Escola de Internet

Escola de Internet Amen.pt

Segurança

Como criar passwords seguras

Sandra Vale

Uma grande maioria dos utilizadores utiliza passwords fáceis de adivinhar, o que não augura nada de bom do ponto de vista da segurança. Como se cria uma password segura? Quais são as regras a considerar ao criar uma passà prova de hackers?

Estima-se que 80% das violações de cibercrime são causadas por credenciais de login roubadas e reutilizadas (fonte: Verizon). A maioria dos utilizadores usa palavras-passe ‘fracas’ e fáceis de adivinhar… e os hackers não poderiam gostar mais disso!

Uma password segura é a principal barreira para impedir que as nossas contas online caiam nas mãos de hackers. Mas como criar uma palavra-passe segura? Que medidas podemos e devemos tomar?

 

Como é que os hackers roubam passwords?

Eis alguns dos métodos que os hackers utilizam para roubar passwords e aceder às nossas contas:

    • Utilização de palavras-passe comuns: Os criminosos informáticos podem facilmente encontrar formas de invadir contas tentando algumas das palavras-passe mais comuns, tais como 123456 ou palavras-passe definidas por defeito por aplicações ou sistemas quando são instaladas pela primeira vez.
    • Ataques Brute Force: um ataque Brute Force explora um programa automatizado que tenta descobrir a palavra-passe utilizada no login, testando milhares de combinações por segundo.
    • Reciclagem de credenciais de acesso: Uma vez que os hackers tenham descoberto o nome de utilizador e a password de uma das contas, irão tentar estas credenciais em todas as outras contas do mesmo utilizador. Se tivermos “credenciais recicladas”, utilizando o mesmo nome de utilizador e password para vários sites ou serviços, os hackers terão acesso a todas essas contas.
    • Utilização de informações pessoais partilhadas publicamente: Os utilizadores incluem frequentemente nomes, datas de aniversário ou outras informações pessoais nas suas passwords que estão, muitas vezes, disponíveis em vários perfis sociais.
    • Phishing: O phishing implica que os utilizadores entreguem as suas passwords aos hackers na crença de que estão a responder a uma comunicação de uma empresa conhecida e autorizada, a qual, em vez disso, foi falsificada através de esquemas fraudulentos na esperança de que alguém “morda a isca”.
    • Violações de dados passados: Os hackers podem tentar obter acesso a sistemas que utilizam dados sensíveis que tenham sido expostos por violações passadas. Esta técnica pode ser particularmente perigosa se nunca alterar as suas credenciais de login ou se reutilizar palavras-passe antigas…

 

Como criar uma palavra-passe segura

Como deve ser composta uma palavra-passe segura? Que regras devem ser tidas em conta com o intuito de criar uma senha à prova de hackers?

As passwords mais seguras são aquelas que são mais complexas e difíceis de adivinhar. A complexidade de uma password deve-se a uma série de fatores que podem ser resumidos em 3 categorias:

  • Fatores de conhecimento/identidade
  • Fatores de simplicidade
    Regras de estrutura.

Fatores de conhecimento/identidade

Os fatores conhecimento/identidade são elementos relacionados com a identidade do utilizador ou informação pessoal que é potencial e facilmente encontrada online em vários perfis sociais como por exemplo:

  • Primeiro e último nome
  • Data e local de nascimento
  • Endereço e local de residência
  • Número de telefone
  • Nomes de familiares, amigos e animais de estimação.

Estes elementos devem ser absolutamente evitados nas passwords, uma vez que são relativamente fáceis de obter e que os tornariam muito fáceis de descodificar.

Fatores de simplicidade

Os fatores de simplicidade incluem a utilização de senhas conhecidas, por defeito, por aplicações ou sistemas quando instaladas pela primeira vez, senhas construídas de acordo com regras ou algoritmos comuns, senhas fáceis de memorizar, e senhas que dão a impressão de serem difíceis de detetar, mas que na realidade são normalmente utilizadas por hackers.

Sobre este último ponto, a maioria das pessoas utiliza quase sempre o mesmo método de substituição numérica de letras, por exemplo 3 em vez de E, 1 em vez de I, @ em vez de A, e assim por diante. Estas estratégias comuns são muito previsíveis e tornam senhas como P@55W0rd.123 ou S3cur1Ty extremamente fáceis de adivinhar!

Aqui estão alguns exemplos de passwords que são fáceis de adivinhar:

  • credenciais definidas, por defeito, tais como ‘admin’ ou ‘password’
  • passwords que consistem em sequências de caracteres ordenadas como no teclado (tais como “qwerty” ou “12345”)
  • passwords que consistem apenas em palavras
  • passwords que consistem apenas em datas ou sequências de números
  • passwords que consistem em palavras repetidas ou ligadas a números
  • passwords que consistem em palavras em estrangeirismos, possivelmente ligadas a números
  • passwords escritas ao contrário também em estrangeirismos.

Como criar passwords seguras: Regras de estrutura

As regras de estrutura são formas de assegurar a criação de passwords complexas tanto em termos de alguns dos fatores de conhecimento/identidade ou simplicidade que acabámos de ver, como em termos de outros elementos de complexidade e singularidade na estrutura da password.

  • Comprimento: uma boa senha deve ter, pelo menos, 8 caracteres (8 caracteres é um requisito mínimo de força, mas é aconselhável utilizar pelo menos 12).
  • Conter uma combinação das seguintes categorias de caracteres:
    • letras maiúsculas
    • letras minúsculas
    • dígitos de 0 a 9
    • caracteres não alfanuméricos (caracteres especiais): ~!@##$%^&*_-+=’|\() {} {} []:;”‘ <>,.? /
  • Não conter o nome de utilizador (nem sequer dactilografado ao contrário).
  • Não conter dados pessoais do utilizador.
  • Não conter caracteres repetidos mais de duas vezes.
  • Ser diferente, pelo menos, das últimas 5 palavras-passe utilizadas, mas é aconselhável escolher uma diferente das últimas 10.

Com que frequência devem ser alteradas as palavras-passe?

Nada que seja robusto e complexo permanece assim para sempre, e é por isso que outro critério a ter em mente para a segurança de uma palavra-passe, ao longo do tempo, é a frequência com que esta deve ser alterada.

Um recente inquérito da Google revelou que 75% dos inquiridos sentem-se frustrados quando tentam gerir e atualizar as suas palavras-passe. Embora possa ser aborrecido, é de facto necessário alterar as nossas palavras-passe regularmente.

 

Sobre este assunto, a bibliografia de segurança, uma vez orientada para recomendar alterações frequentes de senha para ‘limitar’ o tempo disponível para os hackers tentarem adivinhar a sua senha, identificou nos últimos anos o processo de alteração da sua password como um momento de vulnerabilidade potencial no qual poderia estar sujeito a tentativas de ataque. Neste sentido, indicou também como critério de segurança a utilização de palavras-passe particularmente complexas, alterando-as com menos frequência.

Uma boa prática é alterar a senha com uma frequência mínima com base no seu nível de complexidade. Para uma senha que respeite os critérios de força e complexidade que vimos nos parágrafos anteriores, recomenda-se uma frequência máxima de alteração de 90 dias, tendo o cuidado de não baixar o nível de complexidade da nova senha em comparação com a anterior.

Exclusividade de utilização da palavra-passe

A singularidade da utilização da password é outro fator muito importante no nível de exposição da conta a potenciais ataques.

Um recente inquérito do Google revelou que 66% dos utilizadores da Internet utilizam a mesma palavra-passe para várias contas online.

 

A utilização da mesma palavra-passe, mesmo que a mesma seja complexa, em múltiplas contas para diferentes serviços ou plataformas aumenta exponencialmente a possibilidade de um hacker a descobrir numa dessas plataformas e usá-la para tentar obter acesso às outras.

Obviamente, no caso de comprometimento de segurança, seríamos também forçados a alterar essa palavra-passe onde quer que fosse utilizada. Utilizando uma senha diferente para cada conta, se alguém conseguir encontrar a senha para um dos serviços, não poderá aceder às outras contas utilizadas.

 

Como aumentar a segurança de uma senha? Autenticação de dois factores (2FA)

Para acrescentar outro nível de segurança ao processo de autenticação e à nossa palavra-passe, é possível utilizar o que é conhecido como autenticação de dois factores.

O que é autenticação de dois fatores?

A autenticação de dois factores (2FA) é um método de autenticação seguro que consiste em utilizar dois métodos de autenticação em vez de um.

A autenticação com dois fatores utiliza, normalmente, estes elementos:

  • Algo que o utilizador ‘sabe’: o nome de utilizador e a password definidos na conta.
  • Algo que o utilizador ‘tem’ ou ‘é’: um segundo parâmetro adicional como, por exemplo, um PIN temporário gerado por um dispositivo que o utilizador tem (como o seu smartphone) ou algo que identifica inequivocamente o utilizador (como uma impressão digital).

A autenticação de dois fatores, portanto, protege eficazmente as contas porque acrescenta uma camada extra de segurança, tornando mais difícil o acesso dos hackers.

Na prática, ao estabelecer uma autenticação de dois fatores após a introdução do nome de utilizador e da palavra-passe, há uma verificação de segurança adicional representada por um código temporário gerado por um símbolo ou dados biométricos (por exemplo, impressão digital, reconhecimento facial).

Cada serviço online, desde as redes sociais mais populares até ao Google, permite-lhe ativar a autenticação de dois fatores na sua conta, seguindo procedimentos online simples.

Se ainda não configurou 2FA (autenticação de dois fatores) nas suas contas, recomendamos que o faça o mais rapidamente possível para aumentar a segurança da sua password.

Artigos relacionados

Digite acima o seu termo de pesquisa e prima Enter para pesquisar. Prima ESC para cancelar.

Voltar ao topo