Criação e gerenciamento de senhas

Minha senha é fácil?

editar
Como saber se uma senha é fácil de ser revelada por outra pessoa? Existem diversos programas, chamados de brute force (força bruta), que vão tentar diversas combinações de senhas em pouco tempo.
Supondo uma senha de 8 letras, temos uma possibilidade de 208 bilhões de combinações. O que demoraria um certo tempo para ser descoberta a combinação correta, mesmo para supercomputadores.
Porém, dificilmente um usuário escolheria uma senha com um conjunto aleatório de caracteres, do tipo “qkxhqpl”. Esse tipo de senha, aleatória, é muito difícil de ser revelada por um ataque de força bruta, mas também é bem difícil de ser lembrada pelo usuário.
Normalmente os usuários tendem a escolher palavras do nosso cotidiano. Para se ter uma ideia, os 11 idiomas mais falados do mundo possuem cerca de 3,2 milhões de palavras1.
Se um atacante optar por utilizar apenas as palavras desses idiomas, a chance de sucesso seria muito maior do que testar todas combinações possíveis no escopo de 8 dígitos.
De tempos em tempos diversas senhas, que vazaram de serviços on-line, são publicadas na internet. Nessas listas é possível identificar quais as senhas mais utilizadas. Se alguém que está tentando revelar sua senha optar por começar por essas senhas, suas chances de um ataque bem sucedido são maiores.
É possível também identificar padrões comuns das vítimas, como endereços, nomes de parentes, datas de nascimento, animais de estimação, artistas famosos, personagens de desenhos animados. A isso, denominamos a técnica de Engenharia Social, uma técnica que pode coletar informações de uma vítima por meio de uma simples conversa ou mesmo levantando informações publicadas na internet. Imagine a quantidade de informações que você já disponibilizou na internet em redes sociais…
Laura Poitras, cineasta do documentário Citizenfour que conta a história do maior escândalo de espionagem da NSA (Agência de Segurança Nacional dos Estados Unidos), revelou alguns de seus e-mails trocados com Edward Snowden em que um deles diz: “Por favor, confirme que ninguém possui uma cópia da sua chave privada e que ela usa uma senha forte. Assuma que o seu adversário é capaz de um trilhão de palpites por segundo.”2
Sua senha não parece mais tão segura, não é mesmo?

Como criar senhas mais seguras?

editar
Digamos que você tenha que escolher entre um número de 1 a 10. Sua escolha não é tão aleatória assim, pois provavelmente você optou por 3, 5 ou 7, uma tendência a optar por números primos.
Podemos também abandonar a ideia de uma senha composta apenas por uma palavra e partir para uma “frase senha” (passphrase).
De imediato pode parecer difícil de se memorizar uma senha longa, porém, acredite que é mais fácil memorizar uma frase do que uma senha do tipo PiAakDhQudQG, não é mesmo?
Mas como garantimos a aleatoriedade dessa senha, já que temos tendências a procurar por palavras do nosso cotidiano mais imediato?

Método do Dado (diceware)

editar
O método do dado foi criado em 1995 por Arnold Reinhold, através do qual por meio de um dado e uma lista de palavras podemos construir senhas, ou frases senhas, mais seguras. Recentemente o método ficou conhecido porque uma menina de 11 anos abriu um negócio de senhas seguras nos Estados Unidos. Mira Modi passou a vender suas frases senhas por U$ 2 cada utilizando o método do dado, após sua mãe, uma jornalista de especializada em questões de segurança, ficar com preguiça de rolar os dados e dar 2 dólares para a menina fazer por ela.

Utilizando o método do dado

editar
  • Acesse a Lista de 7.776 palavras em Português

[[1]]

  • Serão necessários 5 lançamentos de dados. Os dois primeiros referem-se às páginas (no topo de cada página é possível encontrar dois números separados por vírgula). Os próximos 3 lançamentos referem-se ao número da palavra que será escolhida.
  • Exemplo:
Abaixo um exemplo utilizando o método do dado com um conjunto de 4 palavras:
Texto do cabeçalho Texto do cabeçalho
3,2,5,6,1 falante
2,2,6,5,5 ciclone
5,2,6,1,1 pilha
3,4,4,6,2 furna
senha falante ciclone pilha furna
Para uma maior entropia podemos também utilizar números tirados nos próprios dados:
Senha: falante ciclone pilha furna 325
Temos então uma senha impossível de ser desvendada pelo método de força bruta, sem contar que a engenharia social nesse caso é quase nula, já que os dados que escolheram as palavras.
Para conferir se sua senha é mesmo eficiente contra os métodos de força bruta, pode-se conferir em alguns sites que avaliam a força de sua senha, como em:

[[2]] ou [[3]]. OBS: NUNCA DIGITE SUA SENHA VERDADEIRA NESSES SITES.

Além do alto valor de entropia utilizada na senha, o método do dado nos garante a aleatoriedade de uma senha, tornando os ataques de força bruta, aliados ao método de engenharia social, ineficientes.
Digamos que utilizar esse método para todos seus serviços on-line seria demasiadamente cansativo. Por isso sugerimos a utilização de um Gerenciador de Senhas.