Como criar senhas fortes para suas contas

Escrito por Marcelo Augusto em 17 de junho de 2022

Compartilhar:

Como criar senhas fortes para suas contas

Lidar com senhas é parte fundamental da vida na internet e interagir com a tecnologia do século XXI. As senhas protegem tudo, desde o mundano (nossas contas Spotify, YouTube e Twitch) até o vitalmente importante (nossas contas PayPal e Amazon) e tudo mais. Eles são as chaves para as fechaduras digitais em nossa propriedade online e, como tal, desempenham um papel importante na proteção de nossas vidas contra maus atores com a intenção de roubar identidades e causar estragos em geral.

Portanto, é vital que você seja o único que saiba – ou possa adivinhar – suas senhas. Mas o que faz uma boa senha? Para entender isso, você precisa saber uma ou duas coisas sobre como os nerds da internet quebram senhas.

Ataques de força bruta

No jargão da segurança digital, adivinhar repetidamente uma senha é chamado de ataque de força bruta. A ideia é simples: tente todas as combinações de letras e números até encontrar a certa. Para um humano, esse tipo de tarefa seria chato, repetitivo, propenso a erros e demorado. Para um computador, a maioria desses problemas se torna trivial.

De acordo com o NordPass, os computadores podem adivinhar entre 10.000 (antiga escola Pentium 100 MHz) e um bilhão de senhas por segundo (supercomputador). Adivinhar um número PIN de quatro dígitos (10.000 PINs possíveis) levaria um segundo na pior das hipóteses do computador mais lento não encontrar o PIN correto até a última verificação.

Quando se trata de senhas alfanuméricas consistindo apenas de letras minúsculas e números (36 caracteres possíveis), uma senha de seis caracteres (36⁶ combinações de caracteres possíveis) poderia ser resolvida em 217.679 segundos (2,5 dias) no caso do Pentium, ou em cerca de 2 segundos no caso do supercomputador. E lembre-se, esses números são o tempo máximo que levaria para forçar as senhas. Isso é inaceitável do ponto de vista da segurança.

No entanto, uma senha complexa como “Tó[email protected]” é muito mais difícil de adivinhar. Ele tem oito caracteres, maiúsculas, minúsculas, números e símbolos, portanto, existem 94 caracteres possíveis disponíveis, fornecendo 94⁸ (mais de seis quatrilhões) de combinações de senha. Esse nível de complexidade é suficiente para frustrar nosso computador de baixa potência, que levaria mais de 600 bilhões de segundos (mais de 19.000 anos) para forçar todas as combinações, e oferece defesa razoável contra nosso computador de alta potência, que levaria mais de seis milhões segundos (70 dias) para adivinhar.

Ataques de dicionário

Esses cálculos estão assumindo o maior tempo possível com o computador apenas adivinhando corretamente a última permutação possível de caracteres. Na realidade, o tempo médio que levaria para adivinhar uma senha seria cerca de metade do que foi declarado acima. Pior, as pessoas são péssimas em escolher senhas, mas (principalmente) não é nossa culpa. O problema é que as melhores senhas para impedir ataques de força bruta são uma distribuição aleatória de letras, números e símbolos. As senhas mais fáceis de lembrar são compostas por números e palavras que têm algum significado pessoal. Isso nos abre para uma nova vulnerabilidade: ataques de dicionário.

Esse tipo de ataque se baseia no fato de que a maioria das pessoas usa palavras comuns em suas senhas, portanto, em vez de testar todas as combinações de todos os caracteres possíveis, um invasor pode apenas testar palavras conhecidas por serem usadas em muitas senhas. O que é pior, dada a infinidade de violações de dados na última década, os invasores podem encontrar listas de centenas de milhões de senhas para testar, muito longe das seis quatrilhões de possibilidades em nosso exemplo anterior.

Quebra de senha

Outro caminho para o ataque de hackers depende da maneira como os serviços online armazenam senhas. As empresas não salvam uma lista de senhas de texto simples. Fazer isso tornaria os dados do usuário muito vulneráveis. Em vez disso, eles usam um tipo especial de criptografia para armazenar senhas. A ideia é fazer uma função para converter facilmente uma senha em um novo valor, de modo que seja muito difícil determinar o valor original com base no valor convertido.

Desde que as empresas começaram a usar esses algoritmos, os hackers têm trabalhado arduamente para encontrar maneiras de decifrá-los. Alguns – como SHA-1 – foram tão completamente comprometidos que uma simples pesquisa no Google do valor convertido revela a senha original. Outros podem ser quebrados em questão de horas com força bruta apenas alugando algum tempo na AWS.

Com a proliferação desses tipos de ataques, um mau ator precisa apenas da lista de senhas criptografadas e um pouco de tempo para ter acesso às suas contas.

A solução

Como podemos ter certeza de que ninguém pode adivinhar nossas senhas? Uma boa regra geral é observar os requisitos de senha modernos das instituições financeiras. Meu banco, por exemplo, exige que minha senha tenha pelo menos oito caracteres, tenha uma letra maiúscula, uma letra minúscula, um número e um símbolo: Então, o exemplo anterior de Tó[email protected] marca todas as caixas.

A solução para todos esses problemas são senhas mais longas e complexas. Mas isso introduz um novo problema: a maioria de nós tem dezenas de contas e não conseguimos lembrar de 50 senhas diferentes para 50 serviços diferentes. A melhor solução para este enigma é uma espécie de compromisso. Quando se trata de ter senhas diferentes para sites diferentes, concentre-se nas importantes que controlam o acesso ao seu dinheiro (Amazon, PayPal, contas bancárias) e use uma senha mais simples para suas contas menos vitais (Spotify, TikTok, Discord). Dessa forma, se sua senha for revelada em uma violação de dados, isso minimizará o risco para suas contas mais importantes.

Quanto à criação de uma senha que seja resistente a ataques de força bruta, ataques de dicionário e cracking, concentre-se no comprimento sobre a complexidade. As senhas em potencial podem ser baseadas em um meme, um videogame ou um livro. Mas evite informações pessoais como aniversários, números de telefone ou apelidos, pois esse tipo de informação pode ser encontrado vasculhando as mídias sociais.

Não há necessidade de lembrar todas as suas senhas

Se não houver como manter todas essas senhas corretas, não se estresse. Há uma série de serviços disponíveis para gerenciar suas senhas. O Firefox e o Chrome podem até lembrá-los para você. E pelo amor de tudo o que é sagrado, não seja uma das milhões de pessoas que usam “123456” como senha.

Categorias:

Marcelo Augusto