Senhas fortes: o que são e como fazer as suas?

Quase todo guia sobre segurança das informações orienta as pessoas a utilizarem “senhas fortes”, mas muitos não explicam o que querem dizer com isso – e às vezes dão até dicas contraditórias entre si. A Istari preparou este material para ajudar a entender o que são as senhas fortes, para que servem e como podem ser usadas das melhores formas. Se quiser só os pontos chaves, há um resumo no final do post; caso contrário, siga a leitura!

Básicos das senhas

Primeiramente, uma senha é, na sua definição básica, um código que serve como forma de reconhecimento e autenticação entre diferentes partes – como entre pessoas ou entre usuários e um serviço –, habitualmente para proteger o acesso a algo, físico ou virtual. Assim, se alguém que não é uma destas partes sabe qual é a senha, ela perde este propósito e, por isso, as senhas utilizadas devem diminuir a chance de que alguém não autorizado as use.

Um dos mais simples métodos para se obter uma senha alheia é a adivinhação. Principalmente no caso de senhas curtas ou combinações numéricas, pode ser muito fácil conseguir descobrir códigos se eles forem óbvios, como datas de aniversário e feriados, nomes de conhecidos e de animais de estimação, times, jogadores e celebridades.

Senhas mais comuns do mundo

Também são fáceis de adivinhas as combinações muito simples, como 123456, 123456789, qwerty, password, 111111, 12345678, abc123, 1234567, password1 e 12345. Estas são as 10 senhas mais comuns no mundo, segundo o Centro Nacional de Cibersegurança (NCSC, na sigla em inglês) do Reino Unido. Uma lista completa das senhas mais usadas no planeta está disponível neste link.

Portanto, as senhas devem aleatórias e não relacionáveis com você de maneira alguma.

A adivinhação, no entanto, não é só manual: com a tecnologia, é possível tentar centenas de milhares de variações de senhas a cada minuto. Alguns dos softwares mais refinados podem inclusive ser programados com informações específicas de um alvo, utilizando primeiramente combinações que envolvam datas, nomes e palavras relevantes daquela pessoa.

Senhas longas e complicadas de adivinhar

Assim, as senhas devem contar com diferentes conjuntos de caracteres – letras, números, variações de maiúsculas e minúsculas e caracteres especiais (!@#$%, por exemplo) – e devem ser longas. Quanto mais longa, mais difícil será que um ataque de força bruta (as tentativas sistemáticas de acertar a senha).

Não reutilizar as senhas

As senhas devem também ser de uso único – ou seja, sem usar as mesmas senhas em diferentes sites ou serviços. São duas as principais razões. Primeiro: vazamentos de contas com suas senhas são, infelizmente, relativamente comuns, mesmo de serviços grandes, como Canva, Dropbox, Epic Games e Linkedin (você pode checar se foi vítima de um vazamento no Have I Been Pwned). Nestes casos, golpistas muitas vezes vão tentar acessar outros serviços com aquelas informações de login, não raro tendo sucesso.

Em segundo lugar, em ataques direcionados, o adversário pode utilizar senhas vazadas para tanto facilitar a adivinhação quanto para entender padrões na formação de senhas – se todas suas senhas são, por exemplo, acontecimentos históricos seguidos pelo ano em que ocorreram, estes parâmetros podem ajudar um programa de força bruta a quebrá-la mais rapidamente.

Trocar as senhas?

Há também quem recomende a troca periódica das senhas. É uma medida que suscita debates: se, por um lado, reduz o tempo que uma senha obtida seria útil para um adversário, ela pode gerar senhas fracas e métodos inseguros de guardar as senhas, como post-its no monitor do computador. Assim, trocar as senhas periodicamente não é algo universalmente recomendável, sendo necessário avaliar sua efetividade na organização e pesar ganhos e perdas.

Há situações, no entanto, que demandam trocas imediatas de senha, como vazamentos de bancos de dados, comprometimento de uma conta e perda, furto ou roubo de equipamentos eletrônicos utilizados para acessar algum sistema ou conta.

Como lembrar de tanta senha complicada?

Com a quantidade de senhas que cada pessoa usa, pode ser difícil de lembrar todas e, para isso, há duas coisas que ajudam muito. A primeira é o uso de uma frase passe (passphrase), que é combinar diversas palavras para formar uma senha, formando frases (não necessariamente com sentido), mantendo as senhas longas mas não tão difíceis de lembrar. Infelizmente, muitos sites não aceitam senhas longas.

Outro recurso que auxilia no cotidiano de quem tem senhas fortes é usar um gerenciador de senhas, um programa para criar e salvar senhas. Há, obviamente, que se tomar algumas precauções – a senha mestra deve ser muito forte e o gerenciador escolhido deve ser preferencialmente livre e de código aberto (FLOSS, na sigla em inglês) e criptografar sua base de dados com segurança.

O programa que recebe ao mesmo tempo recomendações dos projetos PRISM Break, Security in-a-Box e Privacidade.Digital/PrivacyTools é hoje o KeePassXC, FLOSS e multiplataforma. Existem, evidentemente, alternativas, mas dada as avaliações de especialistas no momento, o KeePassXC é hoje a recomendação da Istari.

Não depender apenas das senhas

Apesar de todas as precauções, senhas ainda são sujeitas a descoberta por parte de um adversário. Para diminuir os riscos, uma alternativa é o uso da verificação/autenticação em duas etapas, exigindo, além da senha, algo que apenas o usuário pode fornecer, como uma resposta única, um código gerado por aplicativo com este fim ou SMS (embora seja um método menos seguro, é bastante comum), algo físico – como uma chave USB – ou verificação biométrica (algo que gera seus próprios debates sobre segurança e privacidade).

De qualquer maneira, é geralmente recomendável o uso da autenticação em dois fatores nos serviços que oferecem esta possibilidade, dando mais uma camada de proteção para a conta e suas informações.

Resumindo, suas senhas devem ser:

• Longas. Quanto mais caracteres, melhor.
• Com diversos conjuntos. Variando entre maiúsculas, minúsculas, números e símbolos, mais difícil de ser quebrada.
• Anônimas. Não devem ser relacionadas diretamente a você, seus gostos, hábitos, datas e família.
• Únicas. Não devem ser reutilizadas em diferentes serviços ou montadas com os mesmos padrões.
• Podem ser frases-chave, para aumentar sua complexidade mas mantendo-se relativamente fáceis de lembrar.
• Podem ser guardadas (e criadas) num gerenciador de senhas seguro.
• Podem ser combinadas com a autenticação em dois fatores, dando mais uma camada de proteção.

Uma pequena nota final de pedidos para quem desenvolve sistemas que exijam senhas: permita que os usuários utilizem senhas longas; proteja decentemente a base de dados; utilize recursos como funções hash e salt; limite a quantidade de tentativas seguidas de login; ofereça alternativas seguras de autenticação com dois fatores.