Como criar e lembrar uma senha forte

2024 Autor: Malcolm Clapton | [email protected]. Última modificação: 2023-12-17 04:08

As melhores maneiras de criar uma senha que ninguém pode quebrar.

A maioria dos invasores não se preocupa com métodos sofisticados de roubo de senha. Eles usam combinações fáceis de adivinhar. Cerca de 1% de todas as senhas existentes podem ser de força bruta com quatro tentativas.

Como isso é possível? Muito simples. Você tenta as quatro combinações mais comuns do mundo: senha, 123456, 12345678, qwerty. Após tal passagem, em média, 1% de todos os "baús" são abertos.

Digamos que você esteja entre aqueles 99% dos usuários cuja senha não é tão simples. Mesmo assim, o desempenho do software de hacking moderno deve ser levado em consideração.

O programa gratuito e disponível gratuitamente John the Ripper verifica milhões de senhas por segundo. Alguns exemplos de software comercial especializado reivindicam uma capacidade de 2,8 bilhões de senhas por segundo.

Inicialmente, os programas de cracking executam uma lista das combinações estatisticamente mais comuns e, a seguir, consultam o dicionário completo. Com o tempo, as tendências de senha dos usuários podem mudar um pouco, e essas mudanças são levadas em consideração quando essas listas são atualizadas.

Com o tempo, todos os tipos de serviços e aplicativos da Web decidiram complicar à força as senhas criadas pelos usuários. Foram adicionados requisitos, segundo os quais a senha deve ter um determinado comprimento mínimo, conter números, maiúsculas e caracteres especiais. Alguns serviços levam isso tão a sério que é uma tarefa muito longa e tediosa encontrar uma senha que o sistema aceite.

O principal problema é que quase qualquer usuário não gera uma senha de força bruta verdadeira, mas apenas tenta atender ao mínimo os requisitos do sistema para a composição da senha.

O resultado são senhas como senha1, senha123, senha, PaSsWoRd, senha! e a incrivelmente imprevisível p @ ssword.

Imagine que você precise refazer sua senha do homem-aranha. Provavelmente será semelhante a $ pider_Man1. Original? Milhares de pessoas irão alterá-lo usando o mesmo algoritmo ou um algoritmo muito semelhante.

Se o cracker conhece esses requisitos mínimos, a situação só piora. É por esse motivo que o requisito imposto para aumentar a complexidade das senhas nem sempre fornece a melhor segurança e, muitas vezes, cria uma falsa sensação de aumento de segurança.

Quanto mais fácil for lembrar a senha, mais provável será que ela acabe nos dicionários dos crackers. Como resultado, uma senha realmente forte é simplesmente impossível de lembrar, o que significa que ela precisa ser corrigida em algum lugar.

De acordo com especialistas, mesmo nesta era digital, as pessoas ainda podem contar com um pedaço de papel com senhas escritas nele. É conveniente manter essa folha em um local escondido de olhares indiscretos, por exemplo, em uma carteira ou carteira.

No entanto, a folha de senha não resolve o problema. Senhas longas são difíceis não apenas de lembrar, mas também de inserir. A situação é agravada por teclados virtuais de dispositivos móveis.

Ao interagir com dezenas de serviços e sites, muitos usuários deixam para trás uma série de senhas idênticas. Eles tentam usar a mesma senha para todos os sites, ignorando completamente os riscos.

Nesse caso, alguns sites funcionam como babás, fazendo com que a combinação seja complicada. Como resultado, o usuário simplesmente não consegue se lembrar de como ele teve que modificar sua senha única padrão para este site.

A escala do problema foi totalmente percebida em 2009. Então, devido a uma falha de segurança, o hacker conseguiu roubar o banco de dados de logins e senhas da RockYou.com, empresa que publica jogos no Facebook. O invasor disponibilizou o banco de dados publicamente. No total, continha 32,5 milhões de entradas com nomes de usuário e senhas de contas. Vazamentos já aconteceram antes, mas a escala deste evento em particular mostrou o quadro completo.

A senha mais popular no RockYou.com era 123456, usada por quase 291.000 pessoas. Homens com menos de 30 anos preferem temas sexuais e vulgaridades com mais frequência. Pessoas mais velhas de ambos os sexos frequentemente recorrem a uma área particular da cultura ao escolher uma senha. Por exemplo, Epsilon793 não parece uma opção tão ruim, apenas esta combinação estava em Star Trek. O 8675309 de sete dígitos apareceu muitas vezes porque esse número apareceu em uma das canções de Tommy Tutone.

Na verdade, criar uma senha forte é uma tarefa simples, basta compor uma combinação de caracteres aleatórios.

Você não pode criar uma combinação perfeitamente aleatória em termos matemáticos em sua cabeça, mas você não é obrigado a fazê-lo. Existem serviços especiais que geram combinações verdadeiramente aleatórias. Por exemplo, ele pode criar senhas como esta:

• mvAWzbvf;
• 83cpzBgA;
• tn6kDB4T;
• 2T9UPPd4;
• BLJbsf6r.

Esta é uma solução simples e elegante, principalmente para quem usa um gerenciador para armazenar senhas.

Infelizmente, a maioria dos usuários continua a usar senhas simples e fracas, mesmo ignorando a regra de “senhas diferentes para cada site”. Para eles, a conveniência é mais importante do que a segurança.

As situações em que a segurança da senha pode ser comprometida podem ser divididas em 3 categorias amplas:

• Aleatória, em que uma pessoa que você conhece está tentando descobrir a senha, contando com informações que ela conhece sobre você. Freqüentemente, esse tipo de cracker quer apenas pregar uma peça, descobrir algo sobre você ou fazer uma bagunça.
• Ataques em massaquando absolutamente qualquer usuário de certos serviços pode se tornar uma vítima. Nesse caso, é usado um software especializado. Para o ataque, os sites menos seguros são selecionados, o que permite que você insira opções de senha repetidamente em um curto período de tempo.
• Com propósitoque combinam o recebimento de dicas (como no primeiro caso) e o uso de software especializado (como em um ataque em massa). Trata-se de tentar obter informações realmente valiosas. Apenas uma senha aleatória suficientemente longa ajudará a se proteger, a seleção da qual levará um tempo comparável à duração de sua vida.

Como você pode ver, absolutamente qualquer pessoa pode se tornar uma vítima. Frases como “minha senha não será roubada, porque ninguém precisa de mim” não são relevantes, pois você pode entrar em uma situação semelhante por acidente, por coincidência, sem motivo aparente.

É ainda mais sério aceitar a proteção por senha para aqueles que possuem informações valiosas, estão associados a um negócio ou estão em conflito com alguém por motivos financeiros (por exemplo, divisão de propriedade no processo de divórcio, competição nos negócios).

Em 2009, o Twitter (no entendimento de todo o serviço) foi hackeado apenas porque o administrador utilizou a palavra felicidade como senha. O hacker o pegou e postou no site Digital Gangster, o que levou ao sequestro das contas de Obama, Britney Spears, Facebook e Fox News.

Siglas

Como em qualquer outro aspecto da vida, sempre temos que encontrar um meio-termo entre a máxima segurança e a máxima comodidade. Como encontrar um meio-termo? Qual estratégia para gerar senhas permitirá que você crie combinações fortes que podem ser facilmente lembradas?

No momento, a melhor combinação de confiabilidade e conveniência é converter uma frase ou frase em uma senha.

Um conjunto de palavras de que você sempre se lembra é selecionado e uma combinação das primeiras letras de cada palavra é usada como senha. Por exemplo, que a força esteja com você se transforma em Mtfbwy.

Porém, como as mais famosas serão usadas como frases iniciais, os programas acabarão recebendo essas siglas em suas listas. Na verdade, a sigla contém apenas letras e, portanto, é objetivamente menos confiável do que uma combinação aleatória de caracteres.

Escolher a frase certa o ajudará a se livrar do primeiro problema. Por que transformar uma expressão mundialmente famosa em uma senha de acrônimo? Você provavelmente se lembra de algumas piadas e ditados que são relevantes apenas entre o seu círculo próximo. Digamos que você tenha ouvido uma frase muito cativante de um barman em um estabelecimento local. Use-o.

Ainda assim, é improvável que a senha do acrônimo que você gerou seja exclusiva. O problema com siglas é que diferentes frases podem ser compostas de palavras que começam com as mesmas letras e na mesma sequência. Estatisticamente, em vários idiomas, há um aumento da frequência do aparecimento de certas letras como início de uma palavra. Os programas levarão esses fatores em consideração, e a eficácia das siglas na versão original será reduzida.

Caminho reverso

A saída pode ser a forma oposta de geração. Você cria uma senha completamente aleatória em random.org e, em seguida, transforma seus caracteres em uma frase memorável significativa.

Freqüentemente, os serviços e sites fornecem aos usuários senhas temporárias, que são exatamente as mesmas combinações perfeitamente aleatórias. Você vai querer alterá-los, porque você não será capaz de lembrar, mas basta dar uma olhada mais de perto, e torna-se óbvio: você não precisa se lembrar da senha. Por exemplo, vamos escolher outra opção de random.org - RPM8t4ka.

Embora pareça sem sentido, nosso cérebro é capaz de encontrar certos padrões e correspondências mesmo nesse caos. Para começar, você pode notar que as três primeiras letras são maiúsculas e as três seguintes são minúsculas. 8 é duas vezes (em inglês duas vezes - t) 4. Olhe um pouco para esta senha e certamente encontrará suas próprias associações com o conjunto proposto de letras e números.

Se você pode memorizar conjuntos de palavras sem sentido, então use isso. Deixe a senha se transformar em rotações por minuto 8 faixa 4 katty. Qualquer conversão em que seu cérebro seja melhor servirá.

Uma senha aleatória é o padrão ouro em segurança da informação. É, por definição, melhor do que qualquer senha feita por humanos.

A desvantagem das siglas é que, com o tempo, a disseminação dessa técnica reduzirá sua eficácia, e o método reverso permanecerá tão confiável, mesmo que todas as pessoas na Terra o utilizem por mil anos.

Uma senha aleatória não será incluída na lista de combinações populares, e um invasor usando um método de ataque em massa usará apenas a força bruta dessa senha.

Vamos pegar uma senha aleatória simples que leva em consideração letras maiúsculas e números - são 62 caracteres possíveis para cada posição. Se fizermos a senha de apenas 8 dígitos, teremos 62 ^ 8 = 218 trilhões de opções.

Mesmo que o número de tentativas em um determinado intervalo de tempo não seja limitado, o software especializado mais comercial com capacidade de 2,8 bilhões de senhas por segundo gastará em média 22 horas tentando encontrar a combinação certa. Para ter certeza, adicionamos apenas 1 caractere adicional a essa senha - e levará muitos anos para decifrá-la.

Uma senha aleatória não é invulnerável, pois pode ser roubada. As opções são inúmeras, desde ler a entrada do teclado até ter uma câmera sobre o ombro.

Um hacker pode atingir o próprio serviço e obter dados diretamente de seus servidores. Nessa situação, nada depende do usuário.

Uma base confiável

Então, chegamos ao ponto principal. Quais são as táticas de senha aleatória para usar na vida real? Do ponto de vista do equilíbrio entre confiabilidade e conveniência, a "filosofia de uma senha forte" se mostrará bem.

O princípio é que você use a mesma base - uma senha super forte (suas variações) nos serviços e sites que são mais importantes para você.

Lembre-se de uma combinação longa e difícil para todos.

Nick Berry, consultor de segurança da informação, permite que este princípio seja aplicado, desde que a senha esteja muito bem protegida.

A presença de malware no computador em que você digita a senha não é permitida. Não é permitido usar a mesma senha para sites menos importantes e divertidos - senhas mais simples são o bastante para eles, já que hackear uma conta aqui não trará consequências fatais.

É claro que a base confiável precisa ser alterada de alguma forma para cada local. Como uma opção simples, você pode adicionar uma única letra ao início, que termina com o nome do site ou serviço. Se voltarmos para aquela senha RPM8t4ka aleatória, ela se transformará em kRPM8t4ka para autorização do Facebook.

Um invasor, vendo essa senha, não será capaz de entender como a senha de sua conta bancária é gerada. Os problemas começarão se alguém obtiver acesso a duas ou mais de suas senhas geradas dessa forma.

pergunta secreta

Alguns sequestradores ignoram completamente as senhas. Eles agem em nome do proprietário da conta e simulam uma situação em que você esqueceu sua senha e deseja restaurá-la com uma pergunta secreta. Nesse cenário, ele pode alterar a senha à vontade e o verdadeiro proprietário perderá o acesso à sua conta.

Em 2008, alguém obteve acesso ao e-mail de Sarah Palin, governadora do Alasca e, na época, também candidata presidencial. O ladrão respondeu à pergunta secreta, que soava assim: "Onde você conheceu seu marido?"

Após 4 anos, Mitt Romney, que também era candidato presidencial dos EUA na época, perdeu várias de suas contas em vários serviços. Alguém respondeu a uma pergunta secreta sobre o nome do animal de estimação de Mitt Romney.

Você já adivinhou o ponto.

Você não pode usar dados públicos e facilmente adivinhados como perguntas e respostas secretas.

A questão não é nem mesmo que essas informações possam ser pescadas com cuidado na Internet ou de amigos próximos da pessoa. As respostas às perguntas no estilo "nome do animal", "time de hóquei favorito" e assim por diante são perfeitamente selecionadas a partir dos dicionários correspondentes de opções populares.

Como opção temporária, você pode usar a tática do absurdo da resposta. Para simplificar, a resposta não deve ter nada a ver com a pergunta secreta. Nome de solteira da mãe? Difenidramina. Nome do animal de estimação? 1991.

No entanto, essa técnica, se generalizada, será levada em consideração nos programas correspondentes. Respostas absurdas costumam ser estereotipadas, ou seja, algumas frases serão encontradas com muito mais frequência do que outras.

Na verdade, não há nada de errado em usar respostas reais, você só precisa escolher a pergunta com sabedoria. Se a pergunta não for padronizada e a resposta for conhecida apenas por você e não puder ser adivinhada após três tentativas, então tudo está em ordem. A vantagem de ser sincero é que você não vai se esquecer disso com o tempo.

ALFINETE

O número de identificação pessoal (PIN) é uma fechadura barata que é confiada ao nosso dinheiro. Ninguém se preocupa em criar uma combinação mais confiável de pelo menos esses quatro números.

Agora pare. Agora mesmo. Agora, sem ler o próximo parágrafo, tente adivinhar o PIN mais popular. Preparar?

Nick Berry estima que 11% da população dos EUA usa 1234 como seu PIN (onde eles próprios podem alterá-lo).

Os hackers não prestam atenção aos códigos PIN porque o código é inútil sem a presença física do cartão (isso pode justificar parcialmente o pequeno comprimento do código).

Berry pegou as listas de senhas de quatro dígitos que apareceram após os vazamentos na rede. A pessoa que usa a senha de 1967 provavelmente a escolheu por um motivo. O segundo PIN mais popular é 1111 e 6% das pessoas preferem esse código. Em terceiro lugar está 0000 (2%).

Suponha que uma pessoa que conheça essas informações tenha um cartão do banco nas mãos. Três tentativas de bloquear o cartão. A matemática simples mostra que essa pessoa tem 19% de chance de adivinhar seu PIN se inserir 1234, 1111 e 0000 em sequência.

Provavelmente por esse motivo, a grande maioria dos bancos atribui códigos PIN aos próprios cartões de plástico emitidos.

No entanto, muitas pessoas protegem smartphones com um código PIN, e aqui se aplica a seguinte classificação de popularidade: 1234, 1111, 0000, 1212, 7777, 1004, 2000, 4444, 2222, 6969, 9999, 3333, 5555, 6666, 1313, 8888, 4321, 2001, 1010.

Freqüentemente, o PIN representa um ano (ano de nascimento ou data histórica).

Muitas pessoas gostam de fazer PINs na forma de pares de números repetidos (além disso, os pares em que o primeiro e o segundo números diferem em um são especialmente populares).

Os teclados numéricos dos dispositivos móveis exibem combinações como 2580 na parte superior - para digitá-las, basta fazer uma passagem direta de cima para baixo no centro.

Na Coréia, o número 1004 está em consonância com a palavra "anjo", o que torna essa combinação bastante popular ali.

Resultado

1. Acesse random.org e crie de 5 a 10 senhas candidatas.
2. Escolha uma senha que você pode transformar em uma frase memorável.
3. Use esta frase para lembrar sua senha.