Usar senhas iguais em sites diferentes e escolher palavras fáceis de lembrar e datas são as práticas mais comuns feitas por usuários - e as mais perigosas.
Eu não quero te assustar… Bom, na verdade, eu quero sim! O modo como você define as suas senhas, se é que você tem uma técnica para isso, pode estar desatualizado. Há alguns meses ocorreram diversos ataques a grandes serviços online, que resultaram no vazamento de senhas dos usuários na rede.
Por exemplo, em junho de 2012, mais de 6 milhões de senhas do LinkedIn foram roubadas e publicadas na web. Se você ainda não considerou o modo como cria e utiliza as suas senhas, agora é uma boa hora para pensar no assunto. Aqui estão algumas dicas importantes sobre senhas que talvez você nunca tenha notado - e nem tenha percebido o que elas podem representar para você.
O perigo de reutilizar senhas
Você sabe como funciona: toda vez que você deseja usa um serviço online, é preciso criar uma nova senha. Isso é algo chato de se fazer, então muitas pessoas recorrem a atalhos. Mas esses atalhos podem colocá-lo em risco.
Considere a prática de utilizar a mesma senha em vários sites. Suponha que você fez uma conta no LinkedIn e optou por colocar a mesma senha que você usa no seu GMail. Então, em junho, você foi uma das vítimas que teve a senha roubada. O cracker que sabe da sua senha no LinkedIn pode muito bem tentar testá-la em outros serviços online populares. Para ele conseguir acessar o seu e-mail, de repente, se tornou algo fácil.
Isso não é um problema apenas porque alguém pode ler as suas mensagens ou deletar a sua conta, mas porque você pode utilizar esse mesmo endereço de e-mail para acessar ou redefinir senhas de outros serviços. Se o cracker clicar em "esqueci minha senha" em algum outro site, ele pode verificar esse e-mail para ter acesso a contas que utilizam outras senhas. O simples fato de usar a mesma senha em dois lugares pode acarretar graves problemas.
A melhor maneira de não reutilizar senhas é recorrer a um gerenciador, como o 1Password (que custa 40 dólares) e o LastPass (o serviço é gratuito, e a versão premium custa 12 dólares por ano). Essas ferramentas podem gerar senhas para você, armazená-las de forma segura e preencher os campos dos sites em um clique.
Você tem truques para definir senhas? Crackers sabem disso
Quando você se encontra em uma situação em que precisa de uma nova senha, a próxima grande ideia - depois da reutilização de senhas - é optar por algo que seja fácil de lembrar e de digitar. Como nas listas que vazaram na rede e como mostra outra pesquisa de segurança, um número alarmante de pessoas usa o clássico "123456", "password", "baseball" e outras combinações simples. Isso significa que essas palavras e as outras diversas milhões de senhas comuns serão as primeiras opções que um cracker irá tentar para invadir uma conta.
Palavras comuns de dicionário, nomes e datas também são fáceis de verificar e devem, portanto, ser evitadas.
Acrescentar um número a uma palavra comum ("senha1" ou "baseball9") é um método frequentemente utilizado para cumprir a regra do "deve conter um dígito", assim como substituir números ou símbolos por letras. Você sabe, coisas como "p@ssw0rd" ou "b4s3b411" e usar padrões de teclas no teclado, como "edcrfvtgb”.
O problema é que os crackers estão bem conscientes de tais técnicas. Assim que alguém inventa um novo método para criar senhas melhores (como encher uma senha mais curta com pontuações repetidas), os criminosos adaptam seus métodos de acordo, eliminando qualquer vantagem que a nova técnica possa oferecer.
Você quer que suas senhas sejam indecifráveis, até mesmo por alguém mais esperto que você! A melhor maneira de fazer isso é escolher sequências aleatórias de caracteres, incluindo letras maiúsculas e minúsculas, números e sinais de pontuação. No entanto, é muito difícil para um ser humano criar uma senha realmente aleatória, mas é fácil para um computador. Então, mais uma vez, usar um gerenciador de senhas em vez de seu cérebro é o melhor caminho.
14 é o novo 8
Suponha que um cracker está determinado a entrar em sua conta, e os métodos mais rápidos e fáceis de hacks (como a verificação de palavras em dicionário ou substituições comuns) falharam. O que fazer, então? O próximo passo consiste em usar força bruta para tentar cada combinação de senha possível. Infelizmente, está cada vez mais fácil encontrar combinações usando essa técnica.
Alguns anos atrás, esperava-se que um sistema razoavelmente poderoso fosse usado para verificar um milhão de senhas possíveis por segundo. Hoje, um único PC comum pode verificar vários bilhões de senhas por segundo e uma rede de computadores pode verificar muitas vezes esse número. Muitos sistemas possuem medidas de salvaguarda que limitam a frequência com que as senhas podem ser adivinhadas, ou mesmo desligam depois de um determinado número de tentativas incorretas. Mas, se um invasor tem acesso direto aos dados protegidos por senha e já não tem que passar pela "porta da frente", por assim dizer, essas proteções se tornam irrelevantes.
Como resultado, o que diziam a você sobre o que conta para a escolha de uma senha segura pode não ser mais válido. Por exemplo, a fim de se proteger contra um ataque de força bruta, uma senha com oito ou nove caracteres aleatórios não é mais suficiente. Especialistas agora recomendam senhas mais longas, muitas vezes de 12 a 14 caracteres. E isso é para senhas geradas aleatoriamente por um computador. As que você cria com as próprias mãos devem ser quase sempre maiores, para ter força equivalente.
Todos os gerenciadores de senha permitem que você selecione o tamanho da combinação que você deseja, e o meu conselho é que, para qualquer senha que possa ser inserida por você em um aplicativo (ou copiada e colada), opte pela combinação mais longa que o serviço de destino aceitar. Afinal, a mesma tecla que preenche uma senha de nove caracteres pode preencher uma com 14.
