Por que as Restrições de Senha em Sites Não Mantêm Você Seguro

Se você criou uma conta ou duas nos últimos anos, provavelmente notou que muitos desses sites o reprimem por usar uma senha “insegura” sob certas condições. Às vezes, você nem precisa pressionar o botão “Registrar” antes de ser recebido com uma pequena mensagem ao lado do campo de senha dizendo que você está usando uma senha fraca.

Embora alguns sites possam impedi-lo de se registrar com o que consideram uma senha fraca, outros apenas o avisam e o deixam fazer o que quiser por conta própria. Independentemente disso, esses sites (na maioria) têm uma coisa em comum: seus critérios para “senhas seguras” não vão mantê-lo seguro.

Forjando Hábitos Ruins

Uma das primeiras coisas que você notará na maioria dos sites é que todos parecem ter critérios semelhantes para o que seria considerado uma senha “forte”. Na maioria dos sites, os critérios são os seguintes:

• Um mínimo de 6 ou 8 caracteres
• Um mínimo de um número e uma letra
• Às vezes, pelo menos uma letra maiúscula.

Nesse caso, uma senha como “Ironclad1” é simplesmente ótima e atende aos requisitos daquele site em particular. Como a maioria dos sites tem apenas esses requisitos, as pessoas podem se acostumar com o fato de que “Ironclad1”, “Sallyepstein4”, “Michael1985”, etc. são boas senhas. Qualquer um que já leu as primeiras três páginas de um livro sobre cibersegurança sabe que isso é incrivelmente inseguro, ainda assim, está sendo tacitamente estabelecido como a norma por milhões de sites na web onde a segurança é uma reflexão tardia que vale cinco linhas de código.

Um hacker poderia simplesmente usar um ataque de dicionário para quebrar sua senha e isso seria o fim.

Alguns serviços da web (como o Google) também exigem que um símbolo (como “!” ou “$”) seja usado para criar uma senha. Isso apenas torna coisas como “$allyepstein4” senhas válidas, e os ataques de dicionário se tornaram mais sofisticados ao longo dos anos.

O Que é um Bom Hábito de Senha?

Há um monte de debate sobre o que faz uma boa senha, mas em vez de nos aprofundarmos e explicarmos todas as nuances, vamos apenas olhar para algumas das coisas com as quais todos geralmente concordam. Uma boa senha:

• Inclui uma ampla gama de variações alfanuméricas, como letras maiúsculas, números e letras minúsculas
• Tem símbolos em lugares imprevisíveis (“@shley” é menos seguro do que “@$_hley” porque há um sublinhado no meio da palavra, onde um ataque de dicionário normalmente procuraria por “@” substituindo “a” e “$” substituindo “s”)
• Contém espaços (como “I @te a S4nDw1ch”)
• Atinge o limite superior de limites razoáveis de caracteres (“ I l0v3 LuC#Y “ é menos seguro do que “ Th1S p4ssword sH_oulD b3 h@rd to cr@ck “)
• Contém uma grafia não convencional de palavras (por exemplo, “schuld” em vez de “should”, “beffe” em vez de “beef”, “inszteda” em vez de “instead”, “mektekezier” em vez de “maketecheasier”, etc.)

Claro, uma das melhores senhas que você poderia ter não é muito fácil de memorizar (por exemplo: “ ifjecBucE083$&&8c ociefjC#&$6c iof0e0($# “). Note como o exemplo fornecido é apenas um completo absurdo que faz uso de todas as regras acima, incluindo a introdução de espaços. Isso é altamente não convencional até mesmo para os ataques de dicionário mais sofisticados. Desde que o banco de dados que armazena o hash da sua senha seja seguro e as chaves de criptografia sejam geridas corretamente, isso tornaria sua conta menos valiosa para um hacker quebrar.

Naturalmente, nem todos os servidores são seguros, e um serviço que você usa pode sofrer uma violação revelando sua senha. É por isso que é importante ter uma senha diferente para cada serviço.

Mas você realmente não pode memorizar 15 senhas, muito menos a que eu forneci como exemplo de “uma das melhores senhas que você poderia ter.” Para contrabalançar isso, você poderia usar um serviço de autenticação única altamente seguro (também conhecido como “gerenciamento de identidade”) que mantém controle sobre suas senhas para que você não precise memorizá-las. Embora eles existam há vários anos, o conceito ainda é um território inexplorado (pelo menos na minha opinião profissional), então avance com cautela. Faça sua própria pesquisa e pesquise o nome de um serviço seguido da palavra “violação” para descobrir se ele já foi hackeado.

Como o Problema Pode Ser Resolvido

O problema que estamos tentando resolver aqui é fazer com que o enorme número de pessoas que criam contas na Web entenda quais são as melhores práticas para a criação de senhas. Isso parece uma tarefa monumental, não parece?

Na verdade, é tão fácil quanto fornecer as informações em algum lugar. O Google faz um bom trabalho nisso com suas diretrizes, mas não vai longe o suficiente.

Apesar dos elogios, acho que seria melhor incluir um link para essas diretrizes ao lado do campo de senha, dando ao usuário fácil acesso durante a fase de registro da conta. Se alguém ignorar isso, é prerrogativa dela, mas ninguém naquele momento poderia dizer que nunca teve a chance de ler algum material educacional sobre o assunto.

A única parte difícil sobre isso é convencer os milhões de sites que possuem bancos de dados de contas a empregar essa prática. No entanto, como a maioria desses sites usa software de grande porte (como WordPress ou Drupal), provavelmente é uma ideia melhor entrar em contato com os desenvolvedores desse software para fornecer esse tipo de coisa em suas futuras atualizações. Assim que os sites atualizarem seu software, eles automaticamente receberão essas diretrizes em suas páginas de registro!

O que mais você acha que podemos fazer para espalhar a conscientização sobre boas senhas? Vamos discutir isso nos comentários!