Senhas são a porta de acesso para a maioria das nossas contas online, de redes sociais a plataformas de e-mail, mas você sabe se as que você está usando são fortes o bastante para suportar os repetidos ataques dos hackers? Se você quer saber como fazer um teste de segurança de senhas e as melhores combinações para manter seus dados seguros, nós pedimos para os especialistas nos explicarem.

Você pode já estar familiarizado com alguns conselhos que geralmente aparecem sempre que você cria uma nova conta em algum lugar: Mantenha a sua senha comprida, complicada e difícil de adivinhar. O que você pode não saber é o porquê que essas regras tornam uma senha forte, e como até a melhor política de senhas pode causar problemas para os usuários.

12 ferramentas web úteis que você não conhecia
Como deixar suas contas de redes sociais o mais privadas possível
10 links secretos que vão agilizar a sua vida

A base da quebra de senhas

Existem inúmeras formas da sua senha ser exposta, explica Bruce Marshall, consultor de segurança e fundador do PasswordResearch.com: Incluindo a simples adivinhação, usar um ataque de phishing para fazer você entrar em um site comprometido, ou usar um ataque de força bruta para tentar um grande número de combinações em rápida sucessão (que muitos aplicativos e sites agora impedem de acontecer).

Acrescente a isso o malware invisível que pode ‘observar’ você colocando sua senha depois de se instalar no seu sistema, além da possibilidade bem real de invasões de bancos de dados de senhas em serviços com medidas de segurança inadequadas, e você pode ver a sua coleção pessoal de números, dígitos e caracteres especiais sendo atacados por todos os lados.

Por causa disso, você precisa manter o seu computador seguro, tenha certeza que você só usa serviços online que tem uma segurança forte, e invente senhas que não são previsíveis, adivinháveis ou facilmente quebradas, diz Marshall –é daí que vem o conselho comum de uma senha complicada e longa, porque uma senha de 4 caracteres oferece menos combinações do que uma de 14.


Sites geralmente aconselham sobre a força das suas senhas. Captura de tela: Gizmodo

Não use o seu nome, não use a sua data de nascimento (especialmente se ela estiver abertamente mostrada no Facebook), e não use o nome do seu animal de estimação (especialmente se ele estiver espalhado pelo seu Instagram). Comprimento é importante (14 caracteres é um bom mínimo básico), mas manter suas senhas difíceis de adivinhar é ainda mais importante.

“Hackers não vão testar cegamente todas as senhas de oito caracteres e todas as senhas de nove caracteres”, Jeffrey Goldberg, especialista em segurança do gerenciador de senhas 1Password disse ao Gizmodo. “Eles adivinham as mais óbvias antes. Esses hackers sabem mais sobre como as pessoas criam senhas do que qualquer um”.

Em outras palavras, hackers de senha sabem que todos são orientados a adicionar letras em caixa alta e caixa baixa, além de símbolos, e eles sabem os padrões de caracteres que os usuários costumam usar por padrão: “MeDeixaEntr4r” não é muito mais forte do que “MeDeixeEntrar” e “Senha!” não é muito melhor do que o péssimo “senha”. Você pode até achar que está sendo esperto, mas muitos usuários seguem essa mesma rota.


O verificador de senhas da Carnegie Mellon University. Captura de tela: Gizmodo

Como pesquisas do CyLab Usable Privacy and Security Laboratory na Carnegie Mellon University mostraram, é difícil julgar a efetividade de qualquer política de senha quando os humanos são seres tão previsíveis. Fale para todos usarem um número e eles tenderão a usar o mesmo número no mesmo lugar; fale para todos usarem maiúsculas, e eles provavelmente as colocarão nos mesmos lugares também.

Isso não é dizer que não existem formas de deixar a sua senha mais segura -senhas mais longas e difíceis de adivinhar são mais seguras, e a Carnegie Mellon University disponibilizou um verificador de força de senha online que você pode usar. Escreva um exemplo de senha e você será avisado se você coloca as suas letras em caixa alta e os símbolos no mesmo lugar que todo mundo, ou se está usando palavras do dicionário (muito fáceis de adivinhar).

O verificador online dá um retorno detalhado da sua senha baseada em uma rede neural baseada em milhões de amostras. No entanto nem as senhas mais fortes são o bastante hoje em dia, e isso é algo que todos os nossos especialistas em segurança concordam. Se você usar apenas senhas que você inventar, você é o alvo perfeito dos hackers.

O problema com as senhas

O problema com as senhas mais fortes é que elas são muito compridas e muito difíceis de lembrar — isso as torna difíceis de adivinhar, mas também as deixa mais passíveis de serem escritas em um pedaço de papel (pronto para qualquer um pegar) ou reusá-las através de várias de nossas contas (o que significa que entrar na mais fraca dá acesso a todas as outras).

“Memorizar senhas complexas e únicas para cada senha online não é natural e pode resultar em usuários criarem atalhos às custas da própria segurança: Reusar senhas, usar variações da mesma ou usar informação identificável em suas senhas”, Steve Schult, diretor sênior de gerência de produtos na LastPass desenvolvedora do LogMeIn, nos disse.

Em outras palavras, as regras que governam a criação das senhas mais fortes não são as regras que os seres humanos podem facilmente seguir -ao menos não sem comprometer a segurança de outra maneira, ou esquecendo suas senhas diariamente.


Não use a mesma senha em todos os lugares que você logar. Captura de tela: Gizmodo

Mudar a senha regularmente é outro exemplo disso. Em teoria, é uma boa ideia manter os hackers fora da sua trilha e assegurar que as quebras de dados em contas antigas não afetem as novas; na prática, se torna parte do problema de ter tantas senhas com as quais lidar e leva as pessoas a escolherem opções mais fracas. Como uma pesquisa mostrou, até mesmo a forma como você muda as senhas é previsível, já que mudamos números 1 para números 2 e assim em diante.

Lembre-se também que a mesma capacidade de processamento de computador que está sendo usada para reconhecer nossas vozes e nos fornecer recomendações úteis do Netflix, também está sendo usada para gerar senhas para ataques de hackers.

Vários dos nossos especialistas em segurança indicaram a senha em frase como a opção mais forte possível: uma coleção aleatória de palavras, salpicadas de maiúsculas e símbolos que não seguem padrões típicos (como ter a primeira letra maiúscula e o último caractere sendo um símbolo). Mas você precisaria de uma senha em frase para todas as suas contas — cada uma delas.


Have I Been Pwned? avisa se a sua senha pode ter sido exposta. Captura de tela: Gizmodo

“Qualquer senha que seja usada para múltiplos sites e serviços é tão forte quanto o site ou serviço mais fraco deles”, diz Goldberg. “Uma senha reaproveitada é uma senha fraca”.

“Você pode ter uma senha aparentemente ótima que você usa para seu banco online e também no FotosDeGatinhos.net e mais uma dúzia de outros sites e serviços. Se o FotosDeGatinhos.net não tem conexão segura, então a sua senha está solta na rede para qualquer um que estiver na mesma rede que você estiver acessando. Ou se eles não armazenam as senhas de maneira segura, então sua senha pode ser facilmente roubada”.

“[Senhas em frase] podem ser ótimas se elas tiverem várias palavras aleatórias, mesmo se forem todas em caixa baixa e não tiverem números ou símbolos”, acrescenta Troy Hunt, escritor de segurança na internet e o homem por trás do Have I Been Pwned?. “Mas agora nós precisamos de senhas únicas também porque não podemos usar a mesma senha em frase em todos os lugares… nós também temos dezenas ou até mesmo centenas de contas hoje em dia então seu cérebro sozinho não funciona”.

Além da senha

Como os mais atentos à segurança entre vocês deve saber, a única resposta real para o problema é um gerenciador de senhas, se você levar a sério o fato de estar seguro —esse foi o conselho de cada um dos especialistas em segurança que entrevistamos, apesar de ser bom notar que ao menos dois desses especialistas trabalham eles próprios com gerenciadores de senhas.

Não é a única ferramenta que você tem à sua disposição – como mencionamos várias vezes, colocar autenticação em dois passos nas suas contas é uma prioridade máxima no que concerne sua segurança pessoal. Não é infalível, mas quer dizer que o hacker precisa de algo mais (geralmente acesso a um aplicativo no seu telefone pessoal) além de um nome de usuário e senha para conseguir entrar em uma conta.

Além disso um gerenciador de senhas respeitável não apenas se lembra de uma grande quantidade de senhas complexas e compridas para você, ele também cria novas quando necessário, e mantém tudo seguro através de uma senha mestra que só você sabe -mas tenha certeza de aplicar os princípios que nós descrevemos acima quando escolher uma.


Gerenciadores de senha cuidam de todas as suas contas. Captura de tela: LastPass

“Gerenciadores de senha são o único caminho para fora disso e quando você entra nesse caminho você realmente começa a gerar senhas de verdade, de 40 caracteres, e para de se preocupar com a força e singularidade porque eles já resolvem isso pra você”, diz Hunt.

Hackers estão usando o poder do algoritmo para tentar quebrar suas senhas, então porque não usar as mesmas técnicas de ciência da computação para tornar as suas senhas em frase tão aleatórias e difíceis de adivinhar quanto possível? Isso não é dizer que você pode de repente esquecer sobre a sua segurança online, mas esses aplicativos deixam o gerenciamento de senhas muito mais fácil.

“A abordagem mais segura de criar boas senhas é não criá-las você mesmo”, acrescenta Marshall. “Use um gerenciador de senhas para aleatoriamente gerar e guardar suas senhas… A maioria das pessoas não consegue distinguir uma senha forte de uma senha fraca, então é mais segura não depender unicamente no seu juízo para escolhê-las”.

Essas ferramentas também geram senhas difíceis de adivinhar para você. Captura de tela: 1Password

Além disso os cientistas da computação da Carnegie Mellon descreveram um gerenciador de senhas como uma “ajuda crucial” para manter você seguro na internet, tranquilamente cuidando de lembrar todas essas senhas longas e complexas para que você não precise depender de bilhetes grudados no seu monitor ou seu aniversário de casamento seguido do nome do seu animal de estimação.

Nós ja demos uma olhada em alguns dos melhores gerenciadores de senhas no mercado: Sem uma ordem especial, 1Password, Dashlane, Keeper, LastPass, e o KeePass de código aberto. Eles fazem um ótimo trabalho em gerenciar suas identidades online. O preço varia, mas com exceção do KeePass, você geralmente vai ter que pagar alguns dólares por mês para gerenciar suas senhas através de múltiplos dispositivos e serviços. Aplicativos móveis e para desktop estão disponíveis, e a autenticação de dois fatores é feita automaticamente.

No fim das contas, de acordo com as pessoas que trabalham nesse campo e o estudam como um trabalho, nós todos precisamos de um pouco de ajuda com as senhas. “Uma senha forte precisa ser aleatoriamente gerada, e as pessoas são péssimas em serem aleatórias”, diz Goldberg.