'12345' é realmente ruim: seu guia definitivo para segurança de senha

Aconselhamos repetidamente que a única maneira segura de armazenar e usar senhas é confiar em um gerenciador de senhas, mas alguns de vocês não estão ouvindo. Em uma pesquisa da PCMag sobre senhas, apenas 24% de vocês relataram usar um gerenciador de senhas. O que o resto de vocês está fazendo? Usando senhas fáceis como senha ou 12345678? Memorizar uma senha complexa e usá-la em todos os lugares? Ouça, cuidar da segurança das senhas não é pouca coisa, mas dada a enorme escala do risco – como ilustrado na recente violação da Coleção nº 1, que expôs 773 milhões de endereços de e-mail hackeados – você precisa fazer todo o possível para manter suas senhas seguro.

Mesmo se você estiver usando o melhor gerenciador de senhas, isso não garante a segurança de suas contas – não se você usar o gerenciador de senhas para lembrar as mesmas senhas velhas e cansadas. Você tem que descer nas trincheiras e trocar as senhas ruins por novas e mais fortes.

Essa pesquisa mencionada acima revelou que 35% dos leitores da PCMag nunca mudam suas senhas, a menos que sejam forçados a fazê-lo por uma violação. Em geral, isso não é uma coisa tão ruim. O Instituto Nacional de Padrões e Tecnologia não recomenda mais a troca de senhas a cada 90 dias. O NIST agora recomenda usar senhas longas como "Correct-Horse-Battery-Staple" e alterá-las apenas quando necessário. Mas se você estiver usando senhas terríveis, "quando necessário" significa agora .

O que faz uma senha ruim? Veremos alguns dos atributos de senhas terríveis e, em seguida, daremos algumas dicas sobre como criar senhas da maneira correta.

Fique fora do dicionário

A cada poucos meses, uma agência de notícias ou outra publica uma lista das piores senhas. Vemos muitas opções fáceis de digitar, como 123456 e 12345678 e qwerty. Fácil para você? Certo. Mas também é fácil para os hackers quebrarem. Outras senhas comuns (e ruins) consistem em palavras simples de dicionário. Vimos beisebol, macaco e guerra nas estrelas na lista das piores senhas. Estes também são fáceis de quebrar.

Alguns sites seguros são bloqueados após um determinado número de tentativas de senha incorretas, mas muitos não. Para aqueles sem bloqueio de adivinhação, os hackers podem cruzar uma lista de endereços de e-mail com uma lista de senhas populares e configurar um processo automatizado para continuar tentando combinações até entrarem.

Um site devidamente protegido não armazena sua senha em nenhum lugar. Em vez disso, ele executa a senha por meio de um algoritmo de hash, um tipo de criptografia unidirecional. A mesma entrada sempre produz a mesma saída, mas não há como voltar à senha original a partir do hash resultante. Se a senha que você digitar tiver o mesmo valor armazenado, você terá acesso. Mesmo que os hackers capturem os dados do usuário do site, eles não obtêm senhas, apenas hashes.

Mas hackers inteligentes podem decifrar senhas fracas mesmo quando estão em hash, se souberem qual função de hash o site usou. Eles começam executando um enorme dicionário de senhas comuns por meio da função de hash. Em seguida, eles procuram os hashes resultantes nos dados capturados. Cada partida é uma senha quebrada. Sites com a melhor segurança aprimoram a função de hash com uma técnica chamada salting, que impossibilita esse tipo de cracking baseado em tabela, mas por que correr o risco? Apenas fique fora do dicionário.

Pense diferente

Uma amiga me disse uma vez sua senha perfeita: 1qaz2wsx3edc4rfv. Ela poderia "digitar" apenas deslizando um dedo por quatro colunas inclinadas do teclado. Era tão perfeito, ela o usava em todos os lugares. E isso foi um grande erro.

Dificilmente se passa uma semana sem notícias de uma violação em alguma empresa ou site, expondo milhares ou milhões de nomes de usuário e senhas. As vítimas inteligentes mudam suas senhas imediatamente. Aqueles que ignoram o problema podem se ver bloqueados em suas próprias contas depois que os hackers redefinem a senha.

Esses hackers sabem que muitas pessoas reciclam suas senhas. Depois de encontrar um par de nome de usuário e senha em funcionamento, eles tentam as mesmas credenciais em outros sites. Você pode não estar tão preocupado em perder o acesso à sua conta do Club Penguin, mas se você usou o mesmo login no site do seu banco, você terá um grande problema.

Fica pior. Se outra pessoa obtiver o controle de sua conta de e-mail, ela poderá primeiro bloqueá-lo alterando a senha. Em seguida, eles podem invadir suas outras contas enviando um link de redefinição de senha por e-mail para essa conta. Preocupado ainda?

Não seja pessoal

Usar informações pessoais como base para suas senhas é muito tentador, mas é uma má ideia. As chances são boas de que o nome do seu cão apareça nos dicionários que os hackers usam para ataques de força bruta. Outras possibilidades, como as iniciais e a data de nascimento de um membro da família, provavelmente não cairão em um ataque de força bruta, mas se alguém quiser invadir sua conta especificamente, esses dados pessoais podem alimentar um ataque de tentativa e erro.

Não pense nem por um minuto que seus dados pessoais são privados. Existem dezenas de sites que as pessoas podem usar para encontrar detalhes sobre qualquer pessoa: endereço, data de nascimento, estado civil e muito mais. Suas postagens de mídia social podem ser outra fonte de informações pessoais, especialmente se você não protegeu adequadamente suas contas. Um hacker determinado (ou um vizinho intrometido) provavelmente pode adivinhar qualquer senha que você crie com base em seus próprios dados.

Feche a porta traseira

Se você não estiver usando um gerenciador de senhas, certamente já experimentou esquecer a senha de um site. É muito comum, e é por isso que praticamente todas as páginas de login incluem um "Esqueceu sua senha?" link. Alguns sites enviam um link de redefinição para seu endereço de e-mail, enquanto outros permitem que você redefina a senha depois de responder às suas perguntas de segurança. E isso abre uma porta dos fundos para qualquer pessoa que queira invadir sua conta.

A maioria dos sites oferece opções abismais para questões de segurança. Qual é o nome de solteira da sua mãe? Onde você fez o ensino médio? Qual foi seu primeiro emprego? Como observado, sua vida pessoal é um livro aberto para qualquer pessoa com habilidades de pesquisa na Internet. Quando possível, ignore as perguntas predefinidas. Crie sua própria pergunta, com uma resposta única que você sempre lembrará, mas que ninguém mais poderia adivinhar.

É mais difícil quando o site não permite que você defina suas próprias perguntas. Nesse caso, sua melhor aposta é usar uma resposta memorável que seja uma mentira total. O nome de solteira da minha mãe é Obama. Estudei na Escola dos Mártires Comunistas. No meu primeiro emprego, fui domador de leões. Há um elemento de risco, pois você pode esquecer qual mentira escolheu. Eu sugeriria armazenar essas respostas excêntricas como notas seguras em seu gerenciador de senhas ... mas se você estivesse usando um gerenciador de senhas, ele lembraria a senha para você.

O que fazer agora que você se importa

Espero tê-lo convencido de que usar senhas comuns é uma ideia ruim, como construir senhas a partir de informações pessoais. E até mesmo a melhor senha forte e aleatória se torna um risco se você usá-la em todos os lugares. Se você estiver pronto para agir, aqui estão alguns pontos de partida:

• Use um gerenciador de senhas.
• Mude para um gerenciador de senhas melhor.
• Lembre-se de uma senha mestra insanamente segura para o seu gerenciador de senhas.
• Aproveite um gerador de senhas aleatórias para atualizar suas senhas antigas e ruins.
• Você pode até criar seu próprio gerador de senhas aleatórias no Excel.
• Habilite a autenticação de dois fatores sempre que disponível.

Se um site seguro não cuidar da segurança, você ainda pode perder as credenciais desse site devido a uma violação de dados, mas, ao tornar todas as suas senhas longas, fortes e exclusivas, você fez todo o possível para proteger suas contas online.

E ei! Agora que você está em um bom momento, em termos de segurança, considere adicionar uma rede privada virtual ou VPN. Usar senhas fortes para sites seguros significa que outras pessoas não podem invadir suas contas; adicionar uma VPN significa que não há chance de alguém interceptar sua conexão com esses sites seguros.