Crie senhas fortes

Lendo um artigo sobre segurança de senhas cheguei a uma triste conclusão: quanto mais seguro for um conjunto de senhas, mais difícil será lembrá-lo. Para convencê-lo dessa teoria, começarei listando algumas dicas de especialistas para criação de senhas seguras.

Regras sugeridas por especialistas

• Use muitos caracteres, no mínimo seis e, de preferência, mais do que dez.
• Combine maiúsculas e minúsculas de forma imprevisível.
• Combine letras, número e caracteres especiais (# $ % & @ etc.), de preferência alternados uns com os outros.
• Evite a repetição de caracteres.
• Não use palavras que estão no dicionário.
• Não use informações pessoais como placa do carro, nome da namorada ou número do telefone.
• Não use senhas manjadas como 123456, asdfg, o nome do site ou o nome do usuário.
• Não siga padrões. Se você usar as senhas áries, peixes e touro o hacker vai entender que você cria senhas com os signos do zodíaco.

Descobrir x lembrar

Basta ler as regras recomendadas pelos especialistas para ver que elas limitam a criação de senhas fáceis de memorizar. Regras como essas serviram de base para a criação de verificadores de segurança como o The Password Meter. Eu testei minhas senhas nesse programa e fiquei bem preocupado, pois quase todas ficaram na categoria muito fracas.

Depois disso, mudei todas elas adotando um nível de segurança mais alto só por precaução. Analisando com cuidado as dicas dos especialistas se percebe que segui-las à risca não é garantia de segurança.

Vou exemplificar: a senha qwert12345, por exemplo, é considerada boa pelo The Password Meter, pois tem dez caracteres, não repete itens e combina números com letras. Uma análise atenta da senha, contudo, nos mostra que ela é formada por duas sequências de teclado. Um robô talvez não detectasse o padrão, mas um hacker certamente farejaria a lógica da senha.

Para saber se a sua senha é dedutível faça um exercício de imaginação. Pense que escreveu a senha em um pedaço de papel e o lançou no fogo da lareira. Por infortúnio seu, o papel não queimou por completo e uma parte da senha ficou preservada no meio das cinzas. Será que um hacker que pegasse o pedaço de papel chamuscado conseguiria completar a senha usando um pouco de inteligência e conhecimentos gerais?

Você conseguiria completar as senhas abaixo supondo que elas têm dez dígitos? Elas são consideradas fortes pelo The Password Meter.

qwert!@#

j1f2m3a4

1u2d3t4q

Que bom se fosse possível usar uma única senha perpétua em todos nossos serviços. Bastaria caprichar nela e mesmo que fosse difícil de memorizá-la seria para a vida toda. Só que não adianta se iludir: precisamos de muitas senhas e, pior, se quisermos segurança temos que trocá-las com frequência. Usar senha única é arriscado, tanto quanto seguir um padrão único para criá-las e, por isso, você deve pensá-las como um conjunto.

O que não fazer

Dicas do que NÃO fazer quando lidar com senhas:

• Usar a mesma senha para tudo. Não coloque todos os ovos na mesma sesta, já dizia a sua avó. Mesmo que sua senha única seja difícil de descobrir aquele que a alcançar terá acesso a todos os seus dados.
• Usar senhas óbvias. A senha mais comum do mundo é 123456. Data de nascimento, placa do carro, nome da namorada e sequências óbvias devem ser evitadas por motivos óbvios.
• Criar senhas curtas. Quanto mais caracteres uma senha tiver, mais difícil de quebrá-la usando força bruta.
• Seguir sempre o mesmo padrão. Se você usa palavras como aquário, sagitário e câncer, fica claro que você gosta de criar senhas com signos do zodíaco.
• Compartilhar a senha. Talvez você precise compartilhar uma senha com outra pessoa, mas isso aumenta o risco, pois o fator humano fica multiplicado por dois. Uma pessoa confiável não é necessariamente cuidadosa.
• Anotar a senha em local desprotegido. Já deve ter ouvido falar do sujeito que anotou a senha do cartão no verso do cartão, né? Anotar senha é necessário, mas tem que ser em local seguro.
• Digitar a senha em público. O mundo é cheio de olhos e câmeras. Fique atento na hora de digitar a senha.

Senha forte

O que é uma senha forte? Uma senha difícil de descobrir, ora. Fácil de definir, difícil de criar. Veja algumas ideias para deixar sua senha mais forte.

• Mais caracteres. Quanto mais longa, melhor. A maioria dos serviços estabelece um mínimo e um máximo de caracteres. Nesse caso, opte pelo número máximo.
• Caracteres variados. Se o serviço permite criar senhas com números, letras maiúsculas e minúsculas e caracteres especiais, faça uma combinação variada de tipos de caracteres. Isso não deixa a senha mais forte do ponto de vista da probabilidade, mas como a maioria das pessoas fica no básico e usa só um tipo de caractere, você levará vantagem.
• Imprevisibilidade. Sua data de nascimento é uma senha óbvia, pois faz parte de sua história pessoal. A senha 3141592 é óbvia se criada por um matemático. Fugir do seu previsível e ao mesmo tempo gerar senhas memorizáveis é um tarefa difícil, mas que lhe trará segurança.
• Fácil só para você. As senhas fáceis de lembrar geralmente são fracas porque são óbvias. O desafio é criar uma senha que seja fácil para você memorizar, mas só para você. Existem algumas técnicas que ajudam a criá-las, mas o melhor mesmo é usar seu próprio método. Eu uso alguns, mas não vou contar.

Métodos para criar senhas seguras

Se um conjunto de senhas segue padrões torna-se vulnerável. O problema é que os padrões são o melhor recurso que dispomos para memorizá-las. O que há de se fazer então: correr o risco de descobrirem as senhas ou de esquecê-las?

Bem, se você não é responsável por sistemas de lançamento de mísseis nucleares não precisa rigor extremo com suas senhas e pode adotar uma solução intermediária. Crie senhas fortes com padrões criativos e durma sossegado.

Algumas técnicas para criar senhas fortes. Veja exemplos:

• Caracteres aleatórios. Use algum método de sorteio de caracteres para gerar uma senha totalmente imprevisível. Sugiro usar a planilha geradora disponível grátis abaixo. A vantagem é que não dá para usar engenharia social para quebrar esse tipo de senha, apenas ataques de força bruta funcionam aqui. A desvantagem é que são senhas difíceis de memorizar.
• Diceware. Neste método sorteamos algumas palavras de uma lista extensa. A senha é o conjunto de palavras. Não permite engenharia social, é mais fácil de memorizar do que caracteres aleatórios. Na planilha disponível grátis abaixo você pode gerar senhas com o método diceware.
• Frases abreviadas. Pense em uma frase com maiúsculas, minúsculas e caracteres especiais. Construa a senha com as partes iniciais das palavras da frase. Exemplo: Getúlio Vargas suicidou-se no Catete em agosto de 1954! Senha: GVs-snCead1954! Mas atenção: nada de frases manjadas como água mole em pedra dura ...
• Ranking. Crie um ranking pessoal que só você conhece. Ex.: Meu ranking de marcas de carro: 01 Ferrari, 02 Jaguar, 03 Land Rover, 04 Mercedes Benz, 05 Porsche. Senha: #Fe1-Ja2-LR3-MB4-Po5#.
• Listas cruzadas. Intercale duas sequências que não tem uma a ver com a outra. Exemplo: a lista de marcas de carro combinada com uma lista elementos químicos: #FeAr-JaNa-LRLi-MBH-PoU#!
• Ortografia alterada. Use os métodos acima, mas para complicar mais substitua alguns caracteres por outros semelhantes como usar @ em vez de a. Você pode também escrever as palavras da senha com erros ortográficos.

Essas técnicas são boas, mas não esqueça que os hackers também leem dicas de segurança e, por isso, não caia na mesmice. Invente suas próprias técnicas. Eu tenho as minhas, pena que não posso compartilhá-las com os leitores.

Gerador de senhas fortes em Excel

Baixe o gerador gratuito em Excel que usa três métodos diferentes de geração: caracteres aleatórios, diceware e listas cruzadas.

Se preferir baixe a versão grátis com macros (mais completa) na área de usuários cadastrados.

Assista ao vídeo e veja como o gerador de senhas funciona.

Veja as senhas completas do desafio feito anteriormente:

• qwert!@#$%
• j1f2m3a4m5
• 1u2d3t4q5c