A óbvia necessidade de ter uma senha forte

Senha Forte

por Ricardo Esper

Ricardo Esper é um experiente profissional com 40 anos em tecnologia e segurança cibernética, fundador da NESS e atuante na Ionic Health como CISO. Especialista em gestão de crises, compliance e investigação na Trustness e forense.io, contribui para várias entidades, incluindo HackerOne e OWASP, promovendo práticas seguras em tecnologia.

Senha – a  óbvia necessidade de ter uma  forte

Sim, mais um artigo a respeito de como é importante manter senhas fortes em seus acessos. Parece óbvio, mas a cada semana que acompanhamos os acontecimentos de cibercrime. A grande maioria é relacionada a senhas fracas e obvias.

Os dispositivos estão cada vez mais complexos, elaborados, pensando na necessidade de segurança dos usuários. Porém, todo este esforço para criar fortes tecnologias de segurança não adianta se o usuário usar uma senha fraca ou fácil demais de ser descoberta.

O trabalho dos profissionais que tem o dever de zelar pela segurança parece um eterno puxão de orelhas nos usuários. Será que sua senha atualmente está protegendo você de verdade? Ou se ela é apenas figurativa, que não será efetiva no momento que você mais precisar.

Com os Smartphones, os problemas de senhas cresceu de forma desproporcional. Uma vez que um dispositivo móvel e tão facilmente furtável tem boa parte de sua vida em dados.

A porta de entrada para tudo

A  senha do aparelho pode dar acesso a quase tudo no telefone, desde contas de e-mail, serviços de nuvem, contatos e até ao registro biométrico (TouchID ou FaceID), permitindo alterar as camadas de segurança e facilitar ainda mais o acesso a outras áreas do sistema.

Famoso pela sua segurança o iPhone que já foi motivo de brigas judicias entre a Apple e o FBI já começa a sofrer com a possibilidade de invasões. Já começam a aparecer dispositivos especializados no desbloqueio de senhas do iPhone. Um deles, o GrayKey, é capaz de desbloquear uma senha de 4 dígitos em no máximo 13 minutos. Senhas de 6 dígitos também podem ser desbloqueadas em menos de 24h.

Senha fácil demais

É inútil os fabricantes implementarem recursos como o Bloqueio de Ativação da Apple ou uma alta criptografia no sistema se o usuário continuar utilizando senhas óbvias e simples. Não há proteção no mundo que resista a uma senha fraca.

É como reforçar a segurança de sua casa com portas de aço e janelas com grades indestrutíveis, mas deixar a chave embaixo do capacho.

Você precisa ter consciência de que você é o grande responsável pela sua segurança. Se continuar usando uma senha fraca porque “é mais fácil de digitar“, saiba que no futuro você poderá ter boas dores de cabeça com seus dados, fotos, documentos, acesso a apps de bancos e contas em nuvem caso seu aparelho seja roubado.

No ano passado “123456” continuou sendo a senha mais usada pelos usuários de internet em todo o mundo. A senha é usada por 4 em cada 100 usuários da rede.

Esse é o sexto relatório anual realizado pela SplashData, chamado Worst Passwords List, onde são relacionadas as 25 piores senhas usadas em todo o mundo durante o ano. Para o levantamento foram analisadas mais de 5 milhões de senhas que foram descobertas e se tornaram públicas ao londo do ano.

O relatório mostra que pouco mais de 10% das pessoas usam pelo menos uma das 25 piores senhas da lista, com quase 4% das pessoas usando a pior senha, “123456”.

Entre as 25 piores senhas, somente 8 são novas e 17 já constavam na lista do ano anterior. Pelo sexto ano seguido as duas senhas mais usadas são “123456” e “password”. Se destacam também senhas numéricas simples, onde 7 senhas são compostas apenas por números.

Varios usuários do mundo inteiro usam uma das senhas da lista abaixo:

  • 123456
  • Password
  • 12345678
  • qwerty
  • 12345
  • 123456789
  • 1234567
  • admin
  • abc123
  • 123123

Como se proteger

A resposta óbvia é: escolha uma senha nada óbvia, com o máximo de caracteres possível. O ideal mesmo é que ela seja alfanumérica (ou seja, contenha letras e números).

A senha precisa ser difícil para as outras pessoas, não para você. Escolha algo fácil de lembrar, mas que não seja uma senha que outra pessoa (ou máquina) possa descobrir rapidamente.

Criar uma senha difícil para o usuário não significa que ela será impossível de ser descoberta pelos atuais softwares de força bruta. Além disso, apenas misturar letras maiúsculas, minúsculas, números e símbolos acaba provocando senhas do tipo “Senh@1!“, que são bem fáceis de serem adivinhadas. Isso porque as pessoas são preguiçosas e não querem pensar muito na hora de digitar o código no telefone.

O  importante é a senha ser a mais longa possível e que seja de fácil memorização para o proprietário, mas NUNCA seja óbvia!

Portanto, nada de citar frases de músicas famosas, do tipo “aguaaguaaguaineral” ou então “Ileftmyheartinsanfrancisco”. A senha tem que ser grande, mas precisa ser uma frase sua, que faça sentido para você e, desta maneira, seja fácil de memorizar.

Por exemplo, uma senha neste estilo poderia ser algo do tipo “anoquevoupromexico”, ou então “aminhavistaelinda”. São frases longas fáceis de você lembrar, mas que não poderão ser recuperadas pela engenharia social e tornarão bem mais difícil o trabalho de dispositivos e softwares de hacking.

Hoje em dia a biometria dos celulares e tablets facilita bastante a vida. Você só precisa introduzir a senha quando liga o aparelho ou eventualmente, pois a maior parte do tempo você usa a digital ou o rosto para desbloquear o aparelho. Então não há motivos para você ficar criando senhas óbvias que não protegerão o seu dispositivo.

Outra dica é nunca usar a mesma senha para serviços diferentes, porque senão quando se descobre uma, ganha-se acesso a várias contas. Crie uma senha única para o seu telefone, outra para o armazenamento em nuvem (iCloud, Dropbox, OneDrive, etc.), outra para o Facebook e redes sociais em geral, e assim por diante.

Existem APPS que lhe ajudam a guardar todas estas senhas. Dashlane, Lastpass, entre outros.

Autenticação em duas etapas

A verificação em duas etapas permite reforçar a segurança no acesso:  Google, Facebook, Outlook, Dropbox, etc.. Exigie uma segunda camada de autenticação. Dessa forma, não basta a pessoa ter o nome de usuário e senha: é necessário confirmar o login por meio de um código recebido via SMS ou alerta no app do celular.

O recurso garante que os dados estejam mais protegidos nos dois serviços, evitando violações de e-mail  ou mantendo longe de curiosos das suas mensagens privadas.

 

Sumarizando

Portanto, fica a dica: se preocupe hoje com a senha que você coloca nos seus dispositivos, para que amanhã ela não seja um motivo de preocupação muito maior para você.

Ricardo Esper
Ricardo Esper

Ricardo Esper é um experiente profissional com 40 anos em tecnologia e segurança cibernética, fundador da NESS e atuante na Ionic Health como CISO. Especialista em gestão de crises, compliance e investigação na Trustness e forense.io, contribui para várias entidades, incluindo HackerOne e OWASP, promovendo práticas seguras em tecnologia.

Falando nisso…

0 comentários