Crie e mantenha senhas fortes

Atualizado22 de março de 2018

Índice

...Loading Table of Contents...

    Muitos aplicativos e serviços requerem uma senha. As senhas nos permitem sentir segurança ao usar tecnologias digitais para fazer coisas que só nós deveríamos ser capazes de fazer: fazer login em nossos computadores, enviar e-mails ou criptografar dados sensíveis, por exemplo. Essas palavras secretas, frases e sequências de galimatias são muitas vezes a única barreira entre a nossa informação e as pessoas que podem querer ler, copiar, modificar ou destruí-la sem nossa permissão. Dependemos das senhas também para evitar que outras pessoas se passem por nós nas redes sociais e outras plataformas online. Atacantes usam vários truques para tentar desvendar nossas senhas, mas podemos nos defender da maioria deles através da aplicação de algumas táticas específicas e usando um gerenciador de senhas seguras.

    O que você pode aprender com este guia

    • Os elementos de uma senha segura
    • Pequenos truques para se lembrar de senhas longas e complicadas
    • Razões para se usar um gerenciador de senhas seguras para armazenar senhas ao invés de se lembrar delas
    • O que você pode fazer, além de configurar uma senha segura, para proteger suas contas e sua informação

    Escolhendo e mantendo senhas seguras

    Quando você quer proteger algo, você o fecha com uma chave. Os cadeados de bicicletas têm chaves físicas, os cartões dos bancos têm números PIN, os e-mails têm senhas e os arquivos protegidos têm senha de criptografia. Sejam físicas ou virtuais, todas essas senhas possuem uma coisa em comum: elas abrem seus respectivos cadeados com igual eficácia nas mãos de outra pessoa. Você pode evitar um malware, criptografar seus arquivos, comunicar-se de forma segura e esconder seu tráfego online, mas nada disso será muito útil se a sua senha for fraca ou cair nas mãos erradas.

    Elementos de uma senha forte

    Uma senha deve ser difícil de adivinhar por um programa de computador.

    • Longa: Quanto mais longa é uma senha, menos provável é que um programa de computador a adivinhe em um tempo razoável. Algumas pessoas usam frases-chave que contêm muitas letras com ou sem espaço entre si. As frases-chave são uma ótima ideia para serviços que permitem senhas longas.

    • Complexa: Além do comprimento, a complexidade também ajuda a prevenir que um software “quebra-senha” adivinhe a combinação correta de caracteres. Sempre que possível, inclua letras maiúsculas, letras minúsculas, números e símbolos em suas senhas. Veja a seção abaixo sobre Matemática das senhas para saber mais sobre isso.

    A senha deve ser difícil de descobrir por outras pessoas.

    • Não pessoal: Sua senha não deve estar relacionada a você pessoalmente. Não escolha uma palavra ou frase baseada em informações como seu nome, data de nascimento, número de telefone, nome de filhas ou filhos, animais de estimação ou qualquer coisa que uma pessoa possa descobrir ao fazer uma pequena pesquisa sobre você. É uma boa ideia proporcionar respostas falsas nas “perguntas de segurança” usadas por alguns serviços para verificar sua identidade quando você esquece sua senha. Isso impede que outras pessoas se passem por você sua e procurem sua informação online. Os gerenciadores de senhas seguras são úteis para registrar essas falsas respostas.

    • Secreta: Não compartilhe sua senha com outros salvo que seja absolutamente necessário. Se você precisar compartilhar sua senha com uma pessoa que é sua amiga, parente ou colega, você deve primeiro mudá-la para uma senha temporária, compartilhá-la e então mudá-la novamente quando o uso chegar ao fim. Quase sempre existem alternativas a compartilhar uma senha, como criar uma conta separada para cada pessoa que precise de acesso. Manter sua senha secreta também significa prestar atenção a quem pode estar lendo por cima de seu ombro enquanto você a digita.

    • Prática: Se você precisa escrever sua senha porque não consegue lembrar dela, você pode acabar enfrentando toda uma nova categoria de ameaças que podem deixar você muito mais vulnerável diante de qualquer pessoa com uma vista clara da sua mesa ou com acesso temporário à sua casa, bolso ou ao lixo do lado de fora de seu escritório. Se você não consegue pensar em uma senha que seja longa e complexa mas, ainda assim, memóravel, veja a seção abaixo, Lembrando-se de senhas seguras. Como alternativa, você pode escolher uma senha forte, registrá-la em um gerenciador de senhas seguras como KeePassX ou KeePassXC e então desistir de memorizá-la. Os gerenciadores de senhas são desenhados especialmente para esse propósito. Você não deve armazenar suas senhas em um arquivo regular, mesmo um que indique estar criptografado.

    Uma senha deve ser escolhida para minimizar o dano se for descoberta.

    • Única: Evite usar a mesma senha para mais de uma conta. Caso contrário, qualquer pessoa que descubra sua senha terá acesso a serviços adicionais e à informação que eles contêm. Pela mesma razão, é má ideia alternar senhas e trocá-las entre diferentes contas. A originalidade é particularmente importante nos dias de hoje, pois mais e mais websites estão em risco e têm suas senhas em base de dados expostas online. Consulte o website do investigador de segurança Troy Hunt, Have I Been Pwned, para exemplos específicos e para ver se alguma de suas senhas foi vazada (mas tenha em mente que muitas violações de contas não são descobertas, então você deve melhorar suas senhas fracas mesmo que nenhuma de suas contas apareça aqui).

    • Nova: Mude suas senhas importantes ocasionalmente. Quanto mais tempo você mantiver uma senha, mais oportunidades outras pessoas terão de adivinhá-la. Se alguém for capaz de usar uma senha roubada sem o seu conhecimento, ele ou ela continuarão a fazê-lo até que você a mude. Desde que suas senhas sejam fortes nas formas descritas acima, você não precisa fazer isso com frequência, mas continua sendo uma boa ideia mudar suas senhas a cada ano, aproximadamente.

    Lembrando-se de senhas seguras e registrando-as

    Ao olhar os conselhos da seção anterior, você pode se perguntar como uma pessoa sem memória fotográfica pode se lembrar de senhas tão longas, complicadas e sem sentido sem ter que escrevê-las. A importância de usar diferentes senhas para cada conta torna tudo ainda mais difícil. No entanto, existem alguns truques que ajudam você a criar senhas que são fáceis de se lembrar mas extremamente difíceis de se adivinhar, mesmo para um agressor inteligente com um poderoso software “quebra-senha”. Você também tem a opção de registrar suas senhas com ferramentas como KeePassX ou KeePassXC, que foram feitas especialmente com esse propósito.

    Lembrando-se de senhas seguras

    Palavras são consideravelmente mais fáceis de nos lembrarmos do que sequências de caracteres aleatórios, mas senhas baseadas em uma única palavra são extremamente fáceis de se adivinhar. Computadores podem testar todas as palavras registradas no dicionário em um tempo muito curto. Trabalhando offline, um computador comum pode testar todas as palavras em inglês (aproximadamente 10 mil) em matéria de segundos. E até mesmo online – demorando, vamos dizer, cinco segundos entre cada tentiva de adivinhação – encontrar a senha correta levaria em média poucas horas.

    E, infelizmente, incluir um punhado de letras maiúsculas, substituir o “a” por “@” e colocar pontos de exclamação no final não ajuda. Atacantes conhecem todas essas técnicas e os “dicionários de quebra de senhas” incluem todas essas variações. Elas podem aumentar o tempo necessário para quebrar sua senha de um segundo para dez, mas isso está longe de ser bom o suficiente (e, sim, esses dicionários existem para todos os idiomas).

    Uma técnica melhor é usar ao menos seis palavras escolhidas aleatoriamente para criar uma frase-chave que seja segura e fácil de se lembrar. Este método é comumente chamado de “diceware” (literalmente, software de dado) porque de início se recomendava às pessoas que lançassem um dado para escolher palavras de uma lista feita especialmente para este propósito. Isso é importante porque seres humanos são ruins em pensar aleatoriamente, e os dicionários “quebra-senha” contêm frases famosas, letras de músicas, poemas e frases comuns.

    Abaixo há alguns exemplos de senhas diceware:

    • pastel bruto tragédia exterior geada sala de jogos
    • PitorescoFrescoResilenteNevascaReformularAnormal
    • M!stificarNevadoDesordemXadrezReversoPortal

    Por conveniência, muitas pessoas usam geradores aleatórios de diceware, como aquele que vem incluído no KeePassXC. Mas o jeito antigo continua funcionando bastante bem se você por acaso tiver cinco dados de seis faces à mão.

    Registrando senhas de forma segura

    Com alguma imaginação e um pouco de prática, você pode se lembrar de um bom número de senhas diceware. Mas devido à imensa quantidade de senhas que temos que controlar hoje em dia, você pode considerar também usar um gerenciador de senhas. Os gerenciadores de senhas como KeePassX e KeePassXC permitem que você gere senhas realmente aleatórias para a maioria de suas contas e guardá-las em uma base de dados portátil e encriptada que você não precisa decorar.

    Maos à obra: Comece com KeePassX – Gerenciador de Senhas Seguras [Windows] [Mac] [Linux]

    Sempre que você precisar digitar a senha de uma conta específica, você pode copiá-la e colá-la de sua base de dados usando só sua senha mestra. Isto torna muito mais fácil seguir as recomendações da seção anterior. KeePassX e KeePassXC são portáteis, o que significa que você pode colocar sua base de dados em um cartão de memória USB caso você precise usar sua senha enquanto está longe de seu computador principal. Dito isso, você só deve acessar sua base de dados em computadores em que você confia. Se você fizer isso em um dispositivo que está infectado com malware, todas as suas senhas podem ser expostas.

    Além disso, ainda que essa seja a solução mais eficaz para qualquer pessoa que precise gerenciar uma grande quantidade de contas, esses gerenciadores de senhas também têm alguns inconvenientes.

    Primeiro, se você perder ou eliminar a única cópia de uma base de dados de senhas, você perderá o acesso a cada uma das contas que administra. Diferentemente de outros gerenciadores de senhas, KeePassX e KeePassXC não armazenam uma cópia de seus dados online. Esta é uma vantagem em termos de segurança, mas também torna extremamente importante que você faça uma cópia de segurança de sua base de dados. Para mais informações, veja nosso guia sobre como proteger arquivos sensíveis em seu computador. Felizmente, o fato de que sua base de dados está criptografada significa que você não tem que entrar em pânico caso perca seu cartão de memória USB ou o disco no qual você mantinha sua cópia de segurança. Nesse caso, você ainda deve trocar suas senhas, mas desde que você tenha configurado uma senha mestra forte, elas estarão a salvo por muito tempo.

    Segundo, se você esqueceu sua senha mestra, não há forma de recuperá-la nem o conteúdo de sua base de dados. Por isso, assegure-se de escolher uma senha mestra que seja ao mesmo tempo segura e fácil de lembrar!

    Por fim, é importante que você proteja sua base de dados com uma senha mestra muito forte. Se alguém descobre sua senha mestra e obtém uma cópia de sua base de dados, essa pessoa conseguirá acesso a todas as senhas contidas na base de dados. Isso pode acontecer se algo te forçar a entregar essas informações ou se seu computador se infectar com malware (contudo, o malware também pode simplesmente registrar suas senhas enquanto você as digita). Algumas pessoas criam uma base de dados de senhas separada para as informações mais sensíveis e tomam precauções adicionais com ela. Nosso guia de como proteger arquivos sensíveis em seu computador inclui algumas sugestões relevantes.

    Aproveitando ao máximo suas senhas

    Nas seções superiores discutimos as senhas principalmente no contexto de contas online. Na realidade, as senhas são usadas para controlar o acesso em muitas situações, incluindo algumas que não envolvem “contas” no sentido usual. Os exemplos incluem fazer login em nossos dispositivos, criptografar nossos dados e conectar-nos a redes sem fio. Em alguns casos, essas senhas são opcionais. Em outros, estão configuradas com sequências por default que podem ser bastante fracas.

    • O software que inicia o sistema operacional em seu computador é chamado de Sistema Básico de Entrada e Saída (BIOS, em inglês). Você pode configurar uma senha do BIOS distinta de sua conta de usuário normal. Fazer isso torna mais difícil que alguém com acesso físico a seu computador instale um software malicioso.

    • Quando você configura o roteador sem fio em sua casa ou escritório, você pode solicitar que usuários coloquem uma senha antes de se conectar a ele. Isso encripta em parte o tráfego entre seu dispositivo e o roteador, mas não protegerá o tráfego contra outras pessoas que estão usando o mesmo roteador. Felizmente, essa medida impede que pessoas sem a senha espionem aquelas que são usuárias legítimas.

    • Seu roteador também possui uma conta administradora (normalmente chamada de “admin”) que pode ser usada para modificar ou desabilitar muitas configurações relacionadas à segurança. Ao adquirir um novo roteador, você deve pesquisar a senha predefinida e trocá-la por outra mais forte. Você raramente usará essa conta, então considere registrá-la em um gerenciador de senhas seguras para que não a esqueça.

    Perguntas para recuperação de contas

    Muitos serviços web pedem “perguntas de segurança” ao criar uma conta. Os exemplos podem incluir:

    • Sua fruta favorita;
    • Sua primeira escola;
    • O nome da rua onde você morava quando criança;
    • O sobrenome de solteira de sua mãe.

    Alguns serviços usam esse tipo de pergunta para verificar sua identidade se eles suspeitam que outra pessoa está tentando acessar sua conta. Em muitos casos, as respostas para suas perguntas de segurança podem ser usadas para trocar sua senha se você esquecê-la.

    Informações como essas estão às vezes disponíveis online, portanto costuma ser uma boa ideia dar respostas falsas a esse tipo de pergunta. Mas você precisará manter um acompanhamento das respostas falsas que forneceu, caso o serviço julgue que sua tentativa de conexão é suspeita (ou caso você realmente tenha esquecido sua senha). Mais uma vez, um gerenciador de senhas seguras é um bom lugar para armazenar detalhes como esses.

    Autenticação de Dois Fatores

    Depois de começar a configurar senhas fortes em todas suas contas, a coisa mais importante que você pode fazer para proteger essas contas é instalar uma autenticação de dois fatores, à qual às vezes é dado um nome ligeiramente menos enigmático como verificação de dois passos ou a abreviação “2fa” (por seu nome em inglês). Independentemente do nome, a autenticação de dois fatores significa que, além da senha, você terá que fornecer uma segunda informação para fazer login. Felizmente, você não precisa memorizar essa informação ou armazená-la em uma base de dados criptografada.

    Essa segunda informação é tipicamente um código numérico curto que é enviado por mensagem de texto ou gerado através de um aplicativo em seu telefone sempre que você tentar iniciar uma sessão. Ele também pode ser gerado por um dispositivo hardware específico para isso (comumente chamado de "token" ou "dongle"). Muitos desses dispositivos utilizam um padrão aberto chamado 2º Fator Universal (em inglês, Universal 2nd Factor ou U2f). De todo modo, você receberá um novo código a cada vez que iniciar uma sessão.

    Um aplicativo de código aberto que muitas pessoas usam para gerar esses códigos de uso único é o FreeOTP. Ele está disponível para dispositivos iOS e Android. (Google tem seu próprio aplicativo chamado Google Authenticator, mas é importante destacar que o FreeOTP pode ser utilizado para iniciar uma sessão também com os serviços Google.) Uma vez que eles forem configurados para trabalhar com sua conta, esses aplicativos não precisarão de conexão à internet para gerar um código válido de autenticação de dois fatores.

    Muitos serviços online lhe darão uma lista de códigos reserva quando você ativar a autenticação de dois fatores para uma determinada conta. Esses códigos reserva são especiais pois nunca expiram. É importante que você os mantenha seguros, pois eles são a única forma de retornar à sua conta se você perder o acesso ao dispositivo que normalmente gera os códigos de uso único. E, naturalmente, qualquer pessoa que tenha sua senha pode acessar a sua conta usando um desses códigos reserva. Um gerenciador de senhas seguras é um excelente lugar para armazenar esse tipo de coisa.

    Uma nota sobre usar mensagens de texto para a autenticação de dois fatores. Se um serviço suportar autenticação de dois fatores tanto via mensagens de texto quanto via aplicativo, você deve optar pelo segundo. Mensagens de texto não são criptografadas e atacantes já interceptaram códigos de uso único com sucesso a caminho do telefone da vitima.

    Matemática das senhas

    Muitas senhas fortes incluem diferentes tipos de caracteres como letras maiúsculas, números e símbolos. Isso aumenta a "janela de busca" de possíveis combinações que devem ser testadas por atacantes que usam força bruta, tentando adivinhar cada senha possível até achar uma que funcione. Você pode expandir a janela de busca aumentando o comprimento da senha e usando diferentes tipos de caracteres.

    Ataques de força bruta

    Uma senha feita de letras minúsculas, por exemplo, tem só 26 possibilidades para cada caractere que contém. Ao usar letras maiúsculas e minúsculas, esse número aumenta para 52. Adicionando números e símbolos, aumenta para 78. No entanto, isso não significa que as senhas complexas sejam três vezes mais fortes que as simples. Dependendo do comprimento da senha, podem ser milhares ou milhões de vezes mais fortes.

    Isso se deve à aritmética exponencial. Em resumo, o total da janela de busca é multiplicado pelo número de possíveis caracteres para cada dígito da senha. Então, enquanto uma senha de oito caracteres que utiliza só letras minúsculas tem cerca de 200 bilhões (26^8) de combinações possíveis, uma senha mais complexa de oito caracteres pode ter até 5.000 vezes esse número (78^8, ou seja, mais de um milhão de bilhões). Essa diferença aumenta ainda mais em senhas mais longas. Uma senha complexa de 12 caracteres pode ser 500.000 vezes mais forte que uma simples.

    Ataques de dicionário

    Os ataques de dicionário usam palavras (e v@riações de palavr@s) como atalho para quebrar senhas fracas mais rapidamente. Existem menos de 10.000 palavras comuns em inglês, por exemplo. Mesmo uma senha simples em letras minúsculas pode ser mais forte que uma de três caracteres escolhidos aleatoriamente (26^3 é mais de 17.000). Novamente, contudo, a aritmética exponencial nos ajuda. Como se mencionou anteriormente, na discussão sobre as senhas diceware, você pode criar uma senha forte baseada em palavras do dicionário desde que escolha aleatoriamente ao menos seis delas (10.000^6 é um trilhão de trilhões).

    A primeira tabela abaixo estima quanto tempo um atacante pode demorar para decifrar uma lista progressivamente longa de senhas diceware. A segunda tabela mostra um conjunto similar de estimativas para senhas que foram “misturadas” usando técnicas comuns. Como você pode ver, os “caracteres especiais” não são suficientes por si só para fortalecer uma senha fraca. Na verdade, eles fazem pouca diferença a menos que a senha seja bastante longa.

    Frases-chave diceware:

    Amostra de senhaNúmero de combinaçõesTempo de quebra
    Roxo9.000Imediato
    CarpeteRoxo79 milhõesMenos de um dia
    CarpeteRoxoPular699 bilhõesMenos de um dia
    CarpeteRoxoPularGaragem6.000 trilhõesQuatro dias
    CarpeteRoxoPularGaragemPintar55 milhões de trilhõesCerca de um século
    CarpeteRoxoPularGaragemPintarEstranhamente488 bilhões de trilhões7.695 séculos

    Senhas diceware “misturadas”:

    Amostra de senhaNúmero de combinaçõesTempo de quebra
    R0x()177.000Menos de um dia
    C@rp3+3R0x()47 bilhõesMenos de um dia
    C@rp3+3R0x()Pular419 trilhõesMenos de um dia
    C@rp3+3R0x()PularG4ragem37 milhões de trilhõesCerca de um século
    C@rp3+R0x()PularG4ragemP!ntar3 trilhões de trilhões52.036 séculos
    C@rp3+3R0x()PularG4ragemP!ntar3stranhamente293.000 trilhões de trilhõesMais de quatro bilhões de séculos

    Essas tabelas estão baseadas em cálculos do Passfault. Passfault é um dos muitos websites que permitem testar a força de uma senha. Serviços confiáveis como este fazem cálculos em seus computadores e não enviam nada a seus servidores. Eles podem ser úteis para testar a efetividade relativa de diferentes estratégias de senhas, mas ainda assim você deve evitar submeter suas senhas atuais.

    Leitura adicional