2016/04/02

As 5 regras para criar passwords seguras (manualmente)


Podem ser um incómodo, mas por enquanto são indispensáveis. As passwords são um dos requisitos essenciais para praticamente qualquer serviço que se queira utilizar... e convém usá-las da melhor forma, a começar pela criação de passwords seguras.

Ao contrário da CNBC não vamos pedir para introduzirem a vossa password para avaliar a sua segurança, e automaticamente colocá-la em risco. Vamos apenas falar de um conjunto de métodos que poderão utilizar da próxima vez que quiserem criar uma password. Mas antes de mais convém referir que vamos falar de métodos manuais. Quem estiver servido com um gestor de passwords já tem todo o trabalho feito automaticamente (e recomendo que mesmo que não usa um, que experimente usar um, para ver como é e ver se se adapta - e evita trabalho manual extra.)

Dito isto, eu sou daqueles pessoas que, embora esteja consciente de todas as vantagens desses gestores de passwords, continuo a não querer deixar as minhas passwords todas metidas "no mesmo saco". Mas, reconheço também que é isso que acaba por acontecer qualquer que seja o método utilizado... Por exemplo, se alguém conseguisse entrar na minha conta de email principal, teria acesso a todos os serviços que utilizo, mediante o processo de recuperação de conta/password - pelo que, para todos os efeitos, a minha conta de email torna-se no tal "saco global". Mas avancemos...

Estamos a criar uma nova conta num qualquer serviço, e quando chega a altura de introduzir a password, o que fazer?

Regra nº 1 - Nunca, mas nunca, utilizar uma password repetida que já se utilize noutro serviço.

Esqueçam a comodidade de usar uma password igual para todos os serviços por ser mais cómodo. O que conseguirão com isso é que, assim que um desses serviços for hackado e revelar os dados dos utilizadores, ficarão com uma dor de cabeça fenomenal a tentarem lembrar-se de todos os outros serviços em que já se registaram, e onde a vossa conta poderá ser apanhada por um qualquer curioso. Encarem o trabalho extra de usar passwords diferentes como um investimento na tranquilidade futura.


Regra nº 2 - Como garantir que a password é segura?

Uma das tácticas consiste em martelarem aleatoriamente no teclado, garantindo que escrevem letras maiúsculas, minúsculas, números e símbolos. Mas, como por vezes temos inconscientemente tendência para carregar mais numas teclas que noutras, há uma opção simples e eficaz. Existem muitos sites que se dedicam a criar passwords aleatórias (ter cuidado com aqueles que dizem fazê-lo mas que não usem HTTPS - podem logo eliminá-los da lista!) mas eu pessoalmente gosto do random.org.

Sim, o Random.org não gera apenas números aleatórios mas todo um conjunto de coisas, incluindo passwords. Podemos escolher a sua dimensão e diversos parâmetros avançados (recomenda-se que utilizem uma password de tamanho generoso, como os 24 caracteres máximos que o random permite, se o serviço as suportar - pois como verão a seguir, será irrelevante o seu tamanho.)

Ora, uma vez que a desconfiança morreu de velha, a minha recomendação é que, da lista que o random vos apresenta, seleccionem uma, mas depois introduzam ainda mais uns caracteres esquisitos distribuídos lá pelo meio, só para dar uma dose adicional de segurança.


Regra nº3 - Como é que nos vamos lembrar da password?

Ora aqui entra a parte em que se tem que escolher em que serviço confiar, quer fosse um tal gestor de password, mas que - considerando que quem conseguir acesso ao nosso email poderia fazer a recuperação da password - eu opto por deixar mesmo aí. Ou seja, guardar a password no serviço de email, num email em draft que nunca enviem, para que nunca "saia" do serviço. Ter em conta que isto pode ter certos riscos se tiverem a fazer download do vosso email para diferentes programas - mas para quem se limitar a usar o serviço de mail na web, tipo Gmail ou Outlook.com, poderá ficar relativamente descansado.

(Novamente, a tal questão - se alguém conseguisse aceder ao vosso email, de modo a poder ver as passwords, também poderia fazer o processo de recuperação da mesma e aceder ao email que permitiria fazer reset à mesma.)

Quando precisarem de entrar num serviço, têm apenas de ir ao serviço de email, aceder ao draft, pesquisar pela password, e fazer copy-paste. É arcaico, dá trabalho, mas pronto, sabem exactamente o que estão a fazer e sem dependerem de um gestor de passwords (que, relembro, é uma opção recomendável e perfeitamente válida - para quem os quiser utilizar.)


Regra nº4 - a autenticação 2-factor

Apenas uma última referência para alertar que qualquer password, por mais complexa e segura que seja, é completamente vulnerável contra certos tipos de ataque, como keyloggers. Por isso, é altamente recomendado que activem todas as medidas de protecção adicionais, caso existam. Na maioria dos casos a autenticação 2-factor consiste na introdução de um código adicional, para além da password, que poderá ser gerado por uma app que corre em modo offline num smartphone - ou que poderão receber por SMS. Isto dá uma segurança acrescida, pois mesmo que vos apanhem a password em qualquer lado, teriam que ter acesso ao vosso smartphone para conseguirem introduzir o código adicional.



Regra nº 5- os riscos da recuperação (e outros)

Também de lembrar que nada disto importa se, estiverem a registar-se num serviço que tenha um processo de recuperação de contas que seja vulnerável; nem vos livra dos possíveis ataques de engenharia social. Pelo que, convém estar consciente para essas potenciais vertentes de ataque (por exemplo, há quem recomende que em perguntas de recuperação de password como "qual a cor favorita?" não respondam uma cor, mas sim algo como "lkjw4lkj3qlk!jtel$%#$rktjqlk34" para garantir que nunca ninguém acertará na cor por um processo de "brute force", tentando as cores mais prováveis, etc.



Nota final: Claro  que depois resta uma excepção a tudo isto, que é a password para o próprio serviço de email onde terão acesso às restantes passwords dos outros serviços. E aí recomendo que utilizem uma password segura que consigam memorizar (ou mais concretamente uma passphrase condimentada com números e símbolos) - e claro, autenticação 2-factor, que será indispensável.

2 comentários:

  1. Excelentes conselhos, em relação à regra nº3 eu invés de utilizar um draft do gmail utilizo um sheets também do serviço da google, assim não envio por engano o draft onde tenha guardado as passwords.

    continua com o excelente trabalho.

    ResponderEliminar
  2. Em relação à regra 2, continuo a não perceber o porquê de usar estes serviços de 'random', ou mesmo, a necessidade de criar estas pass todas estrambólicas. Ninguém em lado nenhum vai andar a tentar detetar passwords por força bruta, mas no caso de isso acontecer, todos sabemos que é muito mais seguro acrescentar um caratere à pass, do que andar a perder tempo com números e maiúsculas e símbolos.

    Assim, mais vale criar passwords com muitas letras e acabou. Até dá jeito porque assim podemos usar frases. Por exemplo uma password segura seria "Omacacotem10dedos" :) Eu passo a vida a inventar passwords desse género e tenho o meu próprio algoritmo na tola para onde meto uma maiúscula ou que números são usados.

    Ninguém tenha dúvidas que o ponto de falhanço não são as passwords mas sim tudo o resto. O email como foi referido, o acesso físico ao computador onde muitas vezes estão armazenadas as pass, engenharia social, etc.

    Em mais de 20anos de internetanços só tive problema com passwords uma vez e foi num serviço onde tinha a mesma pass que usava noutro serviço e que cuja base de dados foi roubada.

    ResponderEliminar