Segurança Digital #3 – Como memorizar dezenas de senhas sem fazer esforço

Continuando a nossa série de segurança digital, é hora de ficar um pouco mais técnico e conversar sobre uma coisa meio sensível: senhas.

Todos nós temos que criar e gerenciar alguma senha algum dia na vida, seja na hora de criarmos nosso primeiro email ou quando o aviso do Windows no trabalho diz que sua senha já tem mais de três meses e você precisa trocá-la – o que é ridículo, por sinal.

Então hoje em dia somos treinados desde pequenos a construir senhas fortes. Os requisitos básicos a gente foi adestrado já a incluir: mais de 8 caracteres, caixa alta e baixa, incluir um ou mais caracteres alfanuméricos… regras que nem fazem a senha tão forte assim.

E infelizmente, o mais interessante é que, uma vez que passamos todos estes requisitos e decidimos uma senha, agarramo-nos à ela como se fosse nossa fonte de vida online: não queremos mudá-la de jeito algum, e somos tentados a usá-la em todos os outros lugares que precisam de uma senha. Mas será que isso é algo seguro?

Depende. Você usaria uma única chave para abrir todas as portas, gavetas e carros que possui?

O perigo da reutilização de senhas

Mesmo que você use uma senha bem forte, há uma grande chance que você a re-utilize para mais de um site ou serviço online.

Isso não é nenhum segredo; a maioria esmagadora de usuários da internet reusa as suas senhas em todos os serviços que utiliza, embora os números variem dependendo da fonte utilizada.

O risco aqui a princípio não é muito óbvio, mas se torna aparente com uma história de exemplo:

Imagine que você tem uma conta de email super importante pra você. Você tomou todo o tempo necessário para criar uma senha super forte e não-óbvia para que ninguém consiga descobrí-la. E a segurança deste provedor de email é a melhor possível, então você está bem seguro.

Um dia, porém, você descobre um site interessante, mas que requer que você crie uma conta lá para acessá-lo. Não tem problema nenhum; você já possui uma senha já bem decorada e forte (mesma do seu email) e já tão automatizada que a utiliza na conta que criou neste site sem pensar duas vezes. Porém, você não contava que a segurança deste site específico é bem fraca, a ponto dele um dia ser hackeado e todas as senhas de lá vazadas.

O hacker que as coletou descobriu que você usou o seu endereço de email como login e vê sua senha lá, completamente exposta. Ele tenta usar essas credenciais para acessar o seu email e surpresa: acesso concedido imediatamente embora uma senha forte e email super bem-protegido.

Como isto pode ser evitado? A maneira mais simples é usar um gerenciador de senhas.

Como funciona o Gerenciador de Senhas

O gerenciador de senhas é um programa que gera senhas fortes e as armazena para você como um banco de dados protegido por uma senha mestra. Usando um gerenciador de senhas, você pode criar senhas novas para cada um dos serviços online que utiliza (redes sociais, emails, fóruns, bancos, etc).

Dessa forma, você não precisa se lembrar das suas senhas ou criar senhas similares para memorizar mais facilmente; apenas uma senha é necessária para acessar inúmeras outras senhas suas.

Há vários gerenciadores disponíveis gratuitamente hoje em dia, mas o que eu prefiro é o KeePassX por ser software livre e auditado em segurança por várias fontes independentes.

Para criar um novo arquivo seguro de senhas, clique aqui:

Você agora pode criar uma entrada de credenciais clicando aqui:

É melhor deixar que o computador gere uma senha aleatória para que seja bem difícil de um ser humano descobrí-la:

Você não precisa nem se dar o trabalho de se lembrar delas – basta apenas abrir o gerenciador de senhas e copiar e colar a senha de lá:

Desvantagens do gerenciador de senhas

O único ponto fraco é que o gerenciador de senhas necessita de uma senha mestra, e esta, sim, você precisa memorizar.

Para criar uma senha forte e memorizável, você pode seguir algumas estratégias:

  • Criar uma senha através de um gerenciador de senhas, anotá-la, e guardá-la num lugar seguro (dentro da carteira, algum lugar escondido e não-visível ao público).
  • Criar uma senha memorizável como uma frase de palavras aleatórias, como nesta tirinha, embora a eficiência deste é questionada.
  • Pegar uma frase memorável para apenas você e utilizar partes delas como uma senha, que veremos no nosso post seguinte.

Outra desvantagem é que ao criar um arquivo de senhas você precisa sempre tê-lo ao alcance para conseguir logar nos serviços que precisa. Alguns computadores como no trabalho não deixam instalar software novo, e isso é um pequeno obstáculo. Felizmente, há extensões de navegadores e aplicativos de celulares compatíveis com os arquivos do KeePassX que solucionam este pequeno problema.

Porém, você ainda precisa se preocupar em fazer o backup deste arquivo de senhas pois, se perdido, todas suas senhas de lá serão perdidas juntas.

Enquanto isso, se você não conhece ainda, recomendo altamente que experimente um gerenciador de senhas. É um pouco estranho no começo, mas depois de se acostumar, os benefícios serão grandes.

Você já utilizava algum gerenciador de senhas antes de ler este post? Qual software utiliza?

Até o próximo post!

Abraços e seguimos em frente!

Pinguim Investidor


Embora este post tenha intenção de beneficiar o leitor, infelizmente preciso frisar o meu disclaimer e dizer que não sou profissional praticante da área de segurança da informação. O conteúdo deste post é informativo, mas, assim como nos investimentos, você precisa fazer o seu próprio dever de casa também.

Anúncios

5 comentários sobre “Segurança Digital #3 – Como memorizar dezenas de senhas sem fazer esforço

  1. VL

    Pinguim, uma pergunta p vc que manja:

    Qual a diferença entre esse app que sugeriu e o Google Chrome?

    Eu comecei a usar o gerenciador de senha do Chrome quando ele foi lançado, mas parei depois de ter tido um problema com uma invasão na minha conta bancária (não teve nada a ver com o gerenciador, mas enfim…).

    Hoje não uso nenhum, mas tenho diferentes senhas para contas sensíveis e uma meio que padrão para sites bobos. Para as contas sensíveis, voltei a guardar em papel, e escondendo em lugares impossíveis de alguém descobrir.

    Mas fico curioso nessas recomendações. O que faz o Keepassx ser tão melhor do que o Google? Afinal, não sabemos se essa empresa vai existir para sempre, se pode ser hackeada, não conhecemos nada dela.

    Mas já o Google… eles devem investir bem em segurança, não? Qualquer problema que ocorrer, imagine os bilhões que eles perdem?

    Abraço!

    Curtido por 1 pessoa

    1. Olá, VL.

      No fim, não tem muita diferença pro usuário final em termos de usabilidade ou segurança, contando que o do Chrome seja um gerenciador próprio (seguro), e não aquele comando irritante de “Deseja armazenar esta senha?” (inseguro). Não uso Chrome, e não sei como é esse feature. A diferença maior é que o Google Chrome é um programa genérico (browser) enquanto que o KeePass é específicamente criado para este propósito.

      O KeePassX não é desenvolvido por uma empresa em si, mas sim por um grupo de voluntários especialistas em segurança. Mesmo que o site / repositório do grupo seja hackeado, isso não afeta as suas senhas já que elas são armazenadas localmente no seu dispositivo. E no lado do KeePass, versionamento e inspeção de diff fariam que qualquer atualização maligna dos “hackers” fosse rapidamente eliminada e se restaurasse uma versão segura do aplicativo para o público.

      Não tenho dúvida que o Google investe pesado em segurança na sua própria infraestrutura e produtos. Mas não acho que um gerenciador de senhas esteja na sua lista de prioridades.

      E se eu puder te convencer novamente, por favor, volte a utilizar algum deles para gerenciar TODAS as suas senhas, inclusive as “bobas.” É um passo de distância entre alguém descobrir uma, e depois descobrir as outras adivinhando o seu “padrão de pensar.” Be safe out there!

      Abraços e seguimos em frente!

      Curtir

      1. VL

        Obrigado pela dedicada resposta, Pinguim!

        Eu só não uso o Chrome para guardar as senhas “bobas”, pois visito muito minha sogra de finais de semana e, como não levo notebook, uso o dela para ver meus agregadores de notícias, por exemplo.

        Por segurança, não entro com minha conta Google e aí não teria como carregar aquelas senhas malucas. Então, eu logo com a senha boba mesmo rsrs.

        As senhas de banco e corretoras não têm nadinha a ver com elas. E encontrei um padrão para sempre alterá-las corriqueiramente também.

        Abraço e bom final de semana!

        Curtido por 1 pessoa

      2. Legal, VL! O importante é cada um saber o seu threat modelling e quais riscos aceita e quais está disposto a investir tempo e esforço para proteger.

        Escrevi sobre isso com mais detalhe aqui: https://pinguiminvestidor.com/2019/01/21/camadas-de-seguranca-contra-emergencias-financeiras/

        Eu, por exemplo, sempre tento entrar em computadores “públicos” via LiveCD do Linux, até mesmo em computadores dos outros. Não só isso é mais seguro, mas também bem menos intruso ao host porque eu tenho a escolha se quero acessar o filesystem ou não, e por respeito à privacidade dos donos não faço.

        Mas foi legal ver a sua estratégia também, deve ser interessante na hora de fazer honeypots.

        Abraços e seguimos em frente!

        Curtir

  2. Pingback: Segurança Digital #1 – Como Investir na sua Segurança Digital – Pinguim Investidor

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google

Você está comentando utilizando sua conta Google. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

Conectando a %s