É vital que você seja o único que sabe ou pode adivinhar suas senhas. Mas o que torna uma boa senha? Para entender isso, você precisa saber uma ou duas coisas sobre como os ne’er-do-wells da Internet quebram senhas.
ataques de força bruta
Em segurança digital, adivinhar repetidamente uma senha é chamado de ataque de força bruta. A ideia é simples. Tente todas as combinações de letras e números até encontrar a correta. Esse tipo de tarefa é tedioso, repetitivo, sujeito a erros e demorado para um ser humano. Mas para um computador, a maioria desses problemas se torna trivial.
De acordo com o NordPass, os computadores podem adivinhar entre 10.000 (em um Pentium 100MHz da velha escola) e um bilhão de senhas por segundo (em um supercomputador). Adivinhar um PIN de quatro dígitos (10.000 PINs possíveis) levaria um segundo no pior caso do computador mais lento não encontrando o PIN correto até a última verificação.
Quando se trata de senhas alfanuméricas compostas apenas por letras minúsculas e números (36 caracteres possíveis), uma senha de seis caracteres (36⁶ combinações possíveis de caracteres) pode ser resolvida em 217.679 segundos (2,5 dias) no caso do Pentium, ou cerca de 2 segundos no caso do supercomputador. Esses números são o máximo tempo que leva para forçar as senhas. Isso é inaceitável do ponto de vista da segurança.
No entanto, uma senha complexa como @ndroidPo1ice é mais difícil de adivinhar. É composto por 13 caracteres misturados entre maiúsculas, minúsculas, números e símbolos, dando 94 possibilidades por caractere, o que resulta em 94¹³ (mais de 44 septilhões) combinações de senhas. Esse nível de complexidade é suficiente para frustrar nosso computador de baixa potência, que levaria mais de quatro sexlilhões de segundos (mais de 1,4 quatrilhão de anos) para forçar todas as combinações. Ele também domina nosso computador de alta potência, que levaria mais de 44 trilhões de segundos (1,4 bilhão de anos) para adivinhar.
Ataques de dicionário
Esses cálculos assumem o maior tempo possível, com o computador adivinhando corretamente apenas na última permutação possível de caracteres. O tempo médio necessário para adivinhar uma senha seria cerca de metade do indicado acima. Pior, as pessoas são péssimas em escolher senhas, mas (principalmente) não é nossa culpa. O problema é que as melhores senhas para impedir ataques de força bruta são uma distribuição aleatória de letras, números e símbolos. As senhas mais fáceis de lembrar são compostas de números e palavras que possuem algum significado pessoal. Isso nos abre para uma nova vulnerabilidade: ataques de dicionário.
Esse tipo de ataque é bem-sucedido porque a maioria das pessoas usa palavras comuns em suas senhas. Em vez de testar todas as combinações de todos os caracteres possíveis, um invasor pode testar palavras conhecidas por serem usadas em muitas senhas. Além disso, dada a infinidade de violações de dados na última década, os invasores podem encontrar listas de centenas de milhões de senhas para testar, muito longe dos 44 setilhões de possibilidades em nosso exemplo anterior.
quebra de senha
Outra via de ataque para hackers depende da maneira como os serviços online armazenam senhas. As empresas não salvam uma lista de senhas em texto simples. Fazer isso tornaria os dados do usuário vulneráveis. Em vez disso, eles usam um tipo especial de criptografia para armazenar senhas. A ideia é criar uma função para converter facilmente uma senha em um novo valor de forma que seja difícil determinar o valor original com base no valor convertido.
Desde que as empresas começaram a usar esses algoritmos, os hackers têm trabalhado arduamente para encontrar maneiras de quebrá-los. Alguns, como o SHA-1, foram tão comprometidos que uma simples pesquisa no Google do valor convertido revela a senha original. Outros podem ser quebrados em questão de horas com força bruta por alugando tempo na AWS.
Com a proliferação desses tipos de ataques, um malfeitor precisa apenas da lista de senhas criptografadas e de um pouco de tempo para acessar suas contas.
A solução
Como podemos ter certeza de que ninguém pode adivinhar nossas senhas? Uma boa regra é observar os requisitos modernos de senha das instituições financeiras. Seu banco, por exemplo, pode exigir senhas com pelo menos oito caracteres e uma letra maiúscula, uma letra minúscula, um número e um símbolo. Assim, o exemplo anterior de @ndroidPo1ice verifica todas as caixas.
Em geral, é uma boa ideia ter senhas mais longas e complexas. Mas isso introduz um novo problema. A maioria de nós tem dezenas de contas. Não conseguimos lembrar 50 senhas para 50 serviços. A melhor solução é uma espécie de compromisso. Quando você tiver senhas diferentes para sites diferentes, concentre-se nos importantes que controlam o acesso ao seu dinheiro (Amazon, PayPal, Venmo e contas bancárias) e use uma senha mais simples para suas contas menos vitais (Spotify, TikTok, Discord). Dessa forma, se sua senha for revelada em uma violação de dados, ela minimiza o risco para suas contas mais importantes.
Quanto à criação de uma senha resistente a ataques de força bruta, ataques de dicionário e cracking, concentre-se no comprimento em vez da complexidade. As senhas em potencial podem ser baseadas em um meme (@11yourBase@reB310ng2us), um videogame (theC@k3is@L13) ou um livro (eraO835tOf*eraOW0r5tOf*). Mas evite informações pessoais como aniversários, números de telefone ou apelidos, pois esse tipo de informação pode ser encontrado vasculhando as mídias sociais.
Não há necessidade de lembrar todas as suas senhas
Agora que você tem uma senha incrível que é resistente a técnicas comuns de hackers, você precisa de uma maneira de lembrá-la junto com dezenas de outras senhas que protegem suas contas online. Uma maneira é escrevê-lo. Algumas pessoas têm um notebook apenas para senhas, e não é uma maneira ruim de salvar suas senhas porque um notebook não pode ser hackeado. As duas desvantagens desse método são que você precisa do livro com você para que seja útil e, se você o perder, perderá todas as suas senhas e possivelmente as deu a outra pessoa se ela descobrir quais contas são suas.
Se você está procurando uma solução digital para gerenciamento de senhas, tem duas opções básicas para escolher: nuvem e local. Um serviço de nuvem salva suas senhas em seus servidores e as senhas podem ser acessadas em qualquer lugar de qualquer dispositivo. Com um serviço como este, você só precisa se lembrar de uma senha e o gerenciador de senhas online cuida do resto para você. A desvantagem é que você deve confiar em terceiros para manter suas senhas seguras. Se eles forem hackeados, você será hackeado.
Você também pode optar por uma solução local. Se você não confia em terceiros com a segurança de sua senha, baixe um software que gerencie suas credenciais de seu computador ou telefone. Isso é muito parecido com a versão digital da solução de papel e caneta. Apenas suas senhas são armazenadas em um arquivo criptografado em seu computador, em vez de em um caderno que você guarda na gaveta da mesa. A desvantagem dos gerenciadores de senhas locais é que eles são bons apenas para o dispositivo que você está usando.
Um benefício de usar gerenciadores de senhas é que eles geralmente geram uma senha segura para você. Descobrir qual solução é para você depende de suas necessidades e preferências pessoais, mas algumas são melhores que outras.
O fim das senhas
Mesmo que a necessidade de senhas seguras seja a maior de todas, provavelmente estamos vivendo os últimos dias da senha como a conhecemos. Mais e mais empresas reconhecem as vulnerabilidades inerentes ao confiar apenas em senhas para proteger a segurança da conta e estão recorrendo à autenticação multifator para fortalecer sua segurança.
De acordo com uma pesquisa patrocinada pela empresa de segurança online Duo, o MFA passou de uma nota de rodapé na segurança cotidiana (28% dos entrevistados usaram o MFA em 2017) para uma parte onipresente da experiência online hoje (79% dos entrevistados usaram o MFA em 2021 ). Essa mudança radical se deve em grande parte a grupos como a FIDO Alliance, um grupo da indústria que defende padrões de segurança online mais robustos e a abolição de senhas. E com o apoio dos gigantes do mundo da computação (Amazon, Apple, Google, Microsoft) e do mundo financeiro (Bank of America, Master Card, PayPal, Visa), não demorará muito até que seu telefone, seu rosto ou sua impressão digital é tudo que você precisa para navegar na internet.