3. Como criar e manter senhas seguras

Índice

...Loading Table of Contents...

    Muitos dos serviços seguros que nos fazem sentir confortáveis em usar a tecnologia digital para conduzir negócios importantes, desde entrar nos nossos computadores a criptografar e-mail para esconder dados sensíveis, requerem que lembremos uma senha. Essas palavras secretas, frases ou sequências aleatórias costumam ser a primeira, às vezes a única, barreira entre a informação e alguém que possa querer lê-la, copiá-la, modificá-la ou destruí-la sem permissão.

    Existem vários meios que podem ser usados para descobrir senhas, mas é possível se defender da maioria com algumas táticas específicas e com o uso de uma ferramenta de banco de dados seguro de senhas, como o KeePass.

    Pano de fundo

    Os irmãos Mansour e Magda são de um país árabe e mantêm um blog no qual publicam, de forma anônima, notícias sobre abusos a direitos humanos e sobre campanhas para mudanças políticas. Recentemente, Magda tentou entrar em sua conta online de e-mail e descobriu que a senha havia sido mudada. Depois de redefini-la, conseguiu se conectar, mas, quando viu a caixa de entrada, notou várias mensagens novas marcadas como lidas. Ela suspeita que alguém com motivações políticas tenha descoberto ou adivinhado sua senha, sendo que Magda usa a mesma para várias contas online de e-mail. Ela vai se encontrar com Mansour, que tem menos experiência com computadores, para explicar a situação de falar sobre suas preocupações.

    O que aprender deste capítulo

    Como escolher e manter senhas seguras

    De um modo geral, quando queremos proteger alguma coisa, usamos uma chave para trancá-la. Travas de casas, automóveis e bicicletas, todas têm uma chave física; arquivos protegidos têm chaves de criptografia; cartões de banco têm senhas, assim como contas de e-mail.

    Todas essas chaves, físicas e eletrônicas, possuem algo em comum: abrem os respectivos cadeados com a mesma eficácia independentemente de quem as esteja usando, você ou outra pessoa. Você pode instalar firewalls avançados, criar contas de e-mail seguras e criptografar discos. Se sua senha for fraca, ou se ela cair nas mãos erradas, não vai adiantar muito.

    Elementos para uma senha segura

    Uma senha deve ser difícil de ser adivinhada por um programa de computador.

    • Ela deve ser longa. Quanto maior for uma senha, menor a probabilidade de um programa de computador adivinhá-la em um período razoável de tempo. Tente criá-las com dez ou mais caracteres. Algumas pessoas usam mais de uma palavra, com ou sem espaços entre elas, como frases. Essa é uma boa ideia desde que o programa ou serviço utilizado permita escolher senhas longas.
    • Ela deve ser complexa. Além da extensão, a complexidade também ajuda a evitar que programas de automatização de 'quebra de senhas' adivinhem a combinação correta de caracteres. Sempre que possível, inclua letras maiúsculas e minúsculas, números e símbolos como os de pontuação.

    Uma senha deve ser difícil de ser deduzida por outras pessoas.

    • Ela deve ser prática. Se você tiver de escrever um segredo porque não é capaz de lembrá-lo, pode acabar tendo de enfrentar toda uma nova categoria de ameaças. Você ficará vulnerável a qualquer pessoa capaz de ver o que está na sua mesa ou tenha acesso, mesmo que temporário, à sua casa, sua carteira, ou ao saco de lixo colocado na rua. Se você não consegue pensar em um segredo longo e complexo mas, ao mesmo tempo, memorável, a seção Como lembrar senhas seguras pode te ajudar. Se não, você ainda pode usar uma combinação segura, mas pode ter de gravá-la em um banco de dados seguro de senhas como o KeePass. Não deposite sua confiança em outros tipos de arquivos protegidos por senha, como documentos de Microsoft Word. Muitos podem ser quebrados em segundos com ferramentas disponíveis de graça na internet.
    • Ela não deve ser pessoal. Sua senha não deve estar relacionada a você. Não escolha uma palavra ou frase com base em informações como o seu nome, data de nascimento, data de casamento, documentos pessoais como RG e CPF, número de telefone, nome de filha, filho ou animal de estimação, ou qualquer outro dado que alguém pode descobrir ao fazer pesquisas simples sobre você.
    • Mantenha-a em segredo. Não fale sua senha a ninguém, a não ser que seja absolutamente necessário. Caso precise informá-la a uma amiga, amigo, alguém da família ou colega, é melhor mudá-la para uma combinação temporária primeiro. Dê a senha temporária e troque-a de volta assim que a pessoa terminar de usá-la. É comum haver alternativas a ter de compartilhar um segredo, como criar uma conta separada para cada indivíduo que precise de acesso. Manter sua combinação em segredo também significa atentar a quem possa ler por cima do ombro quando você estiver digitando ou usando um banco de dados seguro de senhas.

    Uma senha deve ser escolhida de forma a minimizar o dano caso alguém a descubra.

    • Ela deve ser única. Evite usar a mesma combinação de caracteres para mais de uma conta. Senão, alguém que a descubra ganhará acesso a ainda mais informações sensíveis. Isso é particularmente importante, pois alguns serviços tornam a quebra de segredos relativamente fácil. Se você usar a mesma senha para fazer login nas contas do Windows e do Gmail, por exemplo, alguém com acesso físico a seu computador pode quebrar a primeira e usá-la para entrar na segunda. Por motivos similares, não é uma boa ideia fazer um rodízio de senhas entre diferentes serviços ou contas.
    • Ela deve ser recente. Mude seu segredo com constância. De preferência, pelo menos uma vez a cada três meses. Algumas pessoas se apegam a determinadas senhas e nunca as modificam, o que também é uma má ideia. Quanto mais tempo você com passa elas, mais oportunidades outras pessoas têm de descobri-las ou deduzi-las. Considere também que alguém que tenha uma senha sua e a use para acessar suas informações e serviços sem que você saiba continuará a fazê-lo até que você mude o segredo.

    Mansour: E se eu confiar em alguém? Posso dizer a minha senha a você, não?

    Magda: Bom, antes de tudo, não é porque você confia um segredo a alguém que essa pessoa tomará cuidado com ele, certo? Mesmo que eu não faça nada de mal com a sua senha, ainda posso escrevê-la e perder o papel ou algo do tipo. Poderia até ser por isso que estou nessa confusão! Mas não é apenas uma questão de confiança. Se só você sabe a senha, não precisa perder tempo se preocupando em quem colocar a culpa caso entrem em uma conta sua. Agora mesmo, por exemplo, tenho bastante certeza que alguém adivinhou ou 'quebrou' a minha, pois nunca a escrevi nem a contei a ninguém.

    Como lembrar e armazenar senhas seguras

    Ao ver a lista de sugestões da seção anterior, você deve estar se perguntando como lembrar senhas ou frases extensas e complexas que, às vezes, não tem significado. A importância de usar segredos diferentes para cada conta torna isso ainda mais difícil. Como fazer sem ter de escrevê-los ou sem uma memória fotográfica?

    Há alguns truques que ajudam a criar combinações fáceis de lembrar e, ao mesmo tempo, extremamente difíceis de adivinhar, mesmo para alguém usando tipos avançados de software de 'quebras de senha'. Há também a opção de armazená-las com uma ferramenta como o KeePass, criado especificamente para esse propósito.

    Como lembrar senhas seguras

    É importante usar tipos de caracteres diferentes ao escolher uma senha. Isso pode ser conseguido de várias formas:

    • Ao alternar maiúsculas e minúsculas, como em: 'Meu noME não é DeLiRiUM'
    • Ao substituir algumas letras por números, como em: 'muit0 tr4b4lh0 e pouc4 d1vers40'
    • Ao incorporar alguns símbolos, como em: 'o@panh4d0rnoCampod3(3nteiO'
    • Ao misturar línguas diferentes, como em: 'Vê s3 c()m3 tod0 o sOrBET au ch()col@T'

    Qualquer um desses métodos pode ajudar a aumentar a complexidade de um segredo que seria, de outra forma, simples. Assim, você pode escolher uma senha segura sem ter de abandonar a ideia de memorizá-la.

    Algumas das substituições mais comuns (como o uso do zero em vez de um 'o', ou do símbolo '@' em vez de um 'a') já estão incorporadas faz tempo nas ferramentas de quebra de senhas, mas ainda são uma boa ideia, pois aumentam o tempo que tais programas levam para fazê-lo. Em situações mais frequentes, nas quais esses software não podem ser usados, ajudam a evitar adivinhações por sorte.

    Também é possível usar técnicas mnemônicas tradicionais como acrônimos ou abreviações para memorizar senhas, transformando frases longas em palavras complexas, aparentemente randômicas:

    • 'Um casal são duas pessoas, verdade?' torna-se '1C=2p,VDD?'
    • 'Você está feliz hoje?' torna-se 'VCt@flzHJ?'
    • Para termos em inglês, 'To be or not to be? That is the question' torna-se '2Bon2B?TitQ'

    Esses são apenas alguns exemplos. Crie o seu próprio método de codificar palavras e frases para torná-las ao mesmo tempo complexas e memoráveis, pois mesmo um esforço mínimo nessa direção gera grandes resultados.

    Aumentar a extensão do segredo com apenas algumas letras, ou adicionar números e caracteres especiais à combinação a torna muito mais difícil de ser quebrada. Na tabela abaixo, vemos um exemplo de como o tempo para quebrá-la aumenta absurdamente conforme se torna cada vez mais complexa.

    <table border="1"> <tbody align="center"> <tr> <th rowspan="2">Exemplo de senha</th> <th colspan="3">Tempo para quebrar usando um computador...</th> </tr> <tr> <th>comum</th> <th>dedicado</th> <th>para investigação de crimes</th> </tr> <tr> <td>bananas</td> <td>Menos de 1 dia</td> <td>Menos de 1 dia</td> <td>Menos de 1 dia</td> </tr> <tr> <td>bananalimonada</td> <td>Menos de 1 dia</td> <td>Menos de 1 dia</td> <td>Menos de 1 dia</td> </tr> <tr> <td>BananaLimonada</td> <td>2 dias</td> <td>Menos de 1 dia</td> <td>Menos de 1 dia</td> </tr> <tr> <td>B4n4n4L1m0n4d4</td> <td>1 década, 7 anos</td> <td>1 ano, 9 meses</td> <td>1 mês, 26 dias</td> </tr> <tr> <td>Nao Temos Bananas</td> <td>1215520 séculos</td> <td>121552 séculos</td> <td>12155 séculos</td> </tr> <tr> <td>Não T3m05 B4n4n45</td> <td>36531016477 séculos</td> <td>3653101648 séculos</td> <td>365310165 séculos</td> </tr> <tr> <td colspan="4">Obs.: valores para senha WPA em Julho de 2014. Fonte: https://passfault.appspot.com/password_strength.html</td> </tr> </tbody> </table>

    O tempo para quebrar qualquer uma das combinações acima varia muito dependendo da natureza do ataque e dos recursos disponíveis para quem o realiza. Vale lembrar que novos métodos são desenvolvidos constantemente. Ainda assim, a tabela cumpre o papel de demonstrar como as senhas se tornam muito mais difíceis de serem descobertas simplesmente ao variar caracteres, usar duas palavras ou, ainda melhor, uma frase curta.

    A tabela acima se baseia nos cálculos do Passfault, um dos vários sites que permitem testar a força de combinações. Embora tais ferramentas sejam úteis para demonstrar a eficiência de diferentes tipos de senhas, evite informar uma que você realmente use nesses sites.

    Como armazenar senhas de forma segura

    Embora um pouco de imaginação ajude a recordar todas as senhas, ter de trocá-las periodicamente significa que a criatividade pode acabar um dia. Uma alternativa é gerar combinações aleatórias para a maioria das contas ou serviços e simplesmente abandonar a ideia de lembrá-las. Em troca, elas seriam guardadas em um banco de dados seguro de senhas portátil e criptografado, como o KeePass.

    Guia Prático: saiba usar o KeePass - Armazenamento Seguro de Senhas

    Usar esse método torna particularmente importante criar e lembrar um segredo seguro para o KeePass ou qualquer outra ferramenta similar. Sempre que precisar entrar em uma conta específica, basta acessá-lo usando apenas uma senha mestre, o que facilita muito os procedimentos descritos acima. O KeePass também é portátil: você pode levar sua base de dados em um pen drive ou cartão USB, caso precise acessá-la quando estiver longe do computador principal.

    Embora seja, provavelmente, a melhor opção para quem mantém muitas contas, há algumas desvantagens nesse método.

    Primeiro, se você perder ou apagar de forma acidental a sua única cópia do banco de dados de senhas, não terá mais acesso a nenhuma das contas. Torna-se extremamente importante ter cópias reserva (backup) dessa base do KeePass. Veja o Capítulo 5: Como se recuperar da perda de informações para saber mais sobre estratégias de backup. Felizmente, o fato de o banco de dados ser criptografado significa que você não precisa entrar em pânico caso perca cópias de reserva armazenadas em pen drives ou outros dispositivos.

    A segunda grande desvantagem é ainda mais importante. Se você esquecer a senha mestre do KeePass, não há como recuperá-la, assim como não haveria como acessar o conteúdo do banco de dados de senhas. Assim, escolha uma senha mestre que seja tanto segura como fácil de lembrar!

    A força desse método pode, em algumas ocasiões, ser a própria fraqueza. Se uma pessoa for forçada a revelar a senha mestre do KeePass, abrirá o acesso a todas as combinações armazenadas na base de dados. Caso essa seja uma situação que você vê como possível de enfrentar, pense em considerar seu banco de dados do KeePass como um arquivo sensível, protegendo-o como descrito no Capítulo 4: Como proteger os arquivos sensíveis do seu computador. Você também pode criar uma base do KeePass separada, contendo senhas que protejam informações mais sensíveis, e ter cuidado extra com ela.

    Mansour: Espera um pouco. Se o KeePass usa só uma senha mestre para proteger todas as outras, como pode ser mais seguro do que usar a mesma senha para todas as contas? Quero dizer, se alguém mal intencionado aprende a senha mestre, acessa todo o resto, não?

    Magda: É uma boa pergunta. Você está certo que proteger sua senha mestre é realmente importante, mas há algumas diferenças fundamentais. Primeiro, esse 'alguém mal intencionado' não precisaria apenas da sua senha, mas de sua base de dados, enquanto se você usar o mesmo segredo em todas as contas, apenas ele seria necessário. Além disso, sabemos que o KeePass é extremamente seguro. Bom, não se pode dizer o mesmo de todos os programas e sites. Alguns são bem menos protegidos do que outros, e você não quer que alguém invada um site e use o que aprendeu ali para entrar em contas mais confiáveis. E tem mais uma coisa. O KeePass permite trocar a senha mestre de forma bem fácil caso ache necessário. Queria eu ter essa sorte! Passei o dia todo atualizando minhas senhas.

    Leitura extra