quinta-feira, 9 de junho de 2011

Criando senhas seguras (ou você têm exatamente 3 senhas)

Hoje vamos falar de algo diferente. Vamos falar de senhas. Vi um artigo no Hacker News sobre senhas e resolvi falar um pouco sobre o assunto.

Primeiramente, repetindo o título do artigo, você têm exatamente três senhas, não é mesmo?

Você têm exatamente três senhas. A primeira delas você usa para todos aqueles logins que você não dá muita atenção e que não possuem nada de importante que possa ser alvo de roubo de identidade. É a senha que você usa quando um site qualquer solicita que você "crie uma conta gratuita" para fazer alguma coisa, e que você provavelmente não voltará mais a entrar.

A segunda senha, é uma senha mais elaborada. Uma senha de média segurança. Na maioria das vezes, têm entre 8 e 12 caracteres alfanuméricos, e muito improvavelmente, não possui caracteres especiais. Esta é a senha que você usa no seu e-mail, no facebook, no MSN e em outros serviços que você preze um pouco pela segurança.


A terceira senha é a que você usa para contas bancárias, ou para aquele único e-mail que serve de canal para centenas de serviços (Obrigado Google) ou para aquele seu perfil fake que você não quer que ninguém descubra. Essa senha é mais elaborada, e em alguns casos, você a criou sem usar nenhuma informação pessoal sua.

Ou, como na grande maioria dos casos, você possui só uma senha, que compartilha com todos os serviços citados aí em cima. A maioria das pessoas não dá muita atenção às suas senhas e, ainda arrisco dizer, que a maioria esmagadora não têm sequer um gerenciador de senhas ou uma política de senhas. Too bad for you.

Vocês lembram o que aconteceu com a Sony há algumas semanas? Segundo o link do começo desse post, a maioria das pessoas usava a mesma senha do Facebook para se conectar na rede da Sony. E ninguém pode se considerar seguro quando se trata de senhas. Então, vamos aprender um pouco do bê-a-bá da segurança de senhas ...

Política de criação de Senhas

Criar senhas fortes e seguras para TODOS os serviços online que você usa, e mantê-las seguras, não é algo que você deveria pensar em fazer ...


... é algo que você deveria ser obrigado a fazer!

Um dos problemas da maioria das senhas usadas hoje em dia é senhas seguras são fáceis de esquecer. Em um esforço para não se esquecer dessas senhas, as pessoas usam coisas simples como o nome do cachorro/gato/cobra/periquito, nome dos filhos/pais/avós, datas de nascimento, qualquer coisa que lhes dê um gatilho para lembrar facilmente das suas senhas.

O problema é que, para uma pessoa realmente curiosa por sua vida, conseguir descobrir senhas como estas não exigirá nenhum tipo de ferramenta especializada. Simplesmente uma engenharia social da sua vida lhe dará informações suficientes para quebrar quaisquer dessas senhas. E se você é uma pessoa pública - e por pessoa pública, entende-se: com facebook/orkut/twitter - as coisas ficam ainda mais facilitadas.

Mas, o que fazer para criar senhas fortes e ao mesmo tempo, que são fáceis de se lembrar? É até simples: imaginação.

Uma boa senha não precisa ser enorme, apesar que senhas muito grandes são mais difíceis de quebrar. No entanto, uma senha de 8 ou 10 dígitos, bem construída, pode ter o mesmo efeito de uma grande senha de 36 caracteres. Falo isso pelas minhas senhas.

Então, vamos citar os principais pontos para a construção de senhas fortes:

  • Não usar informação pessoal - É um dos pontos mais fáceis de serem descobertos, pois você deve pressupor que suas informações pessoais podem ser acessíveis por quaisquer pessoas;
  • Misturar diferentes caracteres - Usar caracteres pouco comuns como símbolos ou mesmo números misturados com letras ou usar letras maiúsculas e minúsculas aumenta a complexidade da sua senha sem que, no entanto, se torne incompreensível;
  • Usar frases - Muitas vezes, usar frases como senhas podem não ser uma boa solução, mas você pode usar a técnica acima para tornar a senha mais difícil de ser detectada;
  • Evitar sequências ou palavras comuns - A grande maioria das senhas é simplesmente uma palavra, ou mesmo o usuário seguido de uma sequência numérica, por exemplo usuario123, sendo usuario o login;
  • Substituir letras por símbolos - Da mesma forma que a mistura de letras com números aumenta a segurança da senha, trocar letras por símbolos pode tornar sua senha realmente forte.

No entanto, mesmo que você siga estas regras acima, isso não é suficiente. Se você criar uma única senha forte e a usar em todos os sites que você frequenta, você terá um outro problema. Se um desses sites for invadido, o invasor terá - em teoria - acesso à qualquer serviço que você use com esta senha. Por isso, o mais importante é que além de criar uma senha forte, é mais do que importante que você crie senhas diferenciadas para os serviços que você realmente não quer sendo invadidos.

A minha política de senhas é a seguinte:

  1. Uma senha bastante forte (36 caracteres) para o Gmail;
  2. Senhas fortes (entre 12 e 24 caracteres) para Twitter, Facebook, Hootsuite, Skype;
  3. Um template de senha pré-construída (site-senha), para usar com vários dos pequenos serviços que oferecem "contas gratuitas" por aih;
  4. Senhas para uso em projetos da faculdade (fáceis, distribuíveis).



A especificação está de acordo com a minha política de senha, mas não reflete exatamente a minha política. É mais um exemplo baseado no que eu uso.

Se você está curioso, pode testar a força da sua senha usando o site passwordmeter.com. Ele vai te dar estatísticas interessantes para a suas senhas. Nas imagens acima, há dois exemplos de senhas que eu já usei e não estão mais em uso.

Conclusão

Gerar senhas fortes é nossa única linha de defesa contra qualquer tipo de incidente de segurança. Usar senhas individuais aumentam a segurança por limitar o campo de ação de alguém tentando obter informações sensíveis ou mesmo roubar suas contas.

Você não possui uma chave diferente para cada cômodo da sua casa, e chaves especiais, codificadas para seu carro, para o alarme, e até para sua empresa? Por que suas senhas não podem seguir o mesmo padrão de qualidade? Pense na senha como uma chave. Ter uma mesma chave que abre seu carro, sua casa e sua empresa é a mesma coisa de não ter chave nenhuma.