Ao longo dos anos, foram inventados muitos truques com palavras-chave, tais como a utilização de uma fórmula ou o mastigar de palavras memoráveis. No entanto, os hackers estão a ficar sábios com os nossos métodos e inventaram toda uma série de ferramentas super-rápidas para decifrar os nossos (outrora seguros) códigos de palavra-passe. Em 2018, o “Verizon Data Breach Report” afirmava que:
“81% das infracções são causadas por palavras-passe fracas ou reutilizadas”
Por conseguinte, nunca é demais salientar a importância de nunca reutilizar as palavras-passe. A reutilização de palavras-passe cria uma séria fuga na sua segurança de dados quando está online.
Tabela de Conteúdos
Então, como pode criar uma palavra-passe verdadeiramente intransponível – de que se possa realmente lembrar?
Há vários problemas com a obtenção de uma palavra-passe segura que se lembrará de facto.
Em primeiro lugar, aconselha-se a utilização de uma palavra-passe diferente para cada sítio web.
Quero dizer – o quê?
Como é que nos podemos lembrar de 100 (estranhas) senhas?
Depois, há o facto de que, se se conseguir lembrar da palavra-passe, então alguém pode provavelmente descobri-la… Além disso, guardar 100s de palavras-passe numa folha de cálculo Excel ou GoogleDrive não é certamente seguro.
Uma coisa a lembrar é que se usar uma “nova fórmula secreta segura” que tenha sido partilhada online, as hipóteses são – não é o único a usar essa fórmula. Por conseguinte, os modelos ou fórmulas só são realmente seguros desde que ninguém conheça o seu método. No momento em que é partilhada, a fórmula já não é segura.
Partilhar fórmulas de senhas limpas é interessante, e vamos analisar um pouco o assunto. No entanto, deve haver métodos mais fiáveis que possamos utilizar para manter as nossas palavras-passe seguras e memoráveis. Neste artigo, iremos aprofundar as opções actualmente disponíveis.
Criar uma palavra-passe segura e memorável
Se a quebrarmos, há três chaves para criar uma palavra-passe segura:
- PASSO#1 | Criação da palavra-passe
- PASSO#2 | Proteger a palavra-passe
- PASSO#3 | Recordar a palavra-passe
Antes de pensarmos em qualquer uma das anteriores, é uma boa ideia obter alguma compreensão de como os hackers decifram as palavras-passe. Então poderemos ser capazes de inverter este processo para assegurar que criamos palavras-passe verdadeiramente seguras.
Como é que os Hackers decifram senhas?
Os hackers utilizam ataques de adivinhação de palavras-passe offline para adivinhar as suas palavras-passe. O seu primeiro objectivo é transformar o ficheiro encriptado em palavras-passe não encriptadas. Hoje em dia os hackers têm acesso a software de cracking de senha de força militar. Se o hacker tiver uma máquina potente, pode testar milhões de palavras-passe por segundo até adivinhar a palavra-passe correcta.
Acho que um dos problemas que enfrentamos é que as pessoas têm acesso a um kit poderoso, que pode adivinhar inteligentemente senhas, mais rápido do que nunca. De facto, existe actualmente um software no mercado que afirma fazer 8 milhões de tentativas por segundo. Originalmente este tipo de tecnologia só estava disponível para organismos governamentais, como a polícia, mas agora os hackers têm livre acesso para poderem executar este tipo de hackathon durante dias ou semanas em muitas máquinas.
Senha Anatomia
Normalmente uma fórmula de senha é composta por uma raiz mais um apêndice (sufixo ou prefixo). O software para decifrar palavras-passe tornou-se muito sofisticado. Verificam palavras de dicionário em várias línguas e até verificam substituições comuns como “1” por um “I” ou “3” por um “e”. Os hackers também utilizarão qualquer informação pessoal que tenham sobre a pessoa e introduzirão esta informação no software para gerar possíveis palavras-passe.
O velho conselho era de juntar muitas palavras de forma aleatória, no entanto, este conselho já não é aplicável, pois os hackers podem aceder a este tipo de senha em milissegundos. Há um método que é relatado para funcionar. Este é um método concebido em 2008 por Bruce Schneier, um perito em segurança.
14 Passos para Criar a Senha Perfeita
#1 | Evitar palavras-passe fáceis de decifrar
Ficaria surpreendido com a quantidade de pessoas que usam palavras-passe fáceis de decifrar. Senhas como senhas ou QWERTY são o sonho de um hacker – podem ter acesso às suas contas em segundos com senhas como estas.
Outro erro comum é a utilização de informação pessoal dentro de palavras-passe. Por exemplo, utilizando o seu nome, ou nome de família dentro da sua palavra-passe. Já perdi a quantidade de vezes que vi pessoas usar o nome do marido, da mulher, ou dos filhos e aniversários dentro das suas palavras-chave. Hoje em dia não é preciso um detective para encontrar esta informação em questão de minutos.
Pode ter notado que ao criar uma palavra-passe, a empresa, o software, ou o website que está a utilizar pode fazer algumas sugestões para si. Por exemplo, incluindo letras maiúsculas e minúsculas, com uma combinação de números, pontuação, e pelo menos oito caracteres de comprimento. A razão para estas sugestões é porque tornam muito mais difícil aos hackers decifrar palavras-passe não inglesas.
#2 | Familiaridade críptica
Criar uma palavra-passe que lhe seja familiar é uma boa maneira de se lembrar da sua palavra-passe. No entanto, como sabemos, isto pode ser prejudicial, uma vez que pode ser fácil para os hackers rachar. Com mais de 66% da população a utilizar as redes sociais, não é difícil para os cibercriminosos encontrar informações pessoais sobre si.
Se conseguir gerar uma palavra-passe que seja difícil de decifrar mas simples de lembrar, terá um vencedor. Algo como “O meu filho tem 5 anos no próximo mês” pode ser codificado em MSi5yOnM. Isso pode parecer confuso, mas é uma frase que se lembrará facilmente e seria quase impossível para um hacker ceder.
É bastante comum que as pessoas utilizem outros métodos para se lembrarem da sua palavra-passe de forma semelhante. Por exemplo, uma rima infantil ou a sua canção favorita. Mais uma vez, trata-se de combinar letras maiúsculas e minúsculas. “Humpty Dumpty sentou-se numa parede, Humpty Dumpty teve uma grande queda” transforma-se em HDsoaWHDhaGf – fácil de lembrar, difícil de contornar.
Levando os exemplos acima um passo à frente, podemos substituir caracteres por símbolos, números, e pontuação. Isto pode ser um pouco mais difícil de lembrar no início, mas habituar-se-á ao método muito rapidamente. Pode fazer as suas próprias regras nesta, por exemplo, substituir a letra ‘i’ por um 1 e ‘a’ por um 4. Vamos pegar na frase Natal2018 e criar uma senha forte do Chr1stm4s2018!
#3 | Datas memoráveis
Se ler a introdução a este post, pode estar a perguntar-se porque é que estou a incluir datas memoráveis como palavra-passe segura. Uma sequência de números pode muitas vezes ser mais fácil de lembrar do que frases, mas por vezes mais fácil de rachar se os números forem demasiado óbvios.
Evitar usar aniversários ou datas óbvias a que um criminoso cibernético poderia facilmente aceder. Pense nas suas informações pessoais que estão publicamente disponíveis; meios de comunicação social, blogs, etc. e e evite quaisquer datas que possa ter mencionado ou publicado nestas contas.
Em vez disso, pense um pouco mais fora da caixa. Talvez se possa lembrar de uma data em que foi de férias pela primeira vez, ficou no seu primeiro hotel, patinou no gelo, etc. Este tipo de informação é muito mais difícil de adivinhar, mas mesmo assim deve ser fácil de lembrar.
Para este método, pense em 3 datas memoráveis, como por exemplo:
- 24/01/88
- 19/12/91
- 06/05/01
Substituir as barras (/) por um carácter diferente, como um ‘v’ e os espaços entre datas por um sublinhado (_). Pode adicionar um carácter especial ao fim da palavra-passe para a tornar extra segura. Deve-se acabar com algo assim: 24v01v88_19v12v91_06v05v01!
Embora a palavra-passe seja longa (e poderá ter de a adaptar dependendo do sistema que estiver a utilizar), é provavelmente a palavra-passe mais forte que vai obter! Desde que se lembre das datas e das personagens que utilizou para substituir, está a ganhar!
#4 | Padrões de teclado
Este método pode ser adaptado em função do dispositivo que estiver a utilizar. A ideia por detrás disto é utilizar padrões de teclado para gerar e lembrar uma palavra-passe que é essencialmente sem sentido e que seria muito difícil para um hacker decifrar.
Tomando o exemplo da imagem acima, podemos usar um padrão para criar uma senha memorável: 1QAZ2wsx3EdX. notará que utilizei uma combinação de letras maiúsculas e minúsculas dentro do padrão (maiúsculas para a primeira linha, minúsculas para a segunda, e uma mistura para a terceira). É um padrão dentro de um padrão – início de um padrão!
Este método pode ser adaptado ao dispositivo que está a utilizar. Por exemplo, se estiver a utilizar um smartphone mais regularmente do que um PC de secretária, pode utilizar padrões diferentes que estão disponíveis no teclado do seu dispositivo.
Os hackers poderiam usar software para executar algoritmos que poderiam gerar palavras-passe usando cada combinação de teclado. No entanto, seria difícil, e pode tornar-se ainda mais problemático para eles se o padrão for mais complexo. Tente evitar linhas horizontais simples e introduza diagonais.
#5 | Altere a sua palavra-passe
Pode parecer um pouco doloroso ter de alterar a sua palavra-passe regularmente, mas irá mantê-lo seguro. Muitas empresas terão construído um software que requer que você (como empregado) altere a sua palavra-passe de 30 em 30 dias ou mais. A razão para isto é assegurar que a conta permanece segura e protegida.
Recordar as palavras-passe que já tem pode ser difícil, e acrescentar mais no topo pode parecer assustador. Contudo, se utilizar os métodos que mencionei acima, pode certificar-se de que se lembra da sua palavra-passe! Alterá-lo regularmente não parecerá então uma tarefa impossível.
Talvez pudesse memorizar várias frases do seu livro preferido. Ou letras da sua canção favorita – estas são frequentemente inesquecíveis e fáceis de recordar de memória. Usando uma familiaridade críptica, pode gerar senhas usando um livro ou uma canção, e alterá-las regularmente sem as esquecer.
#6 | Esteja vigilante sobre onde guarda as suas palavras-passe
Nunca guarde as suas palavras-passe num local de fácil acesso (ou de todo o acesso). É tentador escrever todas as suas palavras-passe, ou mesmo guardá-las sob um contacto no seu telefone. Mas, se fizer isto, está a abrir as suas contas para ser pirateado!
De acordo com a Sky High Networks, 143 ficheiros no OneDrive da Microsoft contêm a frase ‘password’ dentro do nome do ficheiro. O armazenamento partilhado ou armazenamento em nuvem pode ser facilmente pirateado, por isso, se carregar uma folha de cálculo ou documento para a nuvem sem encriptar, as suas palavras-passe podem ser decifradas.
Guardar palavras-passe no seu computador (sem encriptação) é uma das piores coisas que pode fazer. Embora haja muito software disponível para impedir que o seu computador seja acedido por hackers, é difícil estar 100% seguro. E se levar o seu portátil a um café local e se ligar a um WiFi público? Ou liga-se à rede do seu amigo que não é segura?
É essencial estar vigilante quanto ao armazenamento das suas palavras-passe, se vai armazenar palavras-passe. Pense em procurar um gestor de senhas ou formas de encriptar ficheiros para garantir que não se está a abrir para ser vítima de crime cibernético.
#7 | Use um gestor de senhas
Se tiver tantas senhas para recordar e achar que não as consegue gerir, talvez valha a pena considerar um gestor de senhas. Precisará simplesmente de uma senha muito forte para se lembrar, e essa deverá ser a última vez que precisará de se lembrar de uma!
Há muitos gestores de senhas disponíveis. Muitos deles, tais como Dashlane, vêm com aplicações para múltiplos dispositivos e plataformas, bem como navegadores web. Isto significa que pode aceder a palavras-passe de todos os seus dispositivos num único local de fácil acesso.
Muito provavelmente terá acesso a um painel de segurança onde poderá alterar as palavras-passe existentes e utilizar ferramentas para o ajudar a permanecer seguro. Embora o seu gestor de palavras-passe possa gerir as suas palavras-passe, terá ainda de assegurar-se de que as palavras-passe que criar são fortes em primeiro lugar.
#8 | Esquema Schneier
Bruce Scheier é um criptógrafo americano e profissional de segurança informática que criou um sistema de palavra-passe popular. Para se certificar de que a sua palavra-passe é segura, deve criar uma palavra-passe que não possa ser decifrada pelos métodos acima referidos. O método de Schneier parece ser bastante robusto e também memorável. Vejamos como funciona.
Primeiro começa-se por criar uma frase memorável e depois cria-se uma palavra-chave com ela. Um exemplo poderia ser algo como “Colin the caterpillar – cola gums yum” poderia ser transformado em “Ctc-C0L@gmsym”. Esta é uma palavra-passe de 13 dígitos que não é composta por quaisquer palavras que possam ser pirateadas. O melhor conselho é escolher algo pessoal para si.
Se o site permite senhas mais longas com caracteres aleatórios, então isso é óptimo. No entanto, poderá ser necessário utilizar algumas versões mais curtas para alguns sites.
#9 | Senha Segura
Enquanto falamos de Bruce Scheier, temos de olhar para a Senha Segura e como ela nos pode ajudar a criar e assegurar as nossas senhas. O cofre de senhas é como um cofre virtual no qual pode guardar todas as suas senhas. O software é reverenciado por muitos e já teve mais de 4 milhões de downloads. É completamente livre e destina-se a remover a dor de cabeça da criação e memorização de palavras-passe seguras.
O cofre com senha permite-lhe guardar tantas senhas quantas quiser. Para aceder às vossas palavras-passe, fazem-no através de uma “palavra-passe principal”. Assim, já não tem de se lembrar de 100s de passwords seguras com Password Safe, phew! Que alívio. Devido ao facto de os peritos serem inflexíveis quanto à necessidade de uma senha diferente para cada site, o Password Safe parece tirar um enorme peso dos nossos ombros, ajudando-nos a manter as nossas senhas seguras e protegidas.
#10 | O Método PAO
Se por qualquer razão não estiver satisfeito em manter todas as suas palavras-passe num único lugar como “Senha Segura”, então talvez o Método PAO seja para si. A forma como este método funciona é através da utilização de um tema de história Pessoa-Acção-Objecto (PAO) como uma técnica de memorização com métodos mnemónicos para o ajudar a criar uma palavra-passe segura que possa ser lembrada. Esta fórmula foi criada por um cientista informático da Carnegie Mellon University que apresentou este método como solução para a criação de palavras-passe memoráveis e inquebráveis.
Esta é a forma de utilizar o método PAO para criar palavras-passe seguras, memorizáveis e seguras:
Traga à mente um lugar memorável (La Palma). Depois escolha uma imagem de uma pessoa famosa (A Rainha). Depois a parte final é imaginar uma acção e um objecto aleatório para juntar a história (A Rainha a saltar num castelo saltitante em La Palma).
PESSOA:- A Rainha (TQ)
ACÇÃO: Saltar sobre um (jmp1ng)
OBJECTO: Castelo saltitante (@bc)
Localização: La Palma (L@Plma)
A nossa nova palavra-passe segura de 17 dígitos poderia ser: TQjmp1ng@bcL@Plma
Este método é divertido e curioso – portanto, mais memorável. Pode passar algum tempo a inventar temas malucos e a criar palavras-passe de que se lembrará por causa das filas cognitivas. A senha será completamente aleatória para os outros, por muito memorável que seja para si. Perfeito!
#11 | Guerrilla Mail
Em seguida, gostaria de analisar um website que tenha algumas ferramentas que penso que serão relevantes para as pessoas que utilizam (ou estão interessadas em utilizar) uma VPN. Primeiro, vejamos as suas aplicações seguras e memoráveis de palavras-passe, e depois voltarei à possível aplicação VPN para as suas soluções.
A Guerrilla Mail oferece (o que inicialmente parece) uma solução semelhante à Password safe, na medida em que oferece uma ferramenta de Gestão de Password. Contudo, o seu serviço tem uma reviravolta única… não guardam os seus dados na nuvem nem utilizam cookies. Utiliza uma Master Passphrase que ninguém jamais conhecerá, por isso é super importante se utilizar o seu serviço, que se lembre da sua Master Passphrase.
Como funciona – Primeiro decide-se por uma Master Passphrase, depois introduz-se o website que se está a visitar. É então gerada uma palavra-passe segura para que possa utilizar nesse website. A senha segura não é armazenada na base de dados do Guerrilla Mail, é gerada quando se introduz a URL e a Master Passphrase. A beleza deste sistema é que permite utilizar uma palavra-passe (a Master Passphrase) para gerar todas as outras palavras-passe. Isto significa que não precisa de se lembrar de 100’s de palavras-passe.
A única desvantagem possível seria se alguém conhecesse a sua Master Passphrase e soubesse que você usou o sítio web. Neste caso, teriam acesso a todas as suas palavras-passe. Esta é uma sequência muito improvável de eventos que provavelmente só aconteceria se não utilizasse uma VPN ou se mantivesse uma cópia impressa ou física da sua Master Passphrase e da conta Guerrilla Mail.
O Guerilla Mail também oferece um endereço de correio electrónico anónimo que tem muitos benefícios. Em primeiro lugar, elimina o correio electrónico não solicitado e também o endereço de correio electrónico temporário poderia ser utilizado em conjunto com uma VPN segura como a Trust.zone. Se utilizasse uma VPN segura com um e-mail temporário e Bitcoin para pagar o serviço, então estaria na posição de completo anonimato da Internet.
#12 | Último passe
O Last Pass é uma solução muito popular de gestão de senhas que oferece tanto um serviço pago como um serviço gratuito. O LastPass funciona como uma extensão do navegador a que se pode aceder facilmente com um clique. Tal como o Guerilla Mail, é necessário criar primeiro uma palavra-passe memorável, por isso usando o Método PAO ou o Esquema Schneier – ou outro método à sua escolha, crie uma palavra-passe segura memorável.
LastPass tem uma área de membros a que chamam “The Vault” que aloja o acesso a todos os seus sítios favoritos. A LastPass também tem uma secção chamada “Notas Seguras” que foi concebida para manter registos digitais sensíveis como seguros e contas de saúde. Também pode auditar as suas senhas para garantir que são mantidas em segurança, partilhar senhas com membros da família e adicionar todos os detalhes do seu cartão de crédito na plataforma deles para que possa pagar com um clique.
Pessoalmente, estaria um pouco hesitante em dar a um website todos os meus dados. No entanto, a LastPass assegura que utilizam a mais forte encriptação AES-256 bit com PBKDF2 SHA-256 e hashes salgados. Além disso, todos os dados são encriptados ao nível do dispositivo para que a LastPass não tenha acesso aos seus dados. Além disso, eles implantam – autenticação de dois factores (também conhecido como multifactor ou 2FA) que requer que execute um segundo passo (por exemplo, adicionar um código do seu telefone) antes de ter acesso à sua conta.
#13 | 010 Memorizador
010 Memorizer é um software gratuito que pode descarregar para o ajudar a criar uma palavra-passe segura e memorável de uma forma divertida. O sistema também pode ser utilizado para memorizar outros números como números da segurança social, “endereço IP” e números de telefone, etc. A ideia por detrás de 010 Memorizer é que é muito mais fácil lembrar imagens vívidas do que lembrar números.
Sejamos realistas, independentemente da forma como encaramos a questão, mesmo quando se usa um gestor de senhas, vai ter de (no mínimo) criar uma senha memorável e segura. Por isso, porque não deixar 010 Memorizer ajudar. Pode utilizar o software para encontrar palavras que possam ser utilizadas para memorizar números.
O exemplo que eles dão no seu site é:
Se estiver a tentar lembrar que o número de ossos de uma mão é 27, converta o número 27 para a palavra INK. Agora associar INK com uma mão: imagine partir uma caneta e tinta a esguichar nas suas mãos. Não pense num pouco de tinta – coisa de um RIVER de tinta derramada nas suas mãos e derramada no chão, acabando por cobrir toda a sala. Palavras de acção como ‘jorrar’ ou ‘explodir’ funcionam normalmente bem ao criarem uma imagem vívida na sua mente”.
Por isso, aí tem, pode usar o software 010memorizador para o ajudar a criar palavras-passe vívidas e também a lembrar outras cadeias de números difíceis de lembrar.
#14 | Quão segura é a minha palavra-passe
How Secure is My Password – é uma ferramenta gratuita e realmente simples que lhe dirá se a password que criou é forte. O site é realmente fácil de usar, basta ir ao seu URL e introduzir a sua palavra-passe na caixa de texto grande.
O site estimará então quanto tempo levaria um hacker a adivinhar a sua palavra-passe. Decidi verificar “TQjmp1ng@bcL@Plma” – a senha que criei acima com o método PAO para testar o quão bom esse método é realmente.
O resultado foi bastante excitante, comunicaram-me de imediato que:
Seria necessário um computador com cerca de 93 TRILHÕES DE ANOS para decifrar a sua palavra-passe
Boa!
Apenas por interesse, queria testar a minha palavra-passe “Schneier Scheme” em comparação (para ver qual o método de geração de palavra-passe mais seguro):
Esta é a minha palavra-chave Schneier: Ctc-C0L@gmsym
Aqui está o meu resultado:
Mais segurança nas suas contas
Para garantir que as suas contas são mantidas em segurança, é uma óptima ideia certificar-se de que liga a autenticação de dois factores. Conhece a autenticação que envia um código para o seu telefone – esse tipo de coisa! Nem sempre está disponível, mas quando está, então tire partido desta grande característica de segurança. Proporciona níveis de segurança adicionais porque mesmo que os hackers consigam obter a sua palavra-passe, não conseguirão realmente entrar na sua conta.
Em Conclusão
Se está de alguma forma preocupado com a sua protecção de dados quando está em linha, então os métodos acima oferecem algumas grandes abordagens tanto para gerar como para gerir palavras-passe seguras e memoráveis. As empresas têm frequentemente de lidar com palavras-passe para clientes que são lembradas nas definições de cookies (se não utilizarmos uma VPN) ou que precisam de ser armazenadas em segurança.
Quando lidamos com dados de outras pessoas, devemos ter um cuidado extra para manter os dados em segurança. Contudo, mesmo o utilizador regular da Internet precisa agora de prestar atenção à forma como gere as suas palavras-passe para optimizar a sua segurança.