Criando senhas fortes

As pessoas reutilizam com frequência um pequeno número de senhas em muitas contas diferentes, sites e serviços, pois é difícil lembrar muitas senhas diferentes. Hoje em dia, é constantemente requerido aos usuários que ingressem com novas senhas, e muitas pessoas acabam reutilizando as mesmas senhas, dezenas ou mesmo centenas de vezes.

Reutilizar senhas é uma prática excepcionalmente ruim, porque se um invasor se apodera de uma senha, ele muitas vezes tentará utilizar essa mesma senha em diversas outras contas que pertençam à mesma pessoa. Se essa pessoa tiver a mesma senha reutilizada muitas vezes, o invasor poderá acessar diversas contas. Isso significa que uma determinada senha pode ser tão segura quanto o serviço menos seguro, onde ela foi utilizada.

Evitar a reutilização de senhas é uma precaução de segurança valiosa, mas você não conseguirá lembrar todas as suas senhas se cada uma for distinta. Felizmente, existem ferramentas de software para ajudar nisso - um gerenciador de senhas (também chamado de cofre de senhas) é um aplicativo que ajuda a armazenar uma grande quantidade de senhas com segurança. Isto torna mais prático evitar utilizar a mesma senha em vários contextos. O gerenciador de senhas protege todas as suas senhas com uma única senha mestre (ou, o que é ideal, uma frase-chave - veja a seguir), de modo que você tem que lembrar de uma só coisa. As pessoas que utilizam um gerenciador de senhas na verdade nem sabem as senhas para as suas diferentes contas; o gerenciador de senhas pode lidar com todo o processo de criar e lembrar lhes as senhas.

Por exemplo, o KeePassX é um cofre de senhas gratuito e de código aberto, que você pode manter na sua área de trabalho. É importante observar que se estiver utilizando o KeePassX, ele não salva automaticamente as alterações e acréscimos. Isso significa que se ele falhar depois que você adicionou algumas senhas, você pode perdê-las para sempre. Você pode alterar isso nas configurações.

Utilizar um gerenciador de senhas também o auxilia a escolher senhas fortes que são difíceis de serem descobertas por um invasor. Isso é importante também; pois constantemente os usuários de computador, escolhem senhas simples e curtas, que um invasor pode facilmente descobrir, como por exemplo "senha1", "12345", uma data de nascimento, ou de um amigo, do cônjuge, ou o nome do animal de estimação. Um gerenciador de senhas pode ajudá-lo a criar e utilizar uma senha aleatória sem padrões ou estrutura - que não possa ser descoberta. Um gerenciador de senhas pode, por exemplo, escolher senhas como "vAeJZ!Q3p$Kdkz/CRHzj0v7,” que é improvável que um ser humano possa se lembrar, ou mesmo adivinhar. Não se preocupe, pois o gerenciador de senhas pode lembrar isso para você!

Sincronização de senhas através de múltiplos dispositivos Anchor link

Você pode utilizar suas senhas em mais de um dispositivo, como no seu computador e no seu smartphone. Muitos gerenciadores de senha têm incorporado um recurso de sincronização de senhas. Quando sincronizar seu arquivo de senhas, este será atualizado em todos os seus dispositivos, de modo que se você adicionou uma nova conta no seu computador, ainda poderá acessá-la pelo seu telefone. Outros gerenciadores de senha oferecerão armazenar suas senhas "na nuvem", ou seja, eles armazenarão as suas senhas criptografadas em um servidor remoto, e quando você precisar delas em um laptop ou em um dispositivo móvel, eles irão recuperá-las e descriptografá-las para você automaticamente. Gerenciadores de senha que utilizam seus próprios servidores para armazenar ou ajudar a sincronizar as senhas são mais convenientes, mas, em contrapartida, eles são um pouco mais vulneráveis a ataques. Se você guarda suas senhas apenas no computador, alguém que possa tomar o controle do seu computador pode ser capaz de obtê-las. Se você as mantém na nuvem, o seu invasor pode ir buscá-las também. Normalmente, essa não é uma questão com que você precise se preocupar, a não ser que o invasor tenha poderes legais sobre a empresa do gerenciador de senhas ou seja conhecido por atacar empresas ou o tráfego da internet. Se você utiliza um serviço na nuvem, a empresa do gerenciador de senhas também pode saber quais serviços você utiliza, quando e onde.

Escolhendo senhas seguras Anchor link

Existem algumas senhas que precisam ser memorizadas e que particularmente precisam ser fortes: aquelas que bloqueiam definitivamente seus dados com criptografia. Isso inclui, no mínimo as senhas para os seus dispositivos, a criptografia do tipo criptografia de disco completo, e a senha mestre para o seu gerenciador de senhas.

Atualmente, os computadores são suficientemente rápidos para adivinhar em pouquíssimo tempo senhas mais curtas que dez ou mais caracteres. Isso significa que senhas curtas de quaisquer tipos, mesmo as totalmente aleatórias como nQ\m=8*x ou !s7e&nUY ou gaG5^bG, não são fortes o suficiente para utilização com a criptografia atual.

Há muitas maneiras de criar uma senha forte e fácil de memorizar; o método mais simples e infalível é o "Diceware" de Arnold Reinhold.

O método de Reinhold envolve dados físicos que rolam para escolher aleatoriamente várias palavras de uma lista de palavras; em conjunto, estas palavras formarão a sua frase-chave. Recomendamos utilizar no mínimo seis palavras para a criptografia de disco (e para o cofre de senhas).

Tente fazer uma senha utilizando o método do “Diceware” de Reinhold.

Quando você utiliza um gerenciador de senhas, a segurança de suas senhas e da sua senha mestre é tão forte quanto a segurança do computador onde o gerenciador de senhas está instalado e sendo utilizado. Se o seu computador ou dispositivo está comprometido e tem instalado um spyware, este pode visualizar você digitar sua senha mestre e talvez roubar o conteúdo do cofre de senhas. Por isso, ainda é muito importante manter seu computador e demais dispositivos limpos de softwares maliciosos ao utilizar um gerenciador de senhas.

Uma palavra sobre as “Perguntas de Segurança” Anchor link

Tenha consciência das "perguntas de segurança" (como "Qual é o nome de solteira de sua mãe?" ou "Qual era o nome do seu primeiro animal de estimação?"), que os sites utilizam para confirmar a sua identidade caso você esqueça qual é a sua senha. As respostas fiéis para muitas das questões de segurança podem ser encontradas com uma simples busca na rede e um determinado oponente pode facilmente descobrir e, assim, contornar a sua senha completamente. Foi dessa maneira, por exemplo, que a candidata à vice-presidência dos Estados Unidos, Sarah Palin, teve a sua conta do Yahoo! hackeada. Em vez disso, dê respostas fictícias para a sua senha que ninguém, exceto você, saiba. Por exemplo, se a pergunta da senha pede o nome de seu animal de estimação, você pode ter postado fotos para sites de compartilhamento de fotos com legendas do tipo "Essa é a foto do Spot, o meu lindo gato!" Ao invés de utilizar “Spot” como resposta para recuperar sua senha, você pode escolher “Rumplestiltskin.” Não utilize as mesmas senhas ou respostas a perguntas de segurança para várias contas em distintos websites ou serviços. Você deve armazenar as suas respostas fictícias também no seu cofre de senhas.

Pense em sites onde você tem utilizado perguntas de segurança. Considere verificar suas configurações e alterar as suas respostas.

Lembre-se de manter um backup do seu cofre de senhas! Se você perder o seu cofre de senhas em um acidente (ou se não tiver acesso aos seus dispositivos), pode ser difícil recuperar as suas senhas. Os programas de cofres de senhas normalmente permitem fazer um backup separado, ou você pode utilizar o seu programa usual de backup.

Normalmente, você pode redefinir suas senhas pedindo que lhe enviem um e-mail de recuperação de senha para o seu endereço de e-mail registrado. Por esta razão, você deve querer memorizar a frase-chave para esta conta de e-mail também. Se fizer isso, você terá como redefinir as senhas independente do seu cofre de senhas.

Autenticação de dois fatores e senha única Anchor link

Muitos serviços e ferramentas de software permitem que você utilize a autenticação de dois fatores, também chamada de autenticação em duas etapas ou fazer login em duas etapas. Aqui, a ideia é que para fazer login você precisa estar de posse de certo objeto físico: normalmente um telefone móvel, mas em algumas versões, um dispositivo especial chamado de token de segurança. Utilizar a autenticação de dois fatores garante que, mesmo que sua senha para o serviço seja hackeada ou roubada, o ladrão não será capaz de fazer login, a menos que ele possua ou tenha o controle de um segundo dispositivo e os códigos especiais que apenas este pode gerar.

Normalmente, isso significa que um ladrão ou hacker teria que controlar tanto o seu laptop quanto o seu telefone antes que tenham pleno acesso às suas contas.

Não há como fazer isso por conta própria se estiver utilizando um serviço que não tenha sido oferecido, pois isso só pode ser configurado com a cooperação do operador do serviço.

A autenticação de dois fatores que utiliza um telefone móvel pode ser feita de duas maneiras: o serviço pode enviar um uma mensagem de texto SMS para o seu telefone sempre que você tentar fazer login (fornecendo um código de segurança extra que você precisa digitar), ou o telefone pode executar um aplicativo autenticador que gera internamente códigos de segurança no próprio telefone. Isso ajudará a proteger sua conta em situações onde um invasor sabe a sua senha, mas não tem acesso físico ao seu telefone móvel.

Alguns serviços, como o Google, também permitem que você gere uma lista de senhas únicas, também chamadas de senhas de uso único. Elas são feitas para serem impressas ou escritas no papel e levadas com você (embora em alguns casos seja possível memorizar um pequeno número delas). Cada uma destas senhas funciona apenas uma vez, por isso, se uma for roubada por um spyware quando você a digita, o ladrão não poderá utilizá-la no futuro.

Se você ou sua organização tem sua própria infraestrutura de comunicações, tais como seus próprios servidores de e-mail, existem softwares gratuitos disponíveis, que podem ser utilizados para habilitar a autenticação de dois fatores para acesso a seus sistemas. Peça para seus administradores de sistemas procurarem softwares que ofereçam implementações de padrão aberto "Time-Based One-Time Passwords" ou RFC 6238.

Ameaças de dano físico ou detenção Anchor link

Por último, entendemos que sempre há uma maneira de os invasores obterem sua senha: Eles podem ameaçá-lo diretamente com danos físicos ou através de detenção. Se você teme esta possibilidade, considere maneiras de ocultar a existência de dados ou dispositivos que você está protegendo, em vez de acreditar que nunca fornecerá a senha de proteção. Uma possibilidade é manter pelo menos uma conta que contenha informações de pouca importância, cuja senha possa ser divulgada rapidamente.

Se você tem boas razões para acreditar que alguém pode ameaçá-lo para obter as suas senhas, é bom certificar-se de que seus dispositivos estejam configurados de modo a não ser óbvio que a conta que você está revelando não é a “verdadeira”. A conta mostrada na tela de login do seu computador, ou a que é automaticamente exibida quando você abre um navegador é a sua conta verdadeira? Se assim for, você precisa reconfigurar algumas coisas para tornar sua conta menos óbvia.

Em algumas jurisdições, como nos Estados Unidos ou na Bélgica, você pode impugnar juridicamente uma exigência pela sua senha. Em outras jurisdições, como no Reino Unido ou na Índia, a legislação local permite que o governo exija a divulgação. A EFF dispõe de informações detalhadas para qualquer um que viaje através das fronteiras dos Estados Unidos e deseje proteger seus dados nos seus dispositivos digitais em nosso guia Defesa de Privacidade nas Fronteiras dos Estados Unidos.

Tenha em conta que a destruição intencional de evidências ou a obstrução de qualquer investigação pode ser considerada como um crime independente, muitas vezes com consequências muito mais graves. Em alguns casos, pode ser mais fácil para o governo provar isso e aplicar punições mais severas que ao suposto crime que originalmente está sendo investigado.

Last reviewed: 
2016-01-13
A versão em Inglês pode estar mais atualizada.
JavaScript license information