Regras para Criação de Senhas Seguras
O maior perigo que um computador ou sistema pode sofrer está com a conduta de uso de seu usuário. Se o indivíduo não utiliza as boas políticas de criação e manutenção de senhas, o sistema estará potencialmente vulnerável, apenas esperando que o primeiro "esperto" descubra a falha (humana). Para ajudar aqueles que gostariam de melhorar a segurança dos sistemas e serviços que usa em seu dia-à-dia, aqui seguem algumas regras básicas.
- Possuir uma seqüência longa de caracteres (atualmente, acima de 16 é o básico).
- Misturar letras maiúsculas e minúsculas dos caracteres do alfabeto (ex.: aSGtfBBv)
- Acrescentar números a seqüência de forma aleatória (98378123091)
- Se o sistema permitir, utilizar caracteres "extras" como hífen (-), underscore (_), etc.
Então, uma senha forte deve misturar todas as regras acima para garantir sua segurança. Em alguns casos (ou serviços) é impossível aplicar a primeira e/ou a quarta regra. Infelizmente, ainda existem muitos sistemas de acesso a recursos e serviços que não acompanham a preocupação com segurança. Eles podem limitar o número de caracteres para uso no sistema (ex.: apenas 8 caracteres), ou mesmo impedir que você use caracteres que sejam diferentes dos alfanuméricos, como o sinal de porcentagem (%) a tralha (#), o asterisco (*), hífen (-), underscore (_) e assim por diante. Veja abaixo alguns exemplos de senhas seguras:
675tGFr-87gA!pm8_rR43
UY--982n2tg?TF7*fbUf5
HH%12978=ytBxcz:0-OIU
Mas lembre-se: nunca utilize senhas divulgadas (como essas acima). Uma senha só é segura, se foi bem "construída" e só você a conhece. Reforçando: crie suas próprias senhas seguras. E nunca, NUNCA, utilize exemplos de senhas fornecidos por terceiros. Se você não seguir essas regras, poderá ser a "bola da vez" em um ataque. Veja abaixo.
Regras para ser Invadido
O que vamos discutir abaixo é o que você NUNCA DEVE FAZER, em hipótese alguma, para criar suas senhas:
- NUNCA utilize nomes próprios em suas senhas (ex.: maria, Recife)
- NUNCA utilize nomes comuns em suas senhas (ex.: cadeira, mesa, bola, sapato, carro, mercedes)
- NUNCA utilize datas em suas senhas (muito menos a sua data de nascimento, ou a de pessoas próximas a ti)
- NUNCA utilize seqüências numéricas em suas senhas (ex.: 12345) ou mesmo números repetidos (ex.: 33333)
- NUNCA utilize seqüências alfabéticas em suas senhas (ex.: abcdef)
- NUNCA utilize seqüências idênticas de qualquer caractere (ex.: ------, +++++, ou mesmo ******)
- NUNCA utilize o seu próprio login como senha (ex.: login: cesar, senha: cesar)
- E NUNCA, NUNCA, NUNCA deixe sua senha em branco (o pior dos casos, principalmente quando o usuário quer, e o sistema deixa).
Os ataques de força bruta para a quebra de senhas de acesso utilizam primeiro (na maioria das vezes) o básico: um ataque via dicionário. Então se você utilizar como senha palavras comumente utilizadas no seu dia-a-dia (e nos dicionários), o ataque quebrará sua senha em poucos segundos, e você PERDEU!
Sim! Existem pessoas que "apelam" da "boa vontade" das políticas de segurança e utilizam o mesmo nome de login como senha. Mas nenhum dos casos beira tanto o absurdo quanto deixar o sistema sem nenhuma senha. É fato! Existem pessoas que deixam sua senha em branco, para uso do sistema (vemos muito disso no Windows).
Como Evitar Ataques de Engenharia Social
E por último, vale lembrar que mesmo tirando a sua carteira de motorista, e sendo um exemplo de segurança nas ruas de todo país, para que você "sobreviva" e possa voltar para casa e ver sua família todas as noites, é preciso também se preocupar com quem está dirigindo ao seu lado.
Vale lembrar que sua senha pode até ser "a mais segura do mundo". Mas no momento que outra pessoa a descobre, ela passa a ser "a mais fácil do mundo". Se você contou para alguém suas senha, já era! Se você deixou ela anotada em um pedaço de papel, à vista de todos os seus colegas de trabalho, já era! Se alguém lhe perguntou a sua senha e você contou (mesmo achando que ninguém vai conseguir chegar até seu computador), já ERA!
Sua senha é como um segredo: no momento que ela é divulgada, perde seu valor. Então, caso alguém pergunte sua senha, mesmo que seja um colega de trabalho, não conte. Se insistirem, fale com seu chefe ou com o responsável pela segurança da rede no seu setor, pois alguma coisa "muito errada" deve estar "rolando" no seu ambiente de trabalho. Não é normal em um ambiente de trabalho alguém insistir tanto para ter sua(s) senha(s) de acesso.
Eu vou além: se você encontrar pessoas em seu ambiente de trabalho perguntando constantemente sobre sua(s) senha(s), considere isso como um insulto a sua pessoa (Sim! Você foi insultado!). Muitos ataques de engenharia social utilizam como primeiro ataque, a abordagem a quem eles consideram "idiotas", que podem ser facilmente manipulados para a obtenção de dados sigilosos, da maneira mais fácil possível. Então, ponha uma coisa na sua cabeça: se alguém está tentando descobrir sua senha perguntando para você, essa pessoa está lhe ofendendo, e MUITO!
Pior ainda se alguém de fora vier a lhe perguntar (direta ou indiretamente) sua senha. Você pode estar sendo alvo de ações internas na empresa, que te escolheram abordar, por acharem que você é "presa fácil". Não importa se a pessoa se identificar como "um amigo do chefe", ou "da contabilidade da empresa", ou "responsável pela segurança de dados da companhia", ou pior ainda, dizer que é um "policial ou detetive investigando um caso a mando do chefe, ou de algum órgão externo", ou qualquer "apresentação suspeita" que ouvir. Imediatamente desconverse e comunique sua empresa sobre o ocorrido. Quanto mais rápido o "mal for cortado pela raiz", melhor para todo mundo - e principalmente para VOCÊ!
Sim! Principalmente para você, que pode ser facilmente utilizado como "bode expiatório" nos delitos que os criminosos pretendem, ou estão executando em sua empresa, ou mesmo em seu nome (com os seus dados, roubando teu dinheiro do banco pela Internet, ou usando suas contas de redes sociais e e-mails, etc).
Decorando Senhas Complicadas
Caso sua(s) senha(s) seja(m) muito complicada(s), a ponto de precisar registrá-las() um papel para memorização, mantenha o mesmo longe de olhares curiosos, e o mais "escondido" possível. Após ter decorado sua(s) senha(s), destrua o papel. Mas não o jogue simplesmente no lixo! A maioria dos ataques digitais a empresas são feitos a partir de informações obtidas do seu próprio lixo. Sim! Muitos são os que se aventuram nos lixos das empresas para obter informações de login de usuários (mesmo sem ter a senha do mesmo), ou informações sobre os próprios usuários, que serão seus alvos em ataques de engenharia social. Afinal, nos dias de hoje, tendo o nome completo de uma pessoa, você poderá obter informações "sensíveis" sobre ela até mesmo em uma simples busca pelo Google.
E caso você tenha uma enorme quantidade de senhas complexas para o acesso de vários sistemas, e for "impossível" decorar todas elas, mantenha-as armazenadas em um local seguro. pode ser num papel, ou em um arquivo digital, mas eles devem estar COMPLETAMENTE FORA do alcance de todos. Eu disse TODOS!
Se o seu computador é de uso "público", não deixe o arquivo com as senhas registrado nele. Mesmo que o computador seja apenas para seu uso, se ele não é seu (que você possa colocar debaixo do braço e levá-lo para casa) não deixe seu arquivo armazenado lá.
E se for armazenar suas senhas em um papel, não o deixe pendurado aos olhos de terceiros. Muitos cometem a "tolice" de criar senhas "ultra-difíceis", registrá-las em papel, e depois prendê-las no quadro de avisos de sua sala, ou deixar o mesmo exposto em sua mesa de trabalho. É pedir para ser invadido, ou pior: um crime pode ser cometido, e o culpado será você (até que prove o contrário), pois foi com seu login e senha que os criminosos efetuaram o ato ilícito.
Duvidas, Críticas, Sugestões, Reclamações e Elogios são bem vindos nos comentários. E se sentirem que faltou algo, ou algum ponto poderia ser melhor explicado, deixe suas sugestões nos comentários. Esse texto será constantemente atualizado para se tornar uma informação útil para todos os usuários, e principalmente os novatos, na criação e proteção de senhas seguras.
Dicas da Comunidade Under-Linux
Mascaramento de caracteres
O usuário cordobel, aqui do Portal Under-Linux, sugeriu nos comentários uma dica fácil para a criação de senhas seguras, que também sejam de fácil memorização. Basta escolher duas palavras, ou mesmo uma frase, que seja marcante para você. Então, o próximo passo é substituir alguns caracteres do alfabéto, por símbolos, mas que ainda "lembrem" visualmente, a frase original. O exemplo citado foi:
copa do mundo
Substituições de caracteres interessantes seriam:
c0p4_d0#/\/\udo
C()p@d0MunO
Vale lembrar que substituições numéricas das vogais não são permitidas. O jeito 1337 de falar (e de escrever) já possui dicionário em uso para invações por força bruta. Então senha como: 4b4c4x1 (em substituição a abacaxi), c4rr0 (em substituição a carro) e qualquer outro tipo de substituição de vogais por números é PROIBIDO!
E, voltando a reforçar, todos os exemplos de senha acima descritos não devem ser utilizados como suas senhas de acesso. Senha é segredo, e não deve ser divulgada para ninguém.
Evitando serviços online com segurança limitada
O usuário julianoazevedo deu um bom alerta. Evitem utilizar serviços em sites na Internet que sejam limitados no quesito segurança. Mas que tipos de limitações? Depende do quanto você deseja "se proteger". Exemplo: se um determinado serviço na Internet não lhe permite usar alguns caracteres especiais como senha, evite-os. Sistemas que só permitam o uso de números e alfabeto são limitados (e potencialmente inseguros). Claro que você deve pensar o quanto vale o risco, caso o site seja "indispensável" para sua "vida digital".
Outro exemplo: se um site limita que a senha só possa ter 8 caracteres no máximo, ela é considerada muito pequena (e conseqüentemente fácil), aumentando as chances dos crackers quebrarem sua senha utilizando ataques de força bruta. Mesmo que leve horas, e sua senha seja considerada difícil para esse número de caracteres permitido, as chances são maiores de você ter dores de cabeça.
Mensagem do Sistema