Aprender a usar palavras-passe seguras

A tua password é segura? Se tem 6 caracteres com letras maiúsculas, minúsculas e números então alguém com uma simples Radeon HD 5770 consegue descobrir a tua palavra-passe em menos de 5 segundos.

Mas decorar uma password complexa é impossível, por isso aqui ficam umas dicas para escolher palavras-passe seguras.

Palavras-Passe seguras

Actualmente com uma simples placa gráfica e o ighashgpu é possível descobrir passwords “complexas” em pouco tempo. A capacidade de processamento de um GPU é muito superior ao de um CPU, enquanto que um CPU iria demorar 17 segundos a descodificar uma password como pYDbL6, um GPU precisa de apenas 4 segundos com o ighashgpu.

E como é que isto te afecta? Bom, nem todos os sites onde usas passwords encriptam estes dados de forma segura. Existem programadores desleixados que guardam as passwords em texto ou apenas encriptam com md5, e contra mim falo que já fiz os mesmos erros.

Não tens maneira de saber se o site onde te estás a registar é seguro (excepto se o indicarem na politica de privacidade por exemplo), então o melhor é tomarmos medidas preventivas para evitar que os teus dados sejam usados por terceiros.

Usar palavras-passe seguras

O primeiro passo é criar uma palavra-passe segura e complexa. Actualmente uma password com 8 caracteres pode ser considerada obsoleta, mas o nosso cérebro não é bom a decorar passwords. UJ7&f-{)Yi54ut é uma boa password, mas quem é que vai decorar algo tão complexo?

É por isso que sou adepto das passprhases, por exemplo Eu vi um Sapo, tralalala… é bastante simples de escrever e de decorar. Mas estou a usar palavras que vêm num dicionário e isso vai contra tudo o que leste na net. É verdade, se usares frases comuns como I have a dream! ou nomes de músicas como Gangnam Style estão a facilitar a vida dos hackers. Mas qual acham que é a password mais segura?

UJ7&f-{)Yi54ut equivale a uma protecção de 89 bits enquanto que Eu vi um Sapo, tralalala… equivale a uma protecção de 120 bits. A diferença são vários anos entre elas para crackar e não precisam de a escrever num papel.

O ideal é usar uma frase que seja fácil de lembrar e que seja especifico a ti mas que não seja fácil de adivinhar por outras pessoas. Por exemplo, uma boa passphrase para o Hélio Imaginário seria O medo a mim não me assiste! com uma segurança de 135 bits, mas como o seu vídeo tornou-se viral já não é boa ideia ;)

Sites que não aceitam a minha password

Nem todos os sites aceitam passwords com espaços e aplicam limites máximos ao tamanho de uma password, o que complica a tarefa de criar uma passphrase. Aqui podemos criar a password EuviumSapo,tralalala… que tem um nível de protecção de 107 bits por exemplo. Mas isto só se aplica se quisermos memorizar a password na nossa cabeça.

Uma palavra-passe para cada site

O ideal em termos de segurança é ter uma palavra-passe para cada site. É impossível memorizar tanta palavra-passe, mas podemos usar aplicações que facilitam esta gestão. Por exemplo o Opera tem um gestor de passwords que memoriza e encripta as passwords de vários sites em 3DES e ainda permite sincronizar essa informação entre computadores com o Opera Link.

Existe ainda o LastPass que faz uma gestão semelhante e tem plug-ins para vários browsers, incluindo Apps para Android, Windows Phone 7 e iOS. Se não confias em ter a tua password online podes usar o KeePass que tem um nível de segurança surpreendente.

Assim apenas necessitas de memorizar uma passphrase e podes gerar passwords aleatórias para cada site sem necessitar de saber quais são.

E porque é isto importante?

Vamos supor que usas em todo o lado a password password123 e um desses sites com a tua informação pessoal (email, username) é atacado. A partir daqui os teus dados podem ser usados para aceder a outros serviços como a tua conta de email ou o teu perfil do Facebook.

Se por acaso souberes que existiu um ataque e fores informado disso vais ter que andar a alterar todas as tuas passwords. Se tiveres uma password por site apenas tens que criar uma nova password para aquele site, e ao usares uma password complexa tens uma garantia que esta não será decriptada tão facilmente.

 
Copyright © 1985 - 2017 Eduardo Maio. Alguns direitos reservados.
eduardomaio.net - Às vezes mais valia ser Agricultor do que Programador
Ao navegar no blog eduardomaio.net está a concordar com os termos legais e de privacidade.