Início » Antivírus e Segurança » Por que as regras de senhas fortes que aprendemos estavam erradas

Por que as regras de senhas fortes que aprendemos estavam erradas

##0 c4Ra 9uE 1nv&nTou 4$ R3gr4S p4rA $3nh4s d1F1c&is SE! 4rReP3nd&u d0 Qu3 [email protected]##

Paulo Higa Por
TB Responde

Em todos esses anos na internet, você foi doutrinado a criar senhas cheias de maiúsculas, minúsculas, números e caracteres especiais, de preferência bem longas, daquelas impossíveis de memorizar. Muitos sites nem permitem concluir o cadastro se você não escolher uma “senha forte” (embora haja algumas exceções como, err, o seu internet banking). Mas, de onde surgiram essas regras?

O cara que inventou o padrão foi Bill Burr, que trabalhou no Instituto Nacional de Padrões e Tecnologia (NIST, na sigla em inglês), uma espécie de equivalente americano da nossa ABNT. O documento que continha as regras foi escrito em 2003 e dizia que uma senha forte deveria ter “capitalização irregular, caracteres especiais e pelo menos um numeral”.

Login e Senha / Pixabay

Mas não tem como não lembrar de uma tirinha clássica do xkcd: se a gente levar em conta um ataque de força bruta, uma senha “correct horse battery staple” é muito mais difícil de quebrar que um “Tr0ub4dor&3” (e mais fácil de ser memorizada). A primeira poderia levar 550 anos para ser adivinhada por um computador, enquanto a senha “forte” demoraria somente três dias, considerando um ataque típico na web.

Calma que tem mais: o documento também recomendava trocas de senhas a cada 90 dias. Eu não preciso nem dizer que trocar uma senha de 0b3$%ECyrn2#@!1 para 0b3$%ECyrn2#@!2 não é a coisa mais segura do mundo.

Por isso, Burr, agora com 72 anos e aposentado, deu uma entrevista para o Wall Street Journal se desculpando por ter criado as regras hoje amplamente adotadas pelas empresas (e provavelmente por ter feito você perder seu tempo). Além disso, o documento do NIST foi reescrito, removendo a regra de troca de senha a cada 90 dias e informando o seguinte:

“A forma mais notável disso [resolver as preocupações com segurança] são as regras de composição, que exigem que o usuário escolha senhas utilizando uma mistura de tipos de caracteres, como um numeral, maiúscula e símbolo. Porém, as análises de bancos de senhas violados revelam que o benefício dessas regras não é tão significativo como pensado inicialmente, embora o impacto na usabilidade e memorização seja grave”.

Senhas fortes são senhas longas

Por isso, o NIST agora apresenta “uma abordagem diferente e mais simples, baseada principalmente no comprimento da senha”. A recomendação é que “os usuários devem ser encorajados a tornarem suas senhas tão longas quanto quiserem”, e que ataques de força bruta podem ser mitigados limitando-se a quantidade de tentativas de login permitidas. Não há mais requisitos específicos de composição de senhas.

A conclusão é que “os requisitos de comprimento e complexidade, além dos recomendados aqui, aumentam significativamente a dificuldade das senhas serem memorizadas e a frustração do usuário. Como resultado, os usuários geralmente burlam essas restrições de uma forma contraproducente”.

Em resumo, tudo o que te ensinaram sobre como criar uma senha forte estava errado.

Comentários

Envie uma pergunta

Os mais notáveis

Comentários com a maior pontuação

Rafael F. Silva

Palavras aleatórias (como na tirinha) já é o suficiente.
Eu costumo usar uma frase com umas 5 palavras. Em cada senha, defino um padrão para letras maiusculas e minusculas (por exemplo: para senha do site X, todas as letras "A" serão maiusculas), e no final coloco uma sequencia de numerais ( alguma data, ou outro numero de facil memorização).

Parece complicado, mas rapidinho você pega o jeito e percebe que é mais fácil que ficar colocando sistemas cabulosos de verificação.

Kodos Otros

Que burro.

Augusto Santos

Pode ter um Keylogger em sua máquina, por isso o keyboard virtual.

Sergio Monteiro

Eu não peguei, lol

Felipe de Souza
Itaú e Bradesco já tem um "aplicativo próprio" par PC para fazer o acesso sem precisar de módulos extras de segurança que agem no navegador. Nada mais são que navegadores minimizados à função única de acessar o site do banco sem possibilidade da instalação de complementos ou sites externos.
Daniel

Bom, mas o que estabelece a base para a construção de uma senha segura? Por ordem de prioridade seria assim:

1) O mais longa possível;
2) Falta de sentido;
3) Caracteres especiais, maiúsculos e numéricos;

Daniel Silva
Bom, mas o que estabelece a base para a construção de uma senha segura? Por ordem de prioridade seria assim: 1) O mais longa possível; 2) Falta de sentido; 3) Caracteres especiais, maiúsculos e numéricos;
André G
O mais importante é usar senhas diferentes para cada site, pois a menos que você seja uma pessoa importante não irão tentar descobrir sua senha por ataque massivo, mas certo dia você pode ter sua senha descoberta por cair no golpe de um site clone ou um malware, e ao descobrir sua senha eles irão tentar usar seu login e senha em todos os principais sites existentes. Caso você não queira usar um programa como Lastpass, pode usar sua senha variável para cada site usando as duas primeiras letras do site em cada senha, como por exemplo higa00, no Google você colocaria Gohiga00, no Facebook Fahiga00, no Twitter Twhiga00. Ou usando as duas últimas letras do site Google --> Lehiga00, a primeira e última letra, Google --> Gehiga00, etc. Você pode criar a sua própria combinação, dessa forma, se descobrirem sua senha, você não terá todas as contas invadidas. Além disso, usem verificação em duas etapas sempre que estiver disponível.
Keaton
joga "correcthorsebatterystaple" no Have I been pwn3d / password. haha
Isaias Freitas
E qual seria o jeito certo então ?
Anakin
Os serviços tipo LastPast irão atualizar pra este novo método? Até que ponto as senhas que eles geram não são tão seguras assim.
Danillo Nunes
Geralmente ela já é proibida porque é muito grande.
angelobio

swordfish

Adriano Angelo
swordfish
Pedro Lucas
xo tentar entrar no seu perfil com ela...
Exibir mais comentários