É possível medir a ameaça que uma senha fraca pode trazer. Violações abrem portas para que cibercriminosos acessem dados valiosíssimos. São contas pessoais, empresariais ou sistêmicas que facilitam roubos, extorsão e fraudes que representam prejuízos financeiros devastadores e outros até imensuráveis, como reputação de marca e confiança de clientes.
E tudo o que um criminoso cibernético precisa ter é uma senha em mãos.
O conceito de senha segura mudou
Anos atrás, bastava inserir uma letra maiúscula, um número, e formar uma palavra como “S3nH@” para despistar invasores. Hoje, o truque perdeu a eficácia. Já é conhecido. Além disso, a capacidade de criminosos de deduzir combinações se sofisticou. Isso exigiu tecnologias mais avançadas para proteger informações com senhas.
O que quer dizer que, por mais difícil que você acredite ser a sua senha, há algoritmos inteligentes preparados para desvendá-la.
Entre os métodos mais usados, estão:
1) Força bruta
É uma pesquisa exaustiva em que o cibercriminoso tenta todas as variáveis possíveis de senhas (letras minúsculas, maiúsculas, números e caracteres especiais), até encontrar uma solução. Para isso, o invasor utiliza um programa automatizado para testar todas as possibilidades até descobrir o segredo. Qualquer senha curta pode ser descoberta em segundos.
2) Invasões baseadas em dicionários
Outros métodos tentam restringir a quantidade de possíveis senhas usando um dicionário de termos. O atacante se aproveita das combinações de números e palavras de um dicionário, ou de listas de credenciais vazadas, disponíveis na dark web, para tentar descobrir a senha. Quanto mais comum ela for, mais fácil é de quebrá-la através desse método, uma vez que ele se utiliza de padrões de senhas óbvios.
3) Informações pessoais compartilhadas em redes sociais
Aqui, tudo o que o criminoso precisa fazer é entrar em um perfil e descobrir, por exemplo, datas de aniversário, casamento, nome de filhos, time do coração, religião. Senhas usando esses temas são, de longe, as mais comuns. E o motivo costuma ser a facilidade de memorizar combinações assim.
Quanto tempo um cibercriminoso leva para comprometer uma senha?
A resposta não é tão simples. Imagine que será utilizada somente uma máquina, com um software de brute force. Nesse cenário, a estimativa seria essa (o que está em verde é o considerado como recomendável quando falamos de criação de senhas, o restante deve ser evitado):
E por que não considerar as combinações que levam 5 ou 41anos para serem quebradas?
Lembre-se: estamos considerando um cenário em que apenas uma máquina com um aplicativo está sendo utilizada. Os ataques reais são feitos com um número muito maior de equipamentos, o que afetaria as estimativas. Por isso, a área verde é a única opção.
Mas, como que decorar uma senha de 18 caracteres com maiúsculo, minúsculo, número e caractere?
Se uma única senha nesses parâmetros já é tão difícil de ser memorizada, de que maneira gerenciar todas as combinações, uma para o Facebook, outra para o Outlook, para o Gmail, para o e-mail do trabalho, para o Instagram, LinkedIn etc.? Não anote em um post-it ou em uma planilha de Excel.
Recomendamos a utilização de um gerenciador de senha. Há vários no mercado que são gratuitos e outros pagos com preços bem razoáveis. Com um cofre de senhas, é possível combinações com 30 caracteres seguindo os critérios que você desejar.
Com aplicativos desse tipo, o usuário precisa decorar somente uma senha, que é a senha mestra para abrir o gerenciador.
O que são senhas fortes, afinal?
Exemplo 1: eUqUb1!bOc04Gme4M?
Porque ela é considerada forte:
- É uma senha que se utilizou como base uma frase: “Eu quero biscoito! bora comer agora meu amigo?”;
- Define como regra o uso das duas primeiras letras de cada palavra, sendo a segunda letra sempre maiúscula;
- Longa, com 18 caracteres;
- Usa caracteres especiais: “!” e “?”;
- Inclui letras maiúsculas, minúsculas e numérica.
Exemplo 2: tempoferaligaronus
Porque ela é considerada forte:
- Baseia-se em uma senha com várias palavras comuns e uma não tem nada a ver com a outra: tempo, fera, ligar, ônus;
- Longa, com 18 caracteres.
Os dois exemplos acima estão no campo verde. O que mostra que, com um pouco de criatividade, é possível criar uma única combinação complexa o bastante, e ainda de fácil memorização.
Investir na criação e utilização de senhas seguras é um dos pilares da segurança cibernética. A importância desse cuidado não pode ser subestimada, uma vez que senhas fortes atuam como a primeira barreira contra invasões de contas e violações de dados. E hoje não pode mais ser a única barreira, senha forte em conjunto com MFA nos ajuda ainda mais a dificultar o processo para os cibercriminosos.
Lembre-se de que a segurança cibernética é uma responsabilidade compartilhada tanto se falando de empresa quanto particular.
Cada pessoa tem um papel a desempenhar na proteção de informações pessoais e daqueles ao redor. Portanto, não negligencie a importância de senhas seguras em suas práticas online. Ao adotar essa medida simples, mas crucial, estamos construindo uma base sólida para a proteção de nossos dados e a preservação de nossa privacidade.
Thiago Barbosa, consultor de segurança em nuvem