Início » Antivírus e Segurança » Trocar de senha periodicamente pode não ser uma ideia tão boa assim

Trocar de senha periodicamente pode não ser uma ideia tão boa assim

Pelo menos nas empresas que obrigam o usuário a trocar a combinação a cada 60 ou 90 dias

Emerson Alecrim Por

Campo de senha

Misture letras, números e caracteres especiais. Nada de usar sequências como "123456" e "abcdef". Não menos importante: troque a sua senha regularmente. Você certamente conhece essas recomendações. Mas a última está sendo questionada: para a Comissão Federal de Comércio (FTC, na sigla em inglês), que regula práticas comerciais nos Estados Unidos, a troca periódica de senhas pode, na verdade, enfraquecer a segurança.

De acordo com o Ars Technica, a história toda começou em janeiro, quando a FTC publicou no Twitter uma mensagem incentivando a troca de senha:

O tweet foi visto por Lorrie Cranor, professora de ciência da computação da Universidade Carnegie Mellon que assumiu o departamento de tecnologia da FTC no início do ano. Ela estranhou a mensagem porque não concorda com a prática sugerida: Cranor vê a recomendação de trocar de senhas periodicamente mais como uma superstição do que um reforço na segurança.

É uma postura polêmica. Especialistas em segurança digital recomendam a troca periódica de senha por diversas razões. A principal delas é coibir o acesso não autorizado a serviços: um invasor pode descobrir a senha da sua conta na empresa que você trabalha e acessá-la discretamente para obter dados confidenciais, por exemplo. Trocando a combinação, esse acesso não autorizado é interrompido.

Duvidando do real benefício dessa prática, Cranor conversou com outros especialistas em tecnologia e segurança da FTC para tratar da questão. Ela saiu dessas conversas com a missão de dar mais detalhes sobre o assunto. Os resultados da pesquisa ficaram dentro do esperado pela professora, mesmo assim, são um tanto chocantes.

Cranor e equipe usaram como base um estudo de 2010 realizado pela Universidade da Carolina do Norte que analisou hashes criptográficas de contas expiradas de 10 mil alunos e funcionários da instituição. Todas passaram por processos periódicos de troca obrigatória de senha a cada três meses, que é o padrão estabelecido na maioria das empresas.

Os pesquisadores perceberam com a análise que, de modo geral, os usuários tendem a mudar a senha fazendo uma reciclagem da combinação anterior. Assim, a senha tArheels#1 acaba sendo mudada para taRheels#1, depois para tarheels#11 e por aí vai.

cadeado-seguranca-cofre-senha

Perceba que, em todas as mudanças, apenas um detalhe ou outro da combinação foi alterado. Isso acontece por duas razões: a primeira é que é bem mais fácil memorizar uma senha levemente alterada do que uma completamente nova; a segunda é que as pessoas se irritam de ter que mudar de senha periodicamente (Lorrie Cranor mesmo odeia a obrigatoriedade de troca a cada 60 dias imposta pela FTC) e, portanto, facilitam ao máximo esse processo.

De todo modo, a senha foi alterada, o que deve impedir a ação de quem a usava às escondidas, certo? Aí que está o problema: o padrão de alteração é tão previsível que os pesquisadores conseguiram desenvolver um algoritmo capaz de "adivinhar" a mudança efetuada.

No final das contas, Cranor concluiu que a mudança periódica de senhas é uma barreira muito pequena para invasores em potencial. Mesmo que haja regras que dificultem a reciclagem de uma combinação, a alteração pode ser tão estressante que o usuário irá anotá-la em um papel ou usar como base uma palavra de fácil memorização, o que também pode comprometer a segurança.

Apesar disso, a FTC não está recomendando abertamente que a troca periódica de senha seja abandonada. Ainda não. Mais estudos são necessários. No momento, a divulgação do levantamento de Lorrie Cranor chama atenção para a necessidade de discussões sobre o assunto e a priorização de outras práticas de segurança.

Nesse sentido, recomendações como misturar letras maiúsculas e minúsculas com números e caracteres especiais continuam valendo com força, assim como não aplicar combinações óbvias. Para quem tem dificuldades com isso, fica a dica: usar gerenciadores de senhas pode ser uma excelente opção.

Comentários

Envie uma pergunta

Os mais notáveis

Comentários com a maior pontuação

Robson
Sou contra isso de ficar trocando de senha toda hora!Só troco mesmo em casos quando acho que alguém conseguiu obter acesso às minhas contas, etc... e mesmo assim, quando vou trocar de senha, procuro não criar senha semelhante à senha antiga.Procuro também sempre usar "geradores de senha", que ajudam bastante nesta tarefa de criar uma senha nova e mais segura, misturando letras, números e símbolos.Um site muito bom que uso e recomendo é este aqui: http://www.geradordesenha.com
Robson
Sou contra isso de ficar trocando de senha toda hora!

Só troco mesmo em casos quando acho que alguém conseguiu obter acesso às minhas contas, etc... e mesmo assim, quando vou trocar de senha, procuro não criar senha semelhante à senha antiga.

Procuro também sempre usar "geradores de senha", que ajudam bastante nesta tarefa de criar uma senha nova e mais segura, misturando letras, números e símbolos.
Um site muito bom que uso e recomendo é este aqui: http://www.geradordesenha.com
SR 71 Pássaro Preto
As minhas também. É difícil confiar nesses apps de terceiros pelo fato de que pode ocorrer um ataque Hacker e a pessoa ter uma grande dor de cabeça!.
Anthony Fernando
As minhas também. É difícil confiar nesses apps de terceiros pelo fato de que pode ocorrer um ataque Hacker e a pessoa ter uma grande dor de cabeça!.
Feripe Hatsune
o volume de mangás foi invenção minha lol.
mas que daria uma ótima história seria.
Adnnu Bauss
E quando os bancos te impõem uma senha aleatória? O que acontece é que no lugar de decorar a nova senha o usuário anota num papel que fica na carteira.

Certas empresas precisam repensar o que chamam de procedimento de segurança. Se o banco dificulta minha vida e eu sei que em caso de fraude o prejuízo é deles, não me esforçarei para ajuda-los.
Panino, o Moço
"mangá de 4 volumes com 60 páginas cada"Seria então um mangá de volume único e 240 páginas, existe esse formato.
Panino, o Manino
"mangá de 4 volumes com 60 páginas cada"
Seria então um mangá de volume único e 240 páginas, existe esse formato.
The Moon
Todas minhas senhas estão salvas no servidor da Google
Hail Hidra
Todas minhas senhas estão salvas no servidor da Google
Jamis Casusa
Já passei por isso, e pior: eu trabalhava no suporte.

Toda semana vinha gente pedir pra resetar a senha
Islan Oliveira
Valeu pelo link, descobri que o meu login de um site que jogava muito tempo atrás vazou.
Islan Oliveira
Eu costumo usar 3 ou 4 senhas por ano, uma para cada serviço. Nenhuma lembrando a outra e todas são frases em língua estrangeira com alguns erros propositais. Se isso não for mais seguro, não sei mais o que seria.
Marcos Porto
Conheço um "SEO" de uma transportadora que muda a senha de forma sequencial! Algo como tEd0405!, [email protected], tEd0407#... kkkkk
Marcos Porto
Opa, achei um "Oh no — pwned"... de um site que nunca usei hahahaha
Fábio Gonçalves
Por isso uso o Safe in Cloud....
Rodrigo Gommes
o mais chato de tudo é que conectar o LastPass, cadastrar minhas senhas lá. e esquecer "periodicamente" a senha do próprio LastPass... =/
@Sckillfer
Difícil usar gerenciadores de senha enquanto o Android e o Windows não tiverem API pra isso.
F. S.
Difícil usar gerenciadores de senha enquanto o Android e o Windows não tiverem API pra isso.
abraaocaldas
E foi justamente por isso que eu comecei a usar o lastpass :)
PPKX XD ✓ᵛᵉʳᶦᶠᶦᵉᵈ
Vc pode usar o haveibeenpwned.com pra consultar se um email ou username seu já apareceu em algum vazamento, e ele ainda te avisa por e-mail em vazamentos futuros.
PPKX XD ?????????
Vc pode usar o haveibeenpwned.com pra consultar se um email ou username seu já apareceu em algum vazamento, e ele ainda te avisa por e-mail em vazamentos futuros.
PPKX XD ✓ᵛᵉʳᶦᶠᶦᵉᵈ
Trabalhei numa empresa que tinha que trocar a senha a cada 30 dias e não podia repetir as 20 últimas, a minha senha era [email protected]# tipo, [email protected]#
PPKX XD ?????????
Trabalhei numa empresa que tinha que trocar a senha a cada 30 dias e não podia repetir as 20 últimas, a minha senha era [email protected]# tipo, [email protected]#
abraaocaldas
Sério? Mas vazaram as senhas?
Ricardo - Vaz Lobo
Se um dia for trocar TODAS as senhas do meu dia a dia enlouqueço...
Theus
A unica senha que eu sei é a do Google, além do LastPass. Todas as outras são geradas.
Chicão ?????????
Aproveite que vc começou a usar hoje e deixe-o de lado.
Passe a usar o Dashlane, 1password ou Enpass.
De todos o Lastpass é mais inseguro. Vive sofrendo ataques.
Semana passada sofreu um.
Anakin
Desde que me apresentaram gerenciador de senhas, nunca mais decorei, só tenho um pouco de pé atrás o quão seguro é esses gerenciadores xD
Feripe Hatsune
Só de pessoas que recebo no meu departamento reclamando de senhas esquecida já dá para escrever um mangá de 4 volumes com 60 páginas cada.
O problema mesmo é convencer as pessoas que insistem no papelzinho a saírem de sua zona de conforto e usar um gerenciador de senhas, isso é tão ruim quanto os riscos.
Diogo Paiva
Sempre falei isso...
Matheus
Descobriram o óbvio
abraaocaldas
Uma coisa que eu começei a usar e hoje não largo mais é o LastPass. Gero a senha por ele e esqueço :)