Índice:
- Fique fora do dicionário
- Pense diferente
- Não fique pessoal
- Feche a porta traseira
- O que fazer agora que você se importa
Aconselhamos repetidamente que a única maneira segura de armazenar e usar senhas é confiar em um gerenciador de senhas, mas alguns de vocês não estão ouvindo. Em uma pesquisa de senhas da PCMag, apenas 24% de vocês relataram usar um gerenciador de senhas. O que vocês estão fazendo? Usando senhas fáceis como senha ou 12345678? Memorizando uma senha complexa e usando-a em qualquer lugar? Escute, cuidar da segurança da senha não é um problema pequeno, mas, dada a enorme escala do risco - como ilustrado na recente violação da coleção nº 1, que expôs 773 milhões de endereços de email invadidos - você precisa fazer tudo o que puder para manter suas senhas seguro.
Mesmo se você estiver usando o melhor gerenciador de senhas, ele não garante a segurança de suas contas - não se você usar o gerenciador de senhas para lembrar as mesmas senhas antigas e cansadas. Você precisa entrar nas trincheiras e trocar as senhas ruins pelas novas e mais fortes.
A pesquisa mencionada acima revelou que 35% dos leitores do PCMag nunca alteram suas senhas, a menos que sejam forçados a fazê-lo por uma violação. Em geral, isso não é uma coisa tão ruim. O Instituto Nacional de Padrões e Tecnologia não recomenda mais a alteração de senhas a cada 90 dias. O NIST agora recomenda o uso de frases longas como "Grampo correto da bateria do cavalo" e alterá-las somente quando necessário. Mas se você estiver usando senhas terríveis, "quando necessário" significa agora .
O que faz uma senha incorreta? Examinaremos alguns dos atributos de senhas terríveis e, em seguida, forneceremos algumas dicas sobre como fazer senhas da maneira certa.
Fique fora do dicionário
A cada poucos meses, um canal de notícias ou outro publica uma lista das piores senhas. Vemos muitas opções fáceis de digitar, como 123456 e 12345678 e qwerty. Fácil para você? Certo. Mas também é fácil para hackers invadirem. Outras senhas comuns (e ruins) consistem em palavras simples do dicionário. Vimos beisebol, macaco e guerra nas estrelas na lista das piores senhas. Também são fáceis de quebrar.
Alguns sites seguros são bloqueados após um número definido de tentativas erradas de senha, mas muitos não. Para aqueles sem bloqueio de suposição, os hackers podem cruzar uma lista de endereços de email com uma lista de senhas populares e configurar um processo automatizado para continuar tentando combinações até que elas entrem.
Um site devidamente protegido não armazena sua senha em nenhum lugar. Em vez disso, ele executa a senha por meio de um algoritmo de hash, um tipo de criptografia unidirecional. A mesma entrada sempre produz a mesma saída, mas não há como retornar à senha original a partir do hash resultante. Se a senha digitada hashes com o mesmo valor armazenado, você obtém acesso. Mesmo que os hackers capturem os dados do usuário do site, eles não recebem senhas, apenas hashes.
Mas hackers inteligentes podem decifrar senhas fracas, mesmo quando estão com hash, se souberem qual função de hash o site usou. Eles começam executando um enorme dicionário de senhas comuns através da função hash. Em seguida, eles procuram os hashes resultantes nos dados capturados. Cada partida é uma senha quebrada. Sites com a melhor segurança aprimoram a função de hash com uma técnica chamada salga, o que torna impossível esse tipo de craqueamento baseado em tabela, mas por que correr o risco? Apenas fique fora do dicionário.
Pense diferente
Uma amiga me disse uma vez sua senha perfeita: 1qaz2wsx3edc4rfv. Ela poderia "digitar" deslizando um dedo pelas quatro colunas inclinadas do teclado. Era tão perfeito que ela usava em todos os lugares. E isso foi um grande erro.
Dificilmente passa uma semana sem notícias de uma violação em alguma empresa ou site, expondo milhares ou milhões de nomes de usuário e senhas. As vítimas inteligentes mudam suas senhas imediatamente. Quem ignora o problema pode ficar bloqueado em suas próprias contas depois que os hackers redefinem a senha.
Esses hackers sabem que muitas pessoas reciclam suas senhas. Depois de encontrar um par de nome de usuário e senha, eles tentam as mesmas credenciais em outros sites. Você pode não estar tão preocupado em perder o acesso à sua conta do Club Penguin, mas se você usou o mesmo login no site do seu banco, terá um grande problema.
Fica pior. Se outra pessoa obtiver o controle da sua conta de e-mail, ela poderá bloquear você alterando a senha. Em seguida, eles podem invadir suas outras contas enviando um link de redefinição de senha para essa conta. Preocupado ainda?
Não fique pessoal
Usar informações pessoais como base para suas senhas é muito tentador, mas é uma má ideia. As chances são boas de que o nome do seu cão apareça nos dicionários que os hackers usam para ataques de força bruta. Outras possibilidades, como as iniciais e a data de nascimento de um membro da família, provavelmente não cairão em um ataque de força bruta, mas se alguém quiser invadir sua conta especificamente, esses dados pessoais podem alimentar um ataque de tentativa e erro.
Não pense por um minuto que seus dados pessoais são privados. Existem dezenas de sites que as pessoas podem usar para encontrar detalhes sobre qualquer pessoa: endereço, data de nascimento, estado civil e muito mais. Suas postagens nas redes sociais podem ser outra fonte de informações pessoais, especialmente se você não protegeu suas contas adequadamente. Um hacker determinado (ou um vizinho intrometido) provavelmente pode adivinhar qualquer senha criada com base em seus próprios dados.
Feche a porta traseira
Se você não estiver usando um gerenciador de senhas, certamente experimentou esquecer a senha de um site. É muito comum, e é por isso que praticamente todas as páginas de login incluem um "Esqueceu sua senha?" ligação. Alguns sites enviam um link de redefinição para o seu endereço de e-mail, enquanto outros permitem que você redefina a senha depois de responder às suas perguntas de segurança. E isso abre uma porta traseira para quem quiser invadir sua conta.
A maioria dos sites oferece opções abismais para questões de segurança. Qual é o nome de solteira da sua mãe? Onde você fez o ensino médio? Qual foi seu primeiro emprego? Como observado, sua vida pessoal é um livro aberto para qualquer pessoa com habilidades de pesquisa na Internet. Quando possível, ignore as perguntas predefinidas. Crie sua própria pergunta, com uma resposta única que você sempre lembrará, mas que ninguém mais poderia adivinhar.
É mais difícil quando o site não permite que você defina suas próprias perguntas. Nesse caso, sua melhor aposta é usar uma resposta memorável que é uma mentira total. O nome de solteira da minha mãe é Obama. Eu fui para a escola na Escola Comunista de Mártires. No meu primeiro emprego, fui domador de leões. Existe um elemento de risco, pois você pode esquecer qual mentira escolheu. Sugiro que você armazene essas respostas excêntricas como notas seguras no seu gerenciador de senhas… mas se você estivesse usando um gerenciador de senhas, ele lembraria a senha para você.
O que fazer agora que você se importa
Espero ter convencido você de que usar senhas comuns é uma idéia podre, como criar senhas a partir de informações pessoais. E mesmo a melhor senha forte e aleatória se torna uma responsabilidade se você a usar em todo o lugar. Se você estiver pronto para agir, aqui estão alguns pontos de partida:
- Use um gerenciador de senhas.
- Mude para um melhor gerenciador de senhas.
- Lembre-se de uma senha mestra incrivelmente segura para o seu gerenciador de senhas.
- Aproveite um gerador de senhas aleatórias para atualizar suas senhas antigas e ruins.
- Você pode até criar seu próprio gerador de senha aleatória no Excel.
- Habilite a autenticação de dois fatores, sempre que disponível.
Se um site seguro não cuida da segurança, você ainda pode perder as credenciais desse site devido a uma violação de dados, mas ao tornar todas as suas senhas longas, fortes e exclusivas, você fez todo o possível para proteger suas contas online.
E ei! Agora que você está no caminho certo, em segurança, considere adicionar uma rede privada virtual ou VPN. Usar senhas fortes para sites seguros significa que outras pessoas não podem invadir suas contas; adicionar uma VPN significa que não há chance de alguém interceptar sua conexão com esses sites seguros.