terça-feira, 23 de junho de 2015

Como criar e gerenciar senhas mais seguras?



Se você tem acesso a internet automaticamente ganha a tarefa de criar e memorizar dezenas ou até centenas de senhas. Senhas de email(s), mídias sociais, e-commerces, do seu smartphone, do seu computador e o que mais? Um estudo sobre os usuários de internet feito pela Microsoft em 2007 (CLIQUE AQUI - ARTIGO EM INGLÊS) identificou que esse grupo tinha que decorar, em média, 6,5 senhas para cerca de 25 diferentes contas, isso resultava em digitar pelo menos 8 senhas ao dia. Hoje tenho certeza que estes número são muito maiores. Serviços novos surgem todos os dias, fora o nosso legado de serviços antigos que são esquecido. Como eu também compartilho dessa mesma realidade, tenho certeza que tenho mais de 50 senhas, resolvi criar um modo mais fácil de gerar minhas senhas. O objetivo era criar senhas mais fáceis de lembrar e mais seguras para serem usadas.

Decorando em blocos de informação, não em unidade de informação
Independente de como você faça para decorar as suas senhas, diversas pesquisas já mostraram que decorar digito por digito será mais difícil de lembrar um número, por isso que normalmente lembramos dos número de telefone em blocos, não todos os números. Pegue um número aleatório, como 0800 8953. Você acabou de ler ele como “zero, oito, zero, zero, oito, nove, cinco, três” ou (mais provável) “zero, oitocentos, oitenta e nove, cinquenta e três“? Se o nosso cérebro realmente guarda as informações em blocos, o primeiro exemplo seriam 8 blocos de informações (números) enquanto no segundo exemplo seriam apenas 4 (combinações). Percebe como é mais fácil de lembrar as combinações?

Mudando a lógica de senha decorada para senha lógica
É no bloco de informações que iremos basear a nossa lógica. Ao invés de criar uma senha para cada serviço, vamos explorar aqui como criar apenas uma lógica e dessa forma nunca repetir a mesma senha em diferentes serviços. Caso você não entenda porque não deve usar a mesma senha para todos os serviços ou porque não usar senhas bobas como o nome do seu cachorro, recomendo ler este post até o final.

Nível I – Lógica Base
O ideal para sempre lembrar de suas senhas é, ao invés de ter sempre uma senha igual, ter uma lógica de senha. Dessa forma, ao invés de decorar cinquenta senhas diferentes, você decora apenas uma combinação que será sempre usada. Uma combinação é uma estrutura, uma soma de diferentes valores. Muito complicado de entender? Vamos ver um exemplo de uma senha baseada em lógica:
- Escolha uma combinação de números, como 123 (este será o X);
- Escolha um número de letras, pode ser as 4 primeiras (este será o Y);
- Agora some esses dois valores e você terá a sua senha (x + y = senha);
Esta lógica daria o seguinte resultado no Facebook: 123face Esta lógica daria o seguinte resultado no Twitter: 123twit Esta lógica daria o seguinte resultado no Google: 123goog Mas esta senha ainda não é segura o suficiente para robôs, precisamos adicionar elementos de segurança.

Nível II – Adicionando Elementos Seguros
Você deve saber que existem diversas formas de se conseguir uma senha e uma das mais comuns é por força bruta. Basicamente (mas bem basicamente mesmo) você pode colocar um computador para chutar todas as milhões de senhas que existem até encontrar a correta. Neste vídeo (CLIQUE AQUI) o ‘hacker’ quebra a senha de uma senha do Gmail usando uma lista de palavras – o email era dele e a lista de palavras tinha apenas algumas, mas poderia ser facilmente uma lista com milhões de combinações de senhas. Você pode encontrar centenas de vídeos e tutoriais sobre como quebrar senhas – Mas não perca o seu tempo, não é tão simples assim. Mas você pode tentar evitar isso. Quanto mais difícil for a sua senha, mais tempo e processamento alguém precisará para quebrar a sua senha. Apenas para você ter uma noção da diferença de uma senha segura, acesse o site “How Secure is My Password" (CLIQUE AQUI) e digite a sua senha para ver quanto tempo um computador demoraria para quebrar a sua senha – por motivos de segurança, não recomendaria digitar exatamente a sua senha, mas algo parecido, sabe como é, nunca devemos confiar na internet.


Mesmo que o serviço onde você cadastrou a sua use alguma criptografia para guardar as suas senhas, você sempre está em perigo (ainda mais com senhas simples). Sites como o “MD5 Decrypter" (CLIQUE AQUI) podem facilitar “quebrar” a criptografia de palavras muito comuns. Este site na verdade tem um enorme banco de dados de palavras que já foram “quebradas”, dessa forma, você coloca qualquer código em MD5 (como esse segredo “40847951488f9395f242f30ed27cdc47“) e ele vai lhe dizer se já sabe ou não o que o código significa. Obs.: Você pode gerar um código MD5 usando qualquer “gerador de MD5″ que encontrar no Google, mas cuidado, não coloque a sua senha nestes sites, pois ele pode estar usando o gerador para alimentar um banco de dados (Como o do site mencionado anteriormente, o MD5 Decrypter). Na prática, isso significa que o uso de senhas maiores e com caracteres especiais tornam a sua senha mais segura contra os ataques de força bruta.

Lista de Caracteres Especiais & Úteis
Caracteres numéricos: 1, 2, 3, 4, 5, 6, {…} Caracteres em fonte minúscula: a, b, c, d, e, f {…} Caracteres em fonte maiúscula: A, B, C, D, E, F {…} Caracteres especiais: ` ~ ! @ # $ % ^ & * ( ) _ – + = { } [ ] \ | : ; ” ‘ < > , . ? / Espaço: (Sim, o espaço pode ser usado como senha) Use pelo menos 1 caracter de cada uma das categorias acima na sua senha. Com isso já podemos incrementar a nossa senha. Pegue a senha que fizemos no Nível I e adicione misture caracteres especiais a ela – sempre mantendo a mesma lógica para todas as senhas.

- Escolha uma combinação de números, como 123 (este será o X);

- Escolha um número de letras, pode ser as 4 primeiras (este será o Y);

- Transforme os dois primeiros caracteres do Y em letra maiúscula;

- Adicione pelo menos um caractere especial no final da senha, neste caso vamos pegar !@#;

Esta lógica daria o seguinte resultado no Facebook: 123FAce!@# Esta lógica daria o seguinte resultado no Twitter: 123TWit!@# Esta lógica daria o seguinte resultado no Google: 123GOog!@# Obs.: Além de proteger de ataques de força bruta, o Nível II ajuda quando você precisa digitar a senha em locais onde as pessoas podem estar olhando para o seu teclado, pois com este método, você poderá estar alternando a digitação com o botão SHIFT ligado ou não, então as pessoas podem ver você digitando a letra “B”, mas terão mais dificuldade para saber se a sua senha é “b” ou “B”.

Nível III – Tornando a lógica anti-humanos
Até agora temos uma senha muito mais forte, que poderá ser replicada em todos os serviços que usamos e, dessa forma, nunca mais nos esqueceremos das senhas quando precisarmos delas. Mas caso alguém tenha acesso a sua senha ela poderá ‘quebrar’ a sua senha e automaticamente ter acesso a todos os seus serviços, por isso é importante disfarçar a sua lógica de senha. Passo 1:

- Não uma combinação que mantenha uma relação de fácil interpretação, por exemplo, usar “face” (quatro primeiros caracteres do serviço que você está acessando), ao invés disso, invente uma mistura entre as letras do serviço. Por exemplo, repita duas vezes os três primeiros caracteres pares.

- No caso do Facebook, os três primeiros caracteres pares são “facebook”, portanto a palavra (Y) seria “aaeeoo“;

- Mescle caracteres minúsculos com maiúsculos (“AaEeOo“);

Esta lógica daria o seguinte resultado no Facebook: 123AaEeOo!@# Esta lógica daria o seguinte resultado no Twitter: 123WwTtRr!@# Esta lógica daria o seguinte resultado no Google: 123OoGgEe!@# Passo 2: Caso você ainda ache a sua senha fácil de relacionar, você pode tornar a sua senha imperceptível a olhos humanos usando uma técnica de mudança de teclado. Para facilitar, vamos fingir que a nossa senha é “123abe“, mas na hora de digitar a sua senha, ao invés de apertar a tecla “1”, por exemplo”, pule uma linha do teclado para baixo. Dessa forma, a senha “123abe” vira “qwez d“. Não entendeu? Olha a imagem abaixo.


É claro que você pode usar a mudança de direção que achar melhor, neste exemplo eu usei a primeira tecla abaixo, mas poderia também usar a primeira a direita: “123abe” viraria “234snr“. Para a nossa senha vamos trocar apenas as letras com essa mudança de direção, vamos escolher usar as letras a direita, “AaEeOo” vai virar “SsRrPp” : Esta lógica daria o seguinte resultado no Facebook: 123SsRrPp!@# Esta lógica daria o seguinte resultado no Twitter: 123EeYyTt!@# Esta lógica daria o seguinte resultado no Google: 123PpHhRr!@#

Nível IV – Segmentando as senhas
Caso você ainda ache que não está totalmente satisfeito com a sua senha, pode dar um pouco mais de segurança segmentando a sua lógica de senha por categoria ou locais. Por exemplo:

- Para emails você usa uma lógica de senhas 1: número + cinco letras + @ — No Gmail isto seria “123Gmail@”

- Para redes sociais você usa a lógica de senhas 2: três letras + ! + número — No Facebook seria “fac!123″ e no Twitter “twi!123″

Alterando a lógica ajudaria você a se manter um pouco mais seguro, pois, caso alguém roube a sua senha e quebre a sua lógica, a pessoa ter acesso apenas as suas redes sociais ou apenas aos serviços que você usa pouco, enfim, evita que ele tenha acesso a todas as suas contas.

Nível V – Periodicidade
Para incrementar ainda mais a sua segurança procure trocar periodicamente a sua lógica de senha, pois dessa forma você garante que ela estará mais segura e será sempre renovada. Mas isso da trabalho, dependendo de quantos serviços você usa. Por outro lado é interessante usar múltiplas lógicas de senha, por exemplo, você pode ter simultaneamente duas lógicas decoradas, então não arrisca perder todas as senhas de uma só vez (assim como no caso do Nível IV: Segmentando as senhas). Caso você ache ruim, pois caso esqueça a senha talvez não lembre qual a lógica usou, mas não se preocupe, porque a maioria dos serviços deixa você errar pelo menos três vezes, ou seja, se a primeira lógica não funcionou, a segunda irá com certeza.

Por que não posso usar a mesma senha em tudo?
Sempre que alguém me pergunta isso eu gosto de usar o exemplo de um amigo meu, vou chamá-lo de João. João trabalhava com segurança de websites e certa vez estava fazendo um teste de segurança em um site onde ele possuía uma conta, pois queria ter certeza de que seus dados estariam seguros. Quem não quer? Durante as suas inspeções o João descobriu que o banco de dados, onde ficam armazenados todos os dados do site, estava extremamente vulnerável. Usando esta vulnerabilidade ele teve acesso a todos os dados (usuários, senhas, emails, etc) de todas as pessoas cadastradas naquele site (calma, a história melhora). Com os dados em mãos, João resolveu testar se os dados eram realmente perigosos. Ele pegou alguns de seus amigos que sabia que mantinham contas naquele serviço e procurou pelos dados deles. Com o email e senha em mãos, ele começou a tentar entrar em outros serviços, como o próprio email, Facebook, etc. Resumo da brincadeira. Alguns de seus amigos usavam a mesma senha deste serviço no Facebook. Com isto, João teve acesso ao Facebook de alguns de seus amigos. João acessou e teve acesso a TODAS as informações desta pessoa. Ele fez o mesmo com o email destas pessoas – e tinha gente com informações MUITO confidenciais dentro de seus emails.

Pense em tudo que você conversou com as pessoas no chat do Facebook nos últimos 7 dias. Dê uma olhada no seu arquivo de emails. Consegue imaginar o perigo de alguém ter acesso a todas essas informações? A história ficou ainda mais cabulosa porque o João nunca avisou o site sobre o roubo, prática que muitas hackers tem após ter acesso a um banco de dados importante e também não trocou as senhas das pessoas que ele teve acesso, portanto, até hoje, as pessoas estão sendo monitoradas, todas as novas mensagens e emails que estas pessoas recebem são baixadas para o computador de João. Lembre-se ainda que, com acesso ao email destas pessoas, João conseguiu resetar através do email todas as senhas de outros serviços das pessoas, mesmo aqueles onde a pessoa não usava uma senha igual. Bom, eu não conheço nenhum João, mas realmente existem dezenas de pessoas que fazem o que o João fez esta história. Não estamos falando de Hollywood, pois realmente conheci diversas pessoas que já tiveram a oportunidade de João, mas não o fizeram pois sabemos que seria ilegal. Ah, mas se mesmo assim você quer usar a mesma senha em tudo, lembre-se da lista das 25 senhas mais usadas de 2013 (CLIQUE AQUI). “Password” (senha) está entre as primeiras senhas mais comuns.

Mas o (insira serviço) não aceita a minha senha

Infelizmente você não vai conseguir aplicar a sua lógica de senha em todos os lugares, por isso você vai precisar ter senhas diferentes para várias outras coisas que você acessa todos os dias, como conta em banco, que geralmente limita a quantidade de caracteres e quais caracteres você pode usar. Nesse caso não há muito o que fazer. Uma possível solução é criar uma lógica de senha simplificada, tentar usar sempre a mesma combinação de número para casos assim. Caso faça isso, evite pegar algum número que tenha qualquer relação direta com você, como a data de nascimento sua ou de alguém que você conhece. Prefira sempre um número aleatório, mas que você vá se lembrar sempre. Você também não precisa usar esta senha para tudo, pois elas não são práticas para digitar e são voltadas principalmente àqueles serviços que você digita a senha uma vez e depois ela fica salva em seu computador (por isso é importante usar senha no seu computador/tablet/smartphone).

Fuja das perguntas secretas
Diversos serviços oferecem a famosa “pergunta secreta”. Ela parece muito legal, até o dia que alguém houve você falando o nome da sua primeira professora de inglês e usa esse nome para alterar a senha do seu email, porque você você nunca imaginou que alguém realmente ia saber a respostas dessa pergunta. Uma dica é usar uma resposta padrão (e de preferência não contar para ninguém). Escolha algo divertido que seja fácil de memorizar para você, mas que faça pouco sentido para os outros. Por exemplo: Qual o nome da sua primeira professora de inglês? Resposta: Eu não falo com bandeirantes Qual o nome do seu cachorro preferido? Resposta: Eu não falo com bandeirantes Qual o nome de solteiro da sua mãe? Resposta: Eu não falo com bandeirantes Claro que é importante lembrar que um segredo só é um segredo enquanto apenas uma pessoa saber dele.

Dica Extra: Use verificação de duas etapas
Já que estamos falando de segurança de senha, acho válido falar sobre as verificações de duas etapas, também chamada de 2FA (Two Factor Auth). Para quem não conhece, a verificação de duas etapas é um modelo de segurança que exige do usuário mais uma senha além da sua padrão, mas esta segunda não é uma senha qualquer, é um token. Sim, exatamente como aqueles de bancos (quase todos os bancos que oferecem internet banking possuem algo semelhante). Talvez você não saiba, mas pode usar modelos similares para serviços dentro da internet. A ferramenta mais conhecida para isso é o Google Authenticator. Este serviço do Google oferece um cadastro de tokens, uma para cada serviço que você vincula a ele. Com a conta vinculada, ela irá pedir um código toda vez que você colocar a senha. A sua conta Google pode usar essa ferramenta, portanto, toda vez que você digitar a sua senha do Google, terá que pegar um token do Google Authenticator que é gerado dentro do aplicativo dele (também há a possibilidade de receber por SMS ou usar um número de Backup). Neste vídeo (2011) o Google explica exatamente como funciona a autenticação de duas etapas do Google:


Para mim é uma das mais importantes dicas de segurança para senhas na internet, pois mesmo que a sua senhas seja roubada (ou descoberta), a pessoa ainda vai ter que ter acesso ao seu telefone, o que torna o acesso indevido a sua conta algo muito difícil de acontecer. É claro que nem todos serviços oferecem isso ainda, mas boa parte já. Aqui tem uma lista dos principais serviços que já tem alguma funcionalidade de verificação de duas etapas:
- Dropbox
- DreamHost
- Evernote
- Github
- Google (Gmail, Youtube, etc)
- Facebook
- Hootsuite
- Microsoft Account
- Mailchimp
- Tumblr
- Twitter
- WordPress

Também há o site TwoFactorAuth.org (CLIQUE AQUI), que tem uma lista super completa dos serviços que suportam este tipo de verificação e quais funcionalidades possuem, tudo separado por categorias e com links explicando como ativar a funcionalidade em cada um deles.


Se você tem curiosidade de saber exatamente como o token funciona, este vídeo em inglês vai tentar te explicar:


Apenas para motivo de curiosidade, existe ainda o 1Password (CLIQUE AQUI), que guarda todas as suas senhas de forma que você só precise uma, que fica integrada ao seu dispositivo (computador, tablet ou smartphone). Confesso que nunca usei e não posso dizer até onde é seguro usar algo assim.

Seu telefone também precisa estar seguro

Não quero me extender muito nesse assunto, mas é importante lembrar que nada adianta você colocar ótimas senhas se alguém poderá pegar o seu telefone e conseguir acessar todas as suas contas e senhas. O mesmo serve para o seu notebook e computador. Para isso, sugiro buscar mais informações sobre a segurança do seu aparelho. Uma senha segura e bem guardada ajuda você a prevenir que tenha problemas com o seu aparelho. Caso você tenha um Android, recomendo usar o aplicativo Cerberus, que lhe da diversas funcionalidades em relação ao aparelho, como alterar a senha remotamente, por exemplo. Hoje em dia existe o Android Manager, que traz algumas funcionalidades de segurança para o seu dispositivo Android. Existem outros apps semelhantes, o importante é ter o máximo de segurança possível e escolher uma boa senha. No Android temos diferentes tipos de senhas, como desbloqueio facial, PIN (4 números), senha tradicional e senha por padrão (aquela de ligar os pontos). Existe muita discussão sobre qual é a mais segura.


Para os usuários de iOS (Apple), a recomendação é sempre configurar o “Find My iPhone” (Tem para iPad e Mac também), que é um aplicativo que ajuda a encontrar o seu aparelho e altera senha remotamente. No caso do iOS há apenas duas opções de senhas, o PIN simples e PIN avançado. O simples é o tradicional, com 4 números, mas também há uma opção avançada, onde você pode usar quantos números e letras quiser, o que torna a senha bem mais segura. Nos usuários de outras plataformas não tenho conhecimento de quais são os melhores aplicativos, mas recomendo procurar o que você pode fazer para tornar o seu telefone/computador mais seguro.


Jimmy Kimmel fez uma interessante experimento social, onde basicamente pergunta a senha das pessoas. E adivinha, elas dão a senha sem perceber. Neste caso, não existe senha segura o suficiente para salvar você de ter sua conta invadida.



FONTE: CorpTV