprimento mínimo e estrutura das palavras-passe também têm de ser seguidas pelos serviços em linha, que têm de atualizar os seus requisitos em matéria de palavras-passe e - mais importante - têm de permitir palavras-passe mais longas, uma vez que muitos serviços ainda limitam o número de caracteres que os utilizadores podem introduzir ao criar palavras-passe. O Tuta Mail, por exemplo, pede uma palavra-passe com um comprimento mínimo de 10 caracteres, mas permite palavras-passe de comprimento ilimitado. Além disso, o Tuta oferece um gerador de senhas no momento da inscrição que já incorpora as diretrizes do NIST, gerando senhas longas com palavras selecionadas aleatoriamente para que a senha seja longa o suficiente para atingir a força ideal.

Explicamos aqui com mais detalhes como criar uma senha forte.

Porque é que as palavras-passe mais longas são melhores

O comprimento mínimo de uma palavra-passe está diretamente relacionado com o número de combinações possíveis que um agente malicioso tem de tentar adivinhar. Por exemplo:

Uma palavra-passe de 10 caracteres que utilize uma mistura de maiúsculas, minúsculas, números e símbolos oferece cerca de 83 sextilhões de combinações.
Uma palavra-passe de 16 caracteres aumenta este número para mais de 10 octilhões de combinações, o que representa um enorme salto em termos de dificuldade.

Mesmo os computadores quânticos, que se espera que venham a colocar desafios significativos à encriptação tradicional, continuarão a considerar que as palavras-passe longas com estruturas imprevisíveis são difíceis de decifrar.

Turn ON Privacy in one click.

Informações do inquérito aos utilizadores da Tuta Mail

Na Tuta Mail, apostamos na segurança de ponta e já integrámos a encriptação quântica nos nossos serviços de correio eletrónico e calendário. No Tuta, a chave privada do utilizador é protegida pela sua palavra-passe, pelo que a escolha de uma palavra-passe longa e forte é ainda mais importante. Assim, realizámos um inquérito a 2.500 utilizadores para compreender melhor o que as pessoas sabem sobre a segurança das palavras-passe.

Länge der Passwörter der Tuta-Benutzer Comprimento da palavra-passe dos utilizadores do Tuta: Qual é o comprimento médio da sua palavra-passe? Tem … caracteres.

Dado que os utilizadores do Tuta não representam o utilizador médio da Internet, mas são muito conhecedores de tecnologia e interessados em segurança, os resultados são chocantes:

16% utilizam geralmente palavras-passe com um máximo de 10 caracteres.
32% utilizam palavras-passe com um comprimento de 11-15 caracteres.
31% utilizam 16 a 20 caracteres nas suas palavras-passe para proporcionar um nível de segurança elevado.
21% preferem palavras-passe com mais de 20 caracteres para uma proteção máxima.

É surpreendente - ou mesmo chocante - ver que, apesar de os utilizadores de Tuta saberem tanto sobre segurança, 16% escolhem uma palavra-passe com apenas 10 caracteres (o que não é suficientemente seguro!) e 32% optam por uma palavra-passe entre 11 e 15 caracteres - apesar de as palavras-passe mais longas serem definitivamente melhores, especialmente com o aumento dos computadores quânticos.

Temos de ter em conta que o utilizador médio do Tuta sabe muito mais sobre segurança em linha do que o utilizador médio da Internet. Por exemplo, o mesmo inquérito também mostrou que 90% dos utilizadores sabem como encriptar um e-mail de ponta a ponta com o Tuta Mail, e 43% são proficientes na utilização da encriptação PGP, um número que não atingiríamos se colocássemos estas questões ao público em geral.

Apesar deste elevado nível de conhecimento digital, 34% dos utilizadores do Tuta utilizam uma palavra-passe com 14 caracteres ou menos, mesmo para contas privadas como a sua caixa de correio encriptada.

Isto mostra que ainda temos um longo caminho a percorrer para educar as pessoas sobre as melhores práticas de segurança em linha.

Lições do inquérito Tuta

Os resultados do inquérito revelam uma compreensão sofisticada da segurança por parte dos utilizadores do Tuta, mas também revelam que há margem para melhorias. Embora 52% dos utilizadores procurem palavras-passe com mais de 15 caracteres, 16% ainda consideram suficientes as palavras-passe com 10 caracteres ou menos, o que deixa as contas vulneráveis.

Uma vez que os utilizadores do fornecedor de correio eletrónico seguro para o quantum, Tuta Mail, são mais informados do que o utilizador médio da Internet, é chocante que 16% utilizem palavras-passe com apenas 10 caracteres ou até menos. Isto levanta a questão de saber quantas contas em linha são vulneráveis a ataques de força bruta. Em suma, devem ser muitas.

O comprimento da palavra-passe é uma das formas mais eficazes e diretas de melhorar a segurança online. Com a crescente ameaça de ciberataques - e a ameaça iminente da computação quântica - a utilização de palavras-passe longas e complexas é uma obrigação.

Os resultados do inquérito da Tuta sublinham a necessidade de educar melhor as pessoas sobre o comprimento mínimo ideal das palavras-passe e de as incentivar a utilizar gestores de palavras-passe, bem como geradores de palavras-passe aleatórias. Além disso, as contas importantes devem ser protegidas com autenticação de dois factores, de preferência com chaves U2F de hardware.

Vamos trabalhar em conjunto para uma Internet mais privada e uma melhor proteção dos seus dados!

Turn on Privacy

Seguro Fast Sem anúncios