Anos atrás, bastava inserir uma letra maiúscula, um número e formar uma palavra como “S3nH@” para despistar invasores. Hoje, o truque perdeu a eficácia. O que quer dizer que, por mais difícil que se acredite ser uma senha, há algoritmos inteligentes preparados para desvendá-la. Então, como criar senhas fortes?
É possível medir a ameaça que uma senha fraca pode trazer. Violações abrem portas para que cibercriminosos acessem dados valiosíssimos. São contas pessoais, empresariais ou sistêmicas que facilitam roubos, extorsão e fraudes que representam prejuízos financeiros devastadores e outros até imensuráveis, como reputação de marca e confiança de clientes. E tudo o que um criminoso cibernético precisa ter é uma senha em mãos.
“O conceito de senha segura mudou, porque a capacidade de criminosos de deduzir combinações se sofisticou. Agora é preciso tecnologias mais avançadas para proteger informações com senhas”, alerta *Thiago Barbosa – consultor de segurança em nuvem da Redbelt Security. Segundo ele, entre os métodos mais usados para descobrir as senhas dos usuários, atualmente, estão:
- Força bruta – é uma pesquisa exaustiva em que o cibercriminoso tenta todas as variáveis possíveis de senhas (letras minúsculas, maiúsculas, números e caracteres especiais), até encontrar uma solução. Para isso, o invasor utiliza um programa automatizado para testar todas as possibilidades até descobrir o segredo. Qualquer senha curta pode ser descoberta em segundos.
- Invasões baseadas em dicionários – outros métodos tentam restringir a quantidade de possíveis senhas usando um dicionário de termos. O atacante se aproveita das combinações de números e palavras de um dicionário, ou de listas de credenciais vazadas, disponíveis na dark web, para tentar descobrir a senha. Quanto mais comum ela for, mais fácil é de quebrá-la por meio desse método, uma vez que ele se utiliza de padrões de senhas óbvios.
- Informações pessoais compartilhadas em redes sociais – neste caso, tudo o que o criminoso precisa fazer é entrar em um perfil e descobrir, por exemplo, datas de aniversário, casamento, nome de filhos, time do coração, religião. Senhas usando esses temas são, de longe, as mais comuns. O motivo costuma ser a facilidade de memorizar combinações assim.
A resposta para quanto tempo um cibercriminoso leva para comprometer uma senha não é tão simples. Imagine que será utilizada somente uma máquina, com um software de brute force. Nesse cenário, a estimativa seria essa (o que está em verde é o considerado como recomendável quando falamos de criação de senhas, o restante deve ser evitado):
“Por que não considerar as combinações que levam 5 ou 41anos para serem quebradas? A tabela da Redbelt acima está considerando um cenário em que apenas uma máquina com um aplicativo está sendo utilizada. Os ataques reais são feitos com um número muito maior de equipamentos, o que afetaria as estimativas. Por isso, a área verde é a única opção”, explica Barbosa.
O grande problema é como uma pessoa pode decorar uma senha de 18 caracteres com maiúsculo, minúsculo, número e caracteres. Se uma única senha nesses parâmetros já é tão difícil de ser memorizada, de que maneira gerenciar todas as combinações, uma para o Facebook, outra para o Outlook, para o Gmail, para o e-mail do trabalho, para o Instagram, LinkedIn etc.? Não anote em um post-it ou em uma planilha de Excel.
“Nós recomendamos a utilização de um gerenciador de senhas. Há vários no mercado que são gratuitos e outros pagos com preços bem razoáveis. Com um cofre de senhas, é possível combinações com 30 caracteres seguindo os critérios que o usuário desejar”, explica o especialista da Redbelt Security. Segundo ele, com este tipo de aplicativo, o usuário precisa decorar somente uma senha, que é a senha mestra para abrir o gerenciador.
Mas, afinal, o que são senhas fortes, afinal? Um exemplo é: eUqUb1!bOc04Gme4M? Porque é considerada forte:
- É uma senha que se utilizou como base uma frase: “Eu quero biscoito! bora comer agora meu amigo?”;
- Define como regra o uso das duas primeiras letras de cada palavra, sendo a segunda letra sempre maiúscula;
- Longa, com 18 caracteres;
- Usa caracteres especiais: “!” e “?”;
- Inclui letras maiúsculas, minúsculas e numérica.
Outro exemplo 2: tempoferaligaronus. É uma senha forte porque se baseia em uma senha com várias palavras comuns e uma não tem nada a ver com a outra: tempo, fera, ligar, ônus e é longa, tendo 18 caracteres.
“Os dois exemplos acima estão no campo verde. O que mostra que, com um pouco de criatividade, é possível criar uma única combinação bastante complexa e de fácil memorização”, diz Barbosa. Ele detalha que investir na criação e utilização de senhas seguras é um dos pilares da segurança cibernética. A importância desse cuidado não pode ser subestimada, uma vez que senhas fortes atuam como a primeira barreira contra invasões de contas e violações de dados.
“Mas hoje não se pode ter uma única barreira, é interessante ter uma senha forte em conjunto com MFA, para ajudar a dificultar ainda mais o processo para os cibercriminosos, pois a segurança cibernética é uma responsabilidade compartilhada, tanto se falando de empresa, quanto no particular”, ressalta o especialista a Redbelt Security.
Em outras palavras, cada pessoa tem um papel a desempenhar na proteção de informações pessoais e daqueles ao redor. “Portanto, não se deve negligenciar a importância de senhas seguras em suas práticas on-line. Ao adotar essa medida simples, mas crucial, está se construindo uma base sólida para a proteção dos dados e preservação da privacidade”, conclui Barbosa.
Sobre a Redbelt Security
Fundada em 2009, a Redbelt Security é uma consultoria especializada em Segurança da Informação, que atua com Serviços Gerenciados de Segurança (MSS), Security Operations Center (SOC), Offensive Security, Threat Intelligence, Governança, Riscos & Compliance (GRC), e suporte especializado na gestão de ambientes de TI e ações preventivas contra novas ameaças, contando com uma equipe de mais de 100 profissionais altamente especializados e certificados.
A Redbelt Security oferece também ao mercado uma plataforma própria para gerir riscos cibernéticos: a RIS (Risk Information and Security), plataforma SaaS que integra os mais variados softwares (APIs), machine learning alimentada por inteligência humana, automação para enriquecer dados e orquestração na tomada de decisões.