Surveillance
Self-Defense

Criando senhas fortes

Última revisão: 
29-10-2018
A versão em Inglês pode estar mais atualizada.

Reutilizar senhas é uma prática excepcionalmente ruim do ponto de vista da segurança. Se um invasor tiver acesso a uma senha que você tenha reutilizado em diversos serviços diferentes, ele poderá ter acesso a muitas de suas contas. É por isso que é tão importante ter senhas fortes, únicas e distintas.

Felizmente, um gerenciador de senhas pode ajudar. Gerenciadores de senhas são ferramentas que criam e armazenam senhas para você, de maneira que você possa utilizar senhas diferentes para cada site ou serviço sem precisar memorizá-las. Gerenciadores de senhas:

  • geram senhas fortes que um ser humano dificilmente poderá adivinhar.
  • armazenam diversas senhas de maneira segura (e também as respostas para perguntas de segurança).
  • protegem todas as suas senhas com uma única senha-mestre (ou frase-chave).

O KeePassXC é um exemplo de gerenciador de senhas com fonte aberta e gratuito. Você pode manter esta ferramenta em seu desktop ou integrá-lo ao seu navegador de internet. O KeePassXC não salva automaticamente as alterações que você faz quando o utiliza, portanto se ele apresentar um erro e fechar inesperadamente você perderá para sempre as senhas que tiver adicionado desde que o abriu. Isto pode ser alterado nas configurações do programa.

Você está se perguntando se um gerenciador de senha é a ferramenta certa para você? Se você for alvo de um adversário poderoso, como um governo, pode ser que não seja.

Lembre-se:

  • utilizar um gerenciador de senhas cria um ponto de falha centralizado.
  • gerenciadores de senhas são um alvo óbvio para adversários.
  • pesquisas sugerem que diversos gerenciadores de senha têm vulnerabilidades.

Se você está preocupado com ataques digitais poderosos, considere algo menos tecnológico. Você pode criar senhas fortes manualmente (veja “Criando senhas fortes usando dados de números” abaixo), anotá-las em um papel e guardá-las em algum lugar seguro consigo próprio.

Mas espere: não devemos sempre guardar as senhas de cor e jamais anotá-las? Na verdade, escrevê-las e guardá-las na sua carteira, por exemplo, pode ser útil para que ao menos você saiba se elas desaparecerem ou forem roubadas.

 

Criando senhas fortes usando dados numéricos Anchor link

Há algumas senhas que você deve memorizar e que precisam ser particularmente fortes. Por exemplo:

Uma das muitas dificuldades que ocorrem quando as pessoas escolhem senhas por si mesmas é que seres humanos não são muitos bons em fazer escolhas aleatórias e imprevisíveis. Uma forma eficiente de criar uma senha forte e que possa ser memorizada é utilizar dados numéricos e uma lista de palavras para escolher palavras de maneira aleatória. Juntas, estas palavras formarão sua “frase-chave”. Uma “frase-chave” é um tipo de senha mais comprida, com o objetivo de ser mais segura. Para criptografia de discos inteiros e para seu gerenciador de senhas, recomendamos escolher um mínimo de seis palavras.

Por que utilizar um mínimo de seis palavras? Por que usar um dado numérico para escolher palavras aleatoriamente numa frase? Quanto mais comprida e mais aleatória for a senha, mais difícil será para computadores e humanos adivinhá-las. Para entender porque você precisa de uma senha tão comprida e forte assim, aqui está uma explicação em vídeo (em inglês).

Tente criar uma frase-senha utilizando uma das listas de palavras da EFF.

Se o seu computador ou dispositivo for comprometido e tiver spyware instalado, o spyware pode monitorar a digitação de sua senha-mestre e roubar o conteúdo do seu gerenciador de senhas. Desta maneira, continua sendo muito importante manter seu computador e outros dispositivos livres de malware quando estiver usando um gerenciador de senhas.

 

Um pouco sobre “perguntas de segurança” Anchor link

Cuidado com as “perguntas de segurança” que sites utilizam para confirmar sua identidade. Respostas honestas a estas perguntas muitas vezes são fatos públicos fáces de descobrir e que um determinado adversário pode encontrar facilmente e utilizá-las para acessar sua conta sem nem mesmo saber sua senha.

Ao invés disso, dê a estas perguntas respostas fictícias e que ninguém mais saberá, exceto você. Por exemplo, se a pergunta for:

“Qual era o nome de seu primeiro animal de estimação?”

Sua resposta pode ser uma senha aleatória gerada pelo seu gerenciador de senhas. Você pode armazenar estas respostas fictícias no próprio gerenciador de senhas.

Tente lembrar dos sites em que você utilizou perguntas de segurança e considere alterar as respostas. Nunca utilize as mesmas senhas ou respostas às perguntas de segurança para diversas contas em sites ou serviços diferentes.

 

Sincronizando suas senhas em diversos dispositivos Anchor link

Diversos gerenciadores de senhas permitem que você acesse suas senhas em múltiplos dispositivos através de um recurso de sincronização de senhas. Isso significa que quando você sincronizar seu arquivo de senhas em um dispositivo, ela será atualizada em todos os outros.

Gerenciadores de senhas podem armazenar suas senhas “na nuvem”, ou seja, criptografadas em um servidor remoto. Quando você precisar das suas senhas, estes gerenciadores vão recuperá-las e decriptá-las automaticamente para você. Gerenciadores de senhas que utilizam seus próprios servidores para armazenar ou sincronizar suas senhas são mais convenientes, mas ligeiramente mais vulneráveis a ataques. Se suas senhas forem armazenadas tanto em seu computador quando na nuvem, um atacante não precisará ter acesso ao seu computador para descobrir suas senhas (embora ainda assim tenha que descobrir a frase-chave do seu gerenciador de senhas).

Se isso o preocupa, não sincronize suas senhas para a nuvem e, em vez disso, opte por armazená-las apenas em seus dispositivos.

Por segurança, mantenha um backup de seu banco de dados de senhas. Ter um backup é útil caso você perca seu banco de dados devido a problemas em seu computador, ou caso seu dispositivo seja tomado de você. Gerenciadores de senhas normalmente possuem uma maneira de criar um arquivo de backup ou você pode utilizar seu programa padrão de backup.

 

Autenticação de múltiplos fatores e senhas de uso único Anchor link

Senhas fortes e únicas tornam muito mais difícil para que atacantes tenham acesso às suas contas. Para protegê-las ainda mais, utilize autenticação de dois fatores.

Alguns serviços oferecem autenticação de dois fatores (também chamada de 2FA, autenticação de múltiplos fatores, ou verificação em dois passos), que requer que você possua dois componentes distintos (uma senha e um segundo fator) para ter acesso a sua conta. O segundo fator pode ser um código secreto de uso único ou um número gerado por um programa executado em um dispositivo móvel.

A autenticação de dois fatores em um telefone celular pode ser feita de duas formas:

  • seu telefone pode rodar um aplicativo que gera códigos de segurança (como o Google Authenticator ou o Authy) ou você pode utilizar um dispositivo de hardware em separado (como uma YubiKey); ou
  • o serviço pode enviar a você uma mensagem de texto SMS contendo um código extra de segurança que você precisará digitar sempre que desejar acessá-lo.

Se você puder escolher, prefira a aplicação de autenticação no celular (ou o dispositivo de hardware à parte) em vez de receber códigos por mensagens de texto. É mais fácil para um atacante redirecionar estes códigos para seu próprio telefone do que conseguir burlar o autenticador.

Alguns serviços, como o Google, também permitem que você gere uma lista de senhas de uso único. Estas senhas podem ser impressas ou anotadas em papel e levadas com você. Cada uma delas funciona apenas uma vez, portanto se uma for roubada por um spyware quando você a digitar, o ladrão não poderá utilizá-la para nada no futuro.

Se você ou sua organização mantém sua própria infraestrutura de comunicações, existem softwares gratuitos que podem ser utilizados para implementar a autenticação de dois fatores para acessar seus sistemas. Procure por softwares que ofereçam implementações do padrão aberto “Time-Based One-Time Passwords” ou RFC 6238.

 

Às vezes, você precisará informar sua senha a terceiros Anchor link

As leis que tratam sobre revelar senhas diferem de um lugar para outro. Em algumas jurisdições você pode questionar uma ordem para revelar sua senha na justiça, enquanto em outras, as leis locais permitem que o governo obrigue a revelá-la – e o governo pode até mesmo prendê-lo pela suspeita de que você saiba uma determinada senha. Ameaças de violência física também podem ser usadas para forçar alguém a revelar sua senha. Você pode ainda se ver em uma situação, como por exemplo quando estiver atravessando uma fronteira entre nações, na qual autoridades podem retê-lo ou confiscar seus dispositivos caso você se recuse a fornecer uma senha ou desbloquear seu dispositivo.

Nós temos um guia em separado sobre atravessar a fronteira dos Estados Unidos, dando conselhos sobre como lidar com solicitações para acessar dispositivos quando estiver viajando para ou a partir dos EUA. Em outras situações, você deve considerar de que forma alguém poderá forçar você ou outros a fornecer suas senhas, e quais serão as consequências disso.

JavaScript license information