Tecnologia

Cuidado com suas senhas – dicas básicas de segurança, parte 2

Em novo artigo, consultor em tecnologia da informação traz novas dicas para ter senhas seguras.

Carlos Schults Colunista
Carlos Schults
(Ilustração). (Ilustração).

Ontem (terça-feira, dia 11 de fevereiro) foi celebrado o Dia da Internet Segura. Esta data, idealizada pela Rede Insafe na Europa, reúne mais de 140 países anualmente, na intenção de mobilizar pessoas e instituições para promover um uso mais seguro da internet.

Neste espírito, nada mais oportuno que continuarmos com nossas dicas para senhas mais seguras, concorda?

No artigo anterior, publicado quarta-feira passada, nós abordamos certos erros que muitas pessoas cometem ao gerenciar suas senhas. Recomendamos a leitura do artigo completo, caso não o tenha lido. Mesmo assim, aqui vai um resumo rápido das dicas que compartilhamos:

- Não use a mesma senha em vários serviços

- Não inclua dados pessoais (aniversários, time etc.) nas suas senhas.

- Não utilize palavras do dicionário como senha

- Utilize senhas longas, únicas e fortes, e que não tenham sido comprometidas em vazamentos de dados.

As dicas acima provavelmente geraram algumas perguntas:

- Como saber se a minha senha é forte?

- Como criar senhas fortes?

- Como saber se a minha senha está comprometida?

Conforme prometido no último artigo, nós vamos agora responder às dúvidas acima, com dicas de ferramentas que você pode (e deve) utilizar para facilitar sua vida.

Ferramentas Online Gratuitas

O artigo anterior pode ter lhe deixado com a impressão de que ter senhas seguras é muito difícil ou trabalhoso.

Felizmente, existem serviços na web, disponibilizados gratuitamente, que você pode usar para garantir a saúde das suas senhas.

Como Saber Se a Minha Senha é Forte?

Para responder a primeira pergunta, temos o site chamado How Secure Is My Password (“Quão segura é minha senha”, em tradução livre.) O site permite que você digite uma senha e veja se ela é forte ou fraca, em termos de quanto tempo um hacker mal-intencionado levaria para descobri-la.

Vamos fazer um teste? Primeiro vamos testar a senha “qwerty”, que é a terceira na lista das dez senhas mais usadas da qual nós falamos agora há pouco. O resultado é este:

A senha seria descoberta imediatamente. Logo abaixo, o serviço mostra detalhadamente os problemas da senha:

O serviço mostra que a senha:

- Está na lista das senhas mais usadas.

- É muito curta, o que diminui o número de senhas possíveis naquele tamanho, facilitando o trabalho dos invasores.

- É possivelmente uma palavra. No caso, sabemos que não é: “qwerty” é simplesmente a sequência das primeiras seis letras do teclado de layout mais comum.

- Tem pouca variedade de caracteres, apenas letras minúsculas.

Vamos fazer um outro teste, desta vez utilizando o exemplo de senha forte que mostrei no artigo passado: Ne^uBTQS7D@kVG?@

O resultado agora é outro:

Como você pode ver, levaria cerca de quatro trilhões de anos para a senha acima ser quebrada.

Como Criar Senhas Fortes?

Conforme eu expliquei no artigo da semana passada, uma senha forte tem as seguintes características:

- É longa (no mínimo, 12 caracteres).

- É formada de letras, números, e caracteres especiais.

- É completamente aleatória (não possui nenhum significado.)

Como você deve estar imaginando, criar um número grande de senhas que atendem aos requisitos acima não é das tarefas mais fáceis, e é aí onde mora o perigo. A maioria das pessoas simplesmente se rende à tentação de usar a mesma senha em vários serviços.

Ou, na melhor das hipóteses, cria pequenas variações para cada serviço, como incluir ou número ou letra diferente no final da senha. Ligeiramente menos ruim, mas ainda assim arriscado. O que fazer então?

Você pode usar um site como o Strong Random Password Generator. Ao visitar o site, você verá uma imagem como essa:

A ferramenta permite que você configure várias opções, como o tamanho da senha (password length), se deve ou não incluir símbolos, números, letras minúsculas e maiúsculas (todas essas opções já vêm selecionadas por padrão.) Uma outra opção interessante é a de excluir caracteres parecidos, como o a letra i maiúscula (I) e a letra L minúscula (l), que são visualmente indistinguíveis e podem causar confusão.

Após a configuração das opções, basta clicar no botão Generate Password e você terá uma senha forte pronta para ser usada:

Você agora talvez esteja se perguntando: como eu vou conseguir lembrar de uma senha dessas?

A má notícia é que você tem razão: é praticamente impossível memorizar as dezenas de senhas fortes que você precisa no seu dia-a-dia.

A boa notícia é que, usando a ferramenta correta, você só vai precisar lembrar de uma senha.

Considere usar um gerenciador de senhas

Existem ferramentas conhecidas como Password Managers (gerenciadores de senha.) Exemplos incluem 1Password, LastPass e DashLane.

Um gerenciador de senha resolve muitos dos problemas citados nesse post de uma vez só. Para começar, ele não apenas salva as suas senhas, mas as preenche automaticamente quando você tenta acessar os serviços. Ou seja, você nunca mais precisa digitar uma senha, se não quiser.

A maioria dos gerenciadores de senha também permitem salvar dados pessoais como nome, endereço, telefone, CPF etc., de modo que esses dados também podem ser preenchidos automaticamente quando você precisar fazer algum cadastro online.

Muitos gerenciadores de senha também oferecem a opção de gerar uma senha segura. Então, ao criar uma conta em um site, seu gerenciador de senha pode gerar uma nova senha forte e ao mesmo tempo cadastrá-la em seu banco de dados.

Todos os seus dados são protegidos por uma senha mestra, que é a senha do próprio gerenciador. Essa senha será pedida quando você tentar acessar alguma informação sensível, e em intervalos que você pode programar. Obviamente, a senha mestra precisa ser uma senha forte, e você não poderá salvá-la no próprio gerenciador.

Dos exemplos de gerenciadores que eu mencionei, o LastPass e o DashLane possuem versões gratuitas e pagas. O 1Password possui apenas versão paga (em vários planos), porém você pode experimentá-lo gratuitamente por 30 dias.

Ative autenticação em dois fatores onde for possível

Chegamos à última dica de hoje: usar autenticação em dois fatores onde for possível. Mas o que seria isso?

Autenticação de dois fatores (também chamada de 2FA, sigla para Two (2) Factor Authentication) é uma técnica de autenticação que só libera seu acesso a um recurso mediante dois fatores:

- Algo que só você sabe (sua senha, por exemplo);

- E algo que só você tem (por exemplo, seu telefone celular.)

Um exemplo de 2FA eram os tokens utilizados pelos bancos para autorizarem transações no Internet Banking, como o da imagem abaixo:

 

Além de digitar a sua senha eletrônica, você também precisaria digitar o código mostrado pelo aparelho, que mudava periodicamente. Atualmente, a maioria dos bancos oferecem o token de maneira virtual, como aplicativo para celular.

Muitos serviços online (como Facebook, Gmail, entre outros) oferecem autenticação em dois fatores. Várias opções são oferecidas para que você receba um código de segurança: mensagem (SMS), um outro endereço de e-mail, um aplicativo autenticador (como Microsoft Authenticator ou Google Authenticator.)

No caso do Google, há uma opção ainda mais fácil para usuários de Android: você pode escolher receber uma tela de confirmação no celular. Ao tentar acessar o e-mail, você verá a seguinte tela após informar a senha:

Seu celular então exibirá algo assim:

Então, basta clicar no botão SIM e seu acesso será liberado.

Conclusão

Segurança online é coisa séria. Dá um certo trabalho manter suas senhas em dia? Claro que dá. Isso vai lhe tomar um certo tempo, um pouco de esforço, e talvez dinheiro, caso você opte pelas versões pagas dos gerenciadores de senha (o que é opcional.)

Mas pense nesse tempo, esforço (e talvez, dinheiro) não como gasto, mas como investimento. É como um seguro: você espera nunca precisar, mas se vier a precisar, vai lhe poupar muita dor de cabeça.

Obrigado pela leitura e até a próxima quarta!

Carlos Shcults. Consultor em tecnologia da informação, desenvolvedor e autor técnico. E-mail: carlos.schults@gmail.com.