7 dicas para senhas mais fortes

Está um péssimo período para as senhas. Por enquanto, 6,5 milhões de usuários do LinkedIn e 1,5 milhão de assinantes do eHarmony tiveram suas senhas divulgadas em um fórum de hackers no website InsidePro, embora especialistas de segurança suspeitem que muitas outras contas possam ter sido comprometidas.

Enquanto isso, o serviço de música online Last.fm, confirmou recentemente que está “investigando o vazamento das senhas de alguns usuários do Last.fm”. Por mais que detalhes sobre quantos dos 40 milhões de usuários foram atingidos, especialistas de segurança acreditam que cerca de 17.3 milhões de hashes MD5 foram roubados, 16.4 milhões já tenham sido decifrados e que a brecha pode datar de 2010 ou 2011.

Não é necessário dizer que esses três sites recomendam que seus usuários troquem as senhas de acesso aos sites – só por garantia. Mas, qual o melhor tipo de senha para escolher? Aqui estão as sete melhores práticas:

1. Preste atenção

O principal problema de segurança das senhas é apatia. Enquanto o banco de dados de hash de senha do LinkedIn e eHarmony divulgado no fórum de hack de senhas InsidePro não fossem rotulados assim, muitos pesquisadores de segurança rapidamente identificaram o tipo possível de usuários envolvidos, graças ao grande número de senhas que eram, literalmente, “linkedin”, “eharmony”, “harmony” e alguma outra derivação.

Qual é o problema? Simplesmente que essas senhas – entre muitas outras escolhas – são extremamente fáceis de decifrar. No caso das 6.5 milhões de senhas vazadas, por exemplo, “1.354.946 foram recuperadas em algumas horas com o HashCat/Jtr e em listas de palavras encontradas publicamente”, de acordo com o pesquisador de segurança Stefan Venken.

2. Use senhas únicas

Quando se trata de criar senhas, “lembre-se de usar senhas separadas e únicas para cada site. A reutilização de senhas é sua inimiga”, disse Roger Thompson, pesquisador-diretor de ameaças emergentes do ICSA Labs, via e-mail. Isso porque quanto os criminosos obtêm as senhas, eles tendem a trocá-las com outras pessoas, que depois irão testar se as credencias do usuário – username e senha – de um site funcionam em outro. No ano passado, por exemplo, a Sony teve de bloquear cerca de 93.000 contas de usuários depois que criminosos utilizaram credenciais roubadas de outros sites para acessar contas no PlayStation Network, Sony Online Entertainment e Sony Entertainment Network.

3. Explore a vida além das letras

Para senhas mais fortes, “use caracteres como &*#(@? na senha”, recomenda Thompson. Ele disse também que frases comuns, como “I like BBQ” devem ser evitadas, já que são fáceis de decifrar. Mas frases complexas, como “várias palavras aleatórias juntas”, podem ser boas senhas.

4. Use padrões incomuns

Tente não escolher padrões facilmente reconhecidos. “Usuários não devem confiar em padrões comuns como uma forma de melhorar a segurança da senha”, disse Seth Hanford, o líder da equipe de operações da IntellShield, que faz parte da Cisco, em um post em seu blog. “Por exemplo, pesquisas recentes sugerem que conjuntos como combinações de dia e mês (quatro dígitos começando com “19” ou “20” ou combinações que possam ser interpretadas como valores dia/mês, como 0501) são particularmente fracas”.

5. Esqueça detalhes biográficos

Evite usar detalhes públicos sobre você para criar sua senha. “Não use coisas que podem ser descobertas sobre você, como sua cidade natal ou o nome do seu animal de estimação ou parceiro”, disse Thompson. Infelizmente, o mesmo é válido para as perguntas de recuperação de senhas, como aprendeu o candidato à presidência, Matt Rommey, na semana passada, quando alguém acessou seu Hotmail e conta no Dropbox e reconfigurou a senha. Conseguiram fazer isso adivinhando o “animal preferido” dele, que era pergunta de redefinição da senha, o que significa que a informação era pública.

6. Escolha senhas longas

Use senhas longas. “Com que velocidade os hackers decifram senhas? A resposta é 2 bilhões de combinações por segundo” usando o Radeon HD 7970 (o melhor e mais recente processador gráfico)”, disse Robert Graham, CEO da Errata Security, em um post em seu blog. Como uma senha de 5 letras tem 10 bilhões de possíveis combinações, significa que pode ser decifrada em 5 segundos. Seis caracteres, 500 segundos; sete letras, 13 horas; e oito caracteres, 57 dia. Enquanto isso, “se tiver nove letras/caracteres, é muito mais difícil de decifrar à força”, disse ele, embora existam outras formas de decifrar senhas, como, por exemplo, usando rainbow tables.

Só por curiosidade, as análises da Venken sobre a brecha das senhas do LinkedIn descobriram que as senhas de oito caracteres são as mais comuns (33%), seguidas por seis caracteres (22%), sete caracteres (16%), nove caracteres (15%), 10 caracteres (9%) e 11 caracteres (4%). Especialistas em segurança observaram que como a base de usuários do LinkedIn é amplamente profissional, e assim seguindo regras de senha de TI, eles provavelmente escolheram senhas mais fortes – e longas – do que o usuários comum de outros sites.

7. Use gerenciadores de senhas

Talvez a melhor técnica na criação de senhas seja escolher “correntes longas e aleatórias (>12 caracteres) geradas por um gerenciador seguro de senhas”, disse Hanford. Os gerenciadores de senhas geralmente incluem fortes geradores de senhas aleatórias, o que elimina possíveis adivinhações. Melhor do que isso, muitos deles sincronizam com listas de senhas em seus PCs, smartphones ou tablet.

Qual gerenciador de senha você pode usar? O LifeHacker oferece uma rodada. Mas atenção: uma estudo de gerenciadores de senhas para iOS, divulgado no inicio deste ano por pesquisadores da Black Hat Europe, descobriu que de 13 aplicativos estudados, apenas um implementava criptografia corretamente. Com a publicação da pesquisa, no entanto, muitos dos desenvolvedores nomeados no relatório disseram que iriam consertar a forma como os aplicativos usam criptografia.