Vamos presumir que você entre em um monte de sites diferentes: Facebook, Gmail, eBay, PayPal, provavelmente algum banco, talvez alguns fóruns de discussão, e provavelmente muito, muito mais. Considere algumas perguntas:
1. Você sempre cria senhas únicas e nunca usa a mesma duas vezes? Nunca mesmo?
2. Suas senhas sempre usam caracteres diferentes como letras maiúsculas e minúsculas, números e pontuações? Elas são “fortes”?
Se você não pode responder “sim” para ambas as perguntas, você tem um problema. Mas o negócio é, não tem uma maneira fácil para lembrar todas as suas senhas únicas e fortes, e quanto mais cedo você reconhecer isso, mais cedo você irá adotar uma alternativa mais segura.
Deixe-me ajudar a demonstrar o problema; eu irei mostrar o que acontece quando você reusa ou cria senhas fracas baseadas em alguns exemplos da vida real que deveriam parecer familiares. Eu também irei mostrar como superar esses problemas com um bom gerenciador de senhas então nem tudo é má notícia, a menos que você esteja tentando lembrar suas senhas.
A tirania de múltiplas contas
Pense um pouco sobre isso; quantas contas você tem na internet? 10? 20? 50? Eu identifiquei 90 contas minhas recentemente e tem várias outras que eu simplesmente esqueci que existem. Não tem nenhuma maneira, mesmo com apenas 10 contas, que você possa criar senhas que sejam fortes, únicas e memoráveis.
“…segurança é atenuação de riscos – você nunca fica totalmente ‘seguro’, você meramente diminui os riscos.”O que acontece é que as pessoas voltam para padrões incluindo nomes de familiares, animais, hobbies e todo tipo de critério natural e de alguma forma previsível. Padrões são uma faca de dois gumes no qual ao mesmo tempo em que elas são memorizáveis, elas também são previsíveis então mesmo que o padrão pareça obscuro, uma vez que é descoberto, bem, você terá problemas.
Padrões e palavras previsíveis são ruins, mas o que é ainda pior é reutilização de senhas. Porque nós simplesmente acabamos com tantas dessas coisas malditas, o problema de memoriza-las é resolvido repetindo-as. Fácil? Sim. Seguro? De maneira alguma.
O problema com senhas fracas
Pra começar, o que exatamente é uma senha fraca? Deixe-me responder essa de maneira indireta, focando em senhas fortes; uma senha forte é uma que tem um alto grau do que chamamos de entropia, ou em termos simples, uma que seja tão grande e aleatória (em termos tanto de caracteres quanto de sequência), quanto possível. Como o link da entropia explica:
As pessoas são notoriamente negligentes em conseguir entropia suficiente para produzir senhas satisfatórias.Deixe-me demonstrar o problema com isso baseado em alguns eventos recentes. Primeiramente nós temos a Gawker que em dezembro passado foi vítima de um ataque (Nota do editor: Você provavelmente deve lembrar-se disso) que levou à divulgação de algo em torno de um milhão de contas de usuários. Pior ainda, essas contas foram postadas online e facilmente acessíveis por qualquer um que quisesse dar uma olhada em quem se registrou no serviço e qual era a sua senha.
O que é interessante aqui no contexto de força de senhas é o predomínio de escolhas se senhas ruins. Dê uma olhada nessas:
123456, password, 12345678, qwerty, abc123, 12345, monkey, 111111, consumer, letmein, 1234, dragon, trustno1, baseball, gizmodo, whatever, superman, 1234567, sunshine, iloveyou, fuckyou, starwars, shadow, princess, cheese
Essas 25 senhas foram usadas um total de 13,411 vezes por pessoas com contas na Gawker. A primeira delas – 123456 – foi usada mais de 2,5 mil vezes.
Outro exemplo bastante similar foi um ataque no mês passado no rootkit.com. A análise do banco de dados de senhas que vazaram mostrou essas 25 senhas mais populares:
123456, password, rootkit, 111111, 12345678, qwerty, 123456789, 123123, qwertyui, letmein, 12345, 1234, abc123, dvcfghyt, 0, r00tk1t, ìîñêâà, 1234567, 1234567890, 123, fuckyou, 11111111, master, aaaaaa, 1qaz2wsx
Parece familiar? Pior ainda, você pode facilmente ver o nome de usuário correspondente se você souber onde procurar (Eu apaguei esses intencionalmente, mas os originais não são difíceis de encontrar):
Mas o que é realmente interessante sobre ambos os casos e a relevância do porque senhas fortes são importantes – todos essas informações foram guardadas de maneira criptografada no banco de dados. Sem entrar no conceito de criptografia, o ponto crucial do problema com ambos os sites é que a criptografia foi mal implementada.
Oi, Kleber.
ResponderExcluirRecomendações importantíssimas, até porque muitos internautas continuam "trancando as portas e deixando as chaves nas fechaduras", por assim dizer.
A propósito, já publiquei diversas postagens sobre esse tema lá no meu humilde espaço, inclusive com sugestões sobre gerenciadores de senhas e serviços online que ajudam a criar senhas fortes e testam a segurança dos seus passwordes. A quem intressar possa, sugiro dar uma olhadinha em http://fernandomelis.blogspot.com/2010/05/cautela-e-canja-de-galinha.html.
Abraços, amigão.
Oi, Kleber.
ResponderExcluirVocê anda sumido, amigão. Está tudo bem por aí?
A propósito, lembro-me de ter deixado um comentário nesta postagem, inclusive com um link para um post, lá no meu espaço, que sugeria um serviço online destinado a conferir a confiabilidade das senhas, e vejo agora que o troço não apareceu. Você não o aprovou ou houve algum problema no upload?
Abraços.
Valeu, cara.
ResponderExcluirAbração.