Skip to main content
Surveillance
Self-Defense

Criando Senhas Fortes

Última revisão: August 18, 2023

This page was translated from English. The English version may be more up-to-date.

Reutilizar senhas é uma prática de segurança perigosa. Se alguém obtiver sua senha , seja por violação de dados ou qualquer outra maneira, muitas vezes poderá obter acesso a qualquer outra conta em que usou a mesma senha. A solução é usar senhas exclusivas em todo lugar e tomar medidas adicionais para proteger suas contas sempre que possível.

Criando senhas fortes usando gerenciadores de senhas anchor link

Um gerenciador de senhas é uma ferramenta que cria e armazena senhas exclusivas para você, para que possa usar muitas senhas diferentes em diferentes sites e serviços sem precisar memorizá-las. Gerenciadores de senhas:

  • Gere senhas fortes que dificilmente um ser humano adivinharia.
  • Armazene diversas senhas (e respostas a perguntas de segurança) de forma segura.    
  • Proteja suas senhas com uma única senha mestra (ou frase secreta).
  • Sincronize senhas entre dispositivos para que você possa acessar essas senhas complexas de qualquer lugar.
               

Escolher o gerenciador de senhas certo pode exigir alguma pesquisa, mas você pode seguir nosso guia para ajudar facilitar o processo.

Os gerenciadores de senhas podem não ser para todos, mas um bom gerenciador de senhas faz o possível para mitigar possíveis problemas de segurança. Ainda é importante lembrar:

  • Usar gerenciador de senhas cria um único ponto de falha.
  • Os gerenciadores de senhas são um alvo óbvio para os adversários.        

É por isso que deve ter uma senha mestra forte e ativar a autenticação de dois fatores quando possível. Mas se um adversário poderoso como um governo estiver atacando você, é importante escolher cuidadosamente o gerenciador de senhas certo e configurá-lo para segurança máxima.

Para algumas pessoas, uma solução de baixa tecnologia pode ser melhor que um gerenciador de senhas. Depende do seu modelo de ameaça , mas ter senhas diferentes para cada site escritas em um pedaço de papel e mantidas em local seguro é melhor do que reutilizar uma única senha em cada site.

Criando senhas fortes usando dados anchor link

Você deve memorizar algumas senhas que precisam ser particularmente fortes. Esses incluem:

  • Senhas para o seu dispositivo
  • Senhas para criptografia (como criptografia completa de disco)
  • A senha mestra, ou “senha” do seu gerenciador de senhas
  • Sua senha de e-mail

Uma das muitas dificuldades quando a pessoa escolhe as senhas é que pessoas não são muito boas em fazer escolhas aleatórias e imprevisíveis . Uma maneira eficaz de criar um senha forte e memorável é usar dados e um lista de palavras para escolher palavras aleatoriamente. Juntas, essas palavras formam sua “frase secreta”. Uma "frase secreta" é um tipo de senha mais longa para maior segurança. Para criptografia de disco e gerenciador de senhas, recomendamos selecionar no mínimo seis palavras.

Por que usar um mínimo de seis palavras? Por que usar dados para escolher palavras aleatoriamente em uma frase? Quanto mais longa e aleatória for a senha, mais difícil será para computadores e humanos adivinhá-la. Para descobrir por que você precisa de senha tão longa e difícil de adivinhar, aqui está uma explicação em vídeo.

Os gerenciadores de senhas criam senhas fortes para você, mas se quiser experimentar uma versão analógica para aprender como funciona, você pode usar uma das listas de palavras padrão da EFF ou uma lista de palavras inspirada no fandom.

Se seu computador ou dispositivo for comprometido e um programa espião (spyware) for instalado, ele poderá observar você digitando sua senha mestra e roubar o conteúdo do gerenciador de senhas. Portanto, ainda é muito importante manter seu computador e outros dispositivos livres de programas mal-intencionados (malware) ao usar um gerenciador de senhas.

Uma palavra sobre “questões de segurança” anchor link

Tenha cuidado com as “perguntas de segurança” que alguns sites utilizam para confirmar sua identidade. Respostas honestas a essas perguntas costumam ser fatos publicamente detectáveis que um determinado adversário pode facilmente encontrar e usar para totalmente burlar sua senha.

Em vez disso, dê respostas fictícias que ninguém conhece além de você. Por exemplo, se a pergunta de segurança perguntar:

"Qual era o nome do seu primeiro bicho de estimação?"

Sua resposta pode ser uma senha aleatória gerada pelo seu gerenciador de senhas. Você pode armazenar essas respostas fictícias em seu gerenciador de senhas.

Pense em sites onde você usou perguntas de segurança e considere alterar suas respostas. Não use as mesmas senhas ou respostas a perguntas de segurança para contas em diferentes sites ou serviços.

Autenticação multifatorial e senhas de uso único anchor link

Senhas fortes e exclusivas tornam a segurança da sua conta muito mais forte. Para proteger ainda mais suas contas, habilite a autenticação de dois fatores quando puder.

Alguns serviços oferecem autenticação de dois fatores (também chamada de 2FA, autenticação multifatorial ou verificação em duas etapas), que exige que você possua dois componentes (uma senha e um segundo fator) para obter acesso à sua conta. O segundo fator pode ser um código secreto único ou um número gerado por um aplicativo executado em um dispositivo móvel.

A autenticação de dois fatores usando um telefone celular pode ser feita de duas maneiras:

  • Seu telefone pode executar um aplicativo autenticador que gera códigos de segurança (a maioria dos gerenciadores de senhas pode fazer isso, ou pode usar um aplicativo independente, como Authy ), ou pode usar um dispositivo de hardware independente (como um YubiKey).
  • O serviço pode enviar uma mensagem de texto SMS ou e-mail com um código de segurança extra que precisa digitar sempre que fizer login.

Se você tiver escolha, escolha o aplicativo autenticador ou dispositivo de hardware independente em vez de receber códigos por mensagem de texto. É mais fácil para um invasor redirecionar esses códigos para seu próprio telefone do que burlar o autenticador.

Alguns serviços, como o Google, também geram uma lista de senhas de uso único, às vezes chamadas de senhas descartáveis. Eles devem ser impressos ou escritos em papel e levados com você. Cada uma dessas senhas funciona apenas uma vez, portanto, se uma delas for roubada por um programa espião quando você a usar, o ladrão não poderá usá-la para nada no futuro.

Mais úteis do que as senhas de uso único são cópias de segurança dos códigos de segurança. Muitos aplicativos autenticadores oferecem cópias de segurança opcionais, onde seus códigos de segurança são armazenados num servidor de terceiros. Isso faz com que, se perder seu telefone, possa restaurar a cópia de segurança e acessar facilmente suas contas sem ter que usar essas senhas de uso único.

Se não tiver cópia de segurança e não gravou as senhas de uso único, poderá perder acesso às suas contas para sempre. Assim como os gerenciadores de senhas, isso tem uma desvantagem de segurança e algumas pessoas podem não querer fazer cópia de segurança dos tokens. Verifique a documentação do aplicativo para garantir que as cópias de segurança sejam criptografadas de ponta a ponta. Se nunca for solicitado que crie uma senha para a cópia de segurança, há boa chance de que não aconteça.

Às vezes, pode precisar divulgar sua senha anchor link

As leis sobre a revelação de senhas variam de lugar em lugar. Em algumas jurisdições, você poderá contestar legalmente a exigência de sua senha, enquanto em outras, as leis locais permitem que o governo exija a divulgação e até mesmo pode prender você sob suspeita que possa saber uma senha ou chave . Ameaças de dano físico podem ser usadas para forçar alguém a revelar sua senha. Ou você pode se encontrar numa situação, como ao atravessar uma fronteira, em que as autoridades podem atrasá-lo ou apreender seus dispositivos se recusar a fornecer uma senha ou desbloquear seu dispositivo.

Temos um guia separado para cruzar a fronteira dos EUA que fornece conselhos sobre como lidar com solicitações de acesso a dispositivos durante viagens de ou para os Estados Unidos. Em outras situações, você deve pensar em como alguém pode forçar você ou outras pessoas a revelarem senhas e quais seriam as possíveis consequências.