Lidar com senhas é parte fundamental da vida na internet. As senhas protegem tudo, desde nossas contas em plataformas como Spotify, YouTube e Twitch até contas mais importantes, como contas do PayPal.
Elas são as chaves para as fechaduras digitais em nossa propriedade online e, como tal, desempenham um papel importante na proteção de nossas vidas contra pessoas com más intenções. Portanto, é importante que você seja o único que saiba suas senhas.
Mas o que faz uma senha ser considerada realmente segura? Para entender isso, você precisa saber algumas coisas sobre como as pessoas na internet descobrem uma senha.
Ataques de força bruta
No mundo da segurança digital, tentar adivinhar repetidamente uma senha é chamado de ataque de força bruta. A ideia é tentar utilizar todas as combinações de letras e números possíveis até encontrar a certa. Para um humano, esse tipo de tarefa seria chato, cansativo, repetitivo, propenso a erros e demorado. Porém, para um computador, a maioria desses problemas se torna trivial.
De acordo com o NordPass, os computadores podem adivinhar entre 10.000 (antiga escola Pentium 100 MHz) e um bilhão de senhas por segundo (supercomputador). Descobrir um código PIN de quatro dígitos, por exemplo, que possui 10.000 combinações possíveis, é uma tarefa levaria em torno de um segundo para um computador mais antigo e lento.
Quando se trata de senhas alfanuméricas, que consistem apenas de letras minúsculas e números (36 caracteres possíveis), uma senha de seis caracteres (36⁶ combinações de caracteres possíveis) poderia ser resolvida em 217.679 segundos (2,5 dias) no caso do Pentium, ou em cerca de 2 segundos no caso do supercomputador. E lembre-se, esses números indicam o tempo máximo que um computador levaria para descobrir as senhas. Isso é inaceitável do ponto de vista da segurança.
No entanto, uma senha complexa como, por exemplo, “Tópico@ndroid”, é muito mais difícil de ser quebrada. Ela possui caracteres, letras maiúsculas, letras minúsculas, números e símbolos, sendo que nela existem 94 caracteres possíveis variações disponíveis, fornecendo 94⁸ (mais de seis quatrilhões) de possíveis combinações de senha.
Esse nível de complexidade é suficiente para frustrar um computador de baixa potência, que levaria mais de 600 bilhões de segundos (mais de 19.000 anos) para tentar quebrar a senha utilizando todas as combinações, e oferece defesa razoável contra um computador de alta potência, que levaria mais de seis milhões segundos (70 dias) para adivinhar a senha.
Ataques de dicionário
Os cálculos feitos acima estão assumindo o maior tempo possível com um computador pode levar para descobrir uma senha. Ou seja, ele está adivinhando a senha correta apenas na última permutação possível de caracteres. Na realidade, o tempo médio que levaria para adivinhar uma senha seria cerca de metade do que foi declarado acima.
Pior ainda, as pessoas são péssimas em escolher senhas, mas isso não é nossa culpa. O problema é que as melhores senhas para impedir ataques de força bruta são uma distribuição aleatória de letras, números e símbolos. As senhas mais fáceis de lembrar são compostas por números e palavras que têm algum significado pessoal. Isso nos abre para uma nova vulnerabilidade, que são os ataques de dicionário.
Esse tipo de ataque se baseia no fato de que a maioria das pessoas usa palavras comuns em suas senhas. Portanto, em vez de testar todas as combinações de todos os caracteres possíveis, um invasor pode apenas testar palavras conhecidas pelo fato de serem utilizadas em muitas senhas.
O que é pior, dada a infinidade de violações de dados na última década, os invasores podem encontrar listas de centenas de milhões de senhas para testar, algo que está muito longe das seis quatrilhões de possibilidades de nosso exemplo anterior.
Quebra de senha
Outro caminho para o ataque de hackers depende da maneira como os serviços online armazenam as senhas dos usuários. As empresas não podem simplesmente criar uma lista de senhas em um documento de texto simples. Fazer isso tornaria os dados dos usuários muito vulneráveis.
Em vez disso, eles usam um tipo especial de criptografia para armazenar senhas. A ideia é utilizar um programa para converter facilmente uma senha em um novo valor, de modo que seja muito difícil determinar o valor original com base no valor convertido.
Desde que as empresas começaram a usar esses algoritmos, os hackers têm trabalhado arduamente para encontrar maneiras de decifrá-los. Alguns foram tão comprometidos que uma simples pesquisa no Google do valor convertido revela a senha original. Outros podem ser quebrados em questão de horas com força bruta apenas dedicando algum tempo na AWS.
Com a proliferação desses tipos de ataques, uma pessoa mal intencionada precisa apenas da lista de senhas criptografadas e um pouco de tempo para ter acesso às suas contas.
A solução
Como podemos ter certeza de que ninguém pode adivinhar nossas senhas? Uma boa regra geral é observar os requisitos de senha modernos das instituições financeiras. É comum os bancos exigirem que uma senha tenha pelo menos oito caracteres e ao menos uma letra maiúscula, uma letra minúscula, um número e um símbolo.
A solução para todos esses problemas são senhas mais longas e complexas. Mas isso introduz um novo problema: a maioria de nós tem dezenas de contas e não conseguimos lembrar de dezenas de senhas diferentes para dezenas de serviços diferentes.
A melhor solução para este enigma é uma espécie de compromisso. Quando se trata de ter senhas diferentes para sites diferentes, concentre-se nas mais importantes, como as que controlam o acesso ao seu dinheiro (PayPal, contas bancárias) e use uma senha mais simples para suas contas de aplicativos cotidianos, como o Spotify ou Netflix. Dessa forma, se sua senha for revelada em uma violação de dados, isso minimizará o risco para suas contas mais importantes.
Quanto à criação de uma senha que seja resistente a ataques de força bruta, ataques de dicionário e outros tipos de ataque, concentre-se no comprimento sobre a complexidade. As senhas em potencial podem ser baseadas em um meme, um videogame ou um livro. Mas evite informações pessoais como aniversários, números de telefone ou apelidos, pois esse tipo de informação pode ser encontrado em suas mídias sociais.
Não há necessidade de lembrar todas as suas senhas
Se não houver como manter todas essas senhas em sua memória, não se estresse. Há uma série de serviços disponíveis para gerenciar suas senhas. O Firefox e o Chrome podem até lembrá-las para você. E pelo amor de tudo o que é sagrado, não seja uma das milhões de pessoas que usam “123456” como senha.