Criação e gerenciamento de senhas
Minha senha é fácil?[editar | editar código-fonte]
- Como saber se uma senha é fácil de ser revelada por outra pessoa? Existem diversos programas, chamados de brute force (força bruta), que vão tentar diversas combinações de senhas em pouco tempo.
- Supondo uma senha de 8 letras, temos uma possibilidade de 208 bilhões de combinações. O que demoraria um certo tempo para ser descoberta a combinação correta, mesmo para supercomputadores.
- Porém, dificilmente um usuário escolheria uma senha com um conjunto aleatório de caracteres, do tipo “qkxhqpl”. Esse tipo de senha, aleatória, é muito difícil de ser revelada por um ataque de força bruta, mas também é bem difícil de ser lembrada pelo usuário.
- Normalmente os usuários tendem a escolher palavras do nosso cotidiano. Para se ter uma ideia, os 11 idiomas mais falados do mundo possuem cerca de 3,2 milhões de palavras1.
- Se um atacante optar por utilizar apenas as palavras desses idiomas, a chance de sucesso seria muito maior do que testar todas combinações possíveis no escopo de 8 dígitos.
- De tempos em tempos diversas senhas, que vazaram de serviços on-line, são publicadas na internet. Nessas listas é possível identificar quais as senhas mais utilizadas. Se alguém que está tentando revelar sua senha optar por começar por essas senhas, suas chances de um ataque bem sucedido são maiores.
- É possível também identificar padrões comuns das vítimas, como endereços, nomes de parentes, datas de nascimento, animais de estimação, artistas famosos, personagens de desenhos animados. A isso, denominamos a técnica de Engenharia Social, uma técnica que pode coletar informações de uma vítima por meio de uma simples conversa ou mesmo levantando informações publicadas na internet. Imagine a quantidade de informações que você já disponibilizou na internet em redes sociais…
- Laura Poitras, cineasta do documentário Citizenfour que conta a história do maior escândalo de espionagem da NSA (Agência de Segurança Nacional dos Estados Unidos), revelou alguns de seus e-mails trocados com Edward Snowden em que um deles diz: “Por favor, confirme que ninguém possui uma cópia da sua chave privada e que ela usa uma senha forte. Assuma que o seu adversário é capaz de um trilhão de palpites por segundo.”2
- Sua senha não parece mais tão segura, não é mesmo?
Como criar senhas mais seguras?[editar | editar código-fonte]
- Digamos que você tenha que escolher entre um número de 1 a 10. Sua escolha não é tão aleatória assim, pois provavelmente você optou por 3, 5 ou 7, uma tendência a optar por números primos.
- Podemos também abandonar a ideia de uma senha composta apenas por uma palavra e partir para uma “frase senha” (passphrase).
- De imediato pode parecer difícil de se memorizar uma senha longa, porém, acredite que é mais fácil memorizar uma frase do que uma senha do tipo PiAakDhQudQG, não é mesmo?
- Mas como garantimos a aleatoriedade dessa senha, já que temos tendências a procurar por palavras do nosso cotidiano mais imediato?
Método do Dado (diceware)[editar | editar código-fonte]
- O método do dado foi criado em 1995 por Arnold Reinhold, através do qual por meio de um dado e uma lista de palavras podemos construir senhas, ou frases senhas, mais seguras. Recentemente o método ficou conhecido porque uma menina de 11 anos abriu um negócio de senhas seguras nos Estados Unidos. Mira Modi passou a vender suas frases senhas por U$ 2 cada utilizando o método do dado, após sua mãe, uma jornalista de especializada em questões de segurança, ficar com preguiça de rolar os dados e dar 2 dólares para a menina fazer por ela.
Utilizando o método do dado[editar | editar código-fonte]
- Acesse a Lista de 7.776 palavras em Português
[[1]]
- Serão necessários 5 lançamentos de dados. Os dois primeiros referem-se às páginas (no topo de cada página é possível encontrar dois números separados por vírgula). Os próximos 3 lançamentos referem-se ao número da palavra que será escolhida.
- Exemplo:
- Abaixo um exemplo utilizando o método do dado com um conjunto de 4 palavras:
| Texto do cabeçalho | Texto do cabeçalho |
|---|---|
| 3,2,5,6,1 | falante |
| 2,2,6,5,5 | ciclone |
| 5,2,6,1,1 | pilha |
| 3,4,4,6,2 | furna |
| senha | falante ciclone pilha furna |
- Para uma maior entropia podemos também utilizar números tirados nos próprios dados:
- Senha: falante ciclone pilha furna 325
- Temos então uma senha impossível de ser desvendada pelo método de força bruta, sem contar que a engenharia social nesse caso é quase nula, já que os dados que escolheram as palavras.
- Para conferir se sua senha é mesmo eficiente contra os métodos de força bruta, pode-se conferir em alguns sites que avaliam a força de sua senha, como em:
[[2]] ou [[3]]. OBS: NUNCA DIGITE SUA SENHA VERDADEIRA NESSES SITES.
- Além do alto valor de entropia utilizada na senha, o método do dado nos garante a aleatoriedade de uma senha, tornando os ataques de força bruta, aliados ao método de engenharia social, ineficientes.
- Digamos que utilizar esse método para todos seus serviços on-line seria demasiadamente cansativo. Por isso sugerimos a utilização de um Gerenciador de Senhas.