Um sistema te pede para criar uma senha. Você digita C4rlo5S0uZa123!*. Ela tem números, caracteres especiais, letras minúsculas e maiúsculas. Parece segura, certo?
Não necessariamente.
Durante décadas, as pessoas foram ensinadas que a melhor forma de se proteger online é criando códigos complexos e confusos. O problema? Os métodos de invasão se sofisticaram, mas a nossa memória, não.
Acabamos criando senhas que são difíceis para pessoas lembrarem, mas fáceis para máquinas quebrarem.
Como engenheiro chefe do Nubank e especialista em segurança da informação, parte do meu trabalho é garantir a defesa e preservação dos dados dos nossos clientes. Mas percebi, ao longo da minha carreira, que a maioria das pessoas não sabe se proteger de violações comuns e facilmente evitáveis.
Boa parte desses casos pode ser prevenida com algo tão simples quanto uma boa senha. Neste texto, explico como são feitos os ataques mais frequentes e dou dicas de como criar uma senha forte para combatê-los.
O que é, afinal, uma senha segura?
Voltando ao exemplo da senha C4rlo5S0uZa123!*: é verdade que ela provavelmente resistiria a vários ataques de software voltados para quebrá-la. Mas as chances de você se confundir e não lembrar onde substituiu letra por número, por exemplo, são altas.
Para evitar isso, muitas pessoas acabam anotando suas senhas ou em um papel, ou numa planilha – uma falha de segurança muito grave, já que pode entregar o acesso na mão de pessoas mal intencionadas.
Veja mais: Como não cair em golpes que usam o nome do Nubank
O que torna uma senha segura não é quão complexa ela é, ou quão longa, ou com quanta frequência ela é alterada. A verdadeira segurança vem de ela ser única.
Ter uma senha única significa que nenhum outro sistema ou pessoa use o mesmo código que você e nem você use o mesmo código em lugares diferentes.
Como criar uma senha forte?
Lembrar de senhas complexas pode ser difícil. Lembrar de frases, por outro lado, é mais fácil.
Hoje, a comunidade de segurança aconselha que, para senhas que você vá memorizar, sejam utilizadas frases longas – de preferência, uma associação de palavras aparentemente sem sentido.
Você pode, por exemplo, juntar uma fruta, uma rua, uma atividade física, um objeto e um número que não tenha relação com você (não seja uma data de aniversário, por exemplo) e chegar em algo como pitangatiradentesdancarelevador81.
E não é preciso se limitar aos exemplos acima. Quanto mais diferentes forem as fontes das palavras, mais segura será a sua senha. Em alguns sistemas você ainda pode até incluir espaços entre as palavras.
Lembrando sempre da importância da senha ser única – nunca use, portanto, trechos de filmes e músicas, por exemplo.
Não é possível, no entanto, aplicar essa tática a senhas só numéricas. A recomendação, nesse caso, é evitar sempre sequências identificáveis, como datas especiais ou 1234. Quanto mais aleatório o número, melhor.
Dica extra: gerenciadores
Usar um gerenciador de senhas ajuda a aprimorar ainda mais essa camada de proteção. Essas ferramentas agregam, de forma criptografada, todas as senhas de outros sistemas online. Assim, o usuário precisa lembrar apenas de um código (sempre bem seguro e único), que guarda todos os outros.
Alguns exemplos de gerenciadores são o LastPass e o 1Password.
Afinal, por que senhas importam tanto?
O acesso não autorizado a um dispositivo (como computador, celular, tablet…) ou a uma conta é um problema potencialmente grave para qualquer um. Dependendo do que for acessado, é possível conseguir informações confidenciais e realizar ações no nome da outra pessoa.
A senha é a primeira frente de defesa contra uma tentativa de invasão. Ela é uma das formas de validar que um cliente ou usuário é ele mesmo.
No caso de bancos ou instituições financeiras, como o Nubank, essa é uma camada de proteção muito importante para ajudar a preservar a vida financeira dos clientes – uma chave para dentro do ecossistema de informações pessoais de cada um. Torná-la a mais segura possível, é, portanto, importantíssimo.
Como são feitos ataques a senhas?
Já ouviu falar alguma vez de senhas vazadas? Isso acontece quando um cibercriminoso consegue invadir o sistema de algum serviço – um site de compras ou de jogos, por exemplo – e acessar os dados dos usuários ou clientes. Nessa invasão, ele pode conseguir informações tão variadas quanto nomes, números de cartão e a senha usada naquela plataforma.
É aí que mora o problema: como muita gente usa a mesma senha em vários lugares (como e-mail, redes sociais e até bancos), a senha utilizada se torna totalmente vulnerável.
Os criminosos compartilham e vendem essas senhas online para que outros ataques sejam feitos. Funciona na tentativa e erro mesmo: um computador pega a lista de informações comprometidas e, em pouquíssimo tempo, consegue testar milhões de combinações internet afora.
Um exemplo: em 2019, um caso de vazamento de dados – que ficou conhecido como Collection #1 – violou mais de 21 milhões de senhas.
O vazamento foi informado a Troy Hunt, um pesquisador de segurança da informação altamente respeitado e dono do site Have I Been Pwned, que revela se uma senha já foi comprometida e quantas vezes – quem tiver curiosidade pode inserir a sua (e provavelmente tomar um susto).
Outros métodos de violação de senhas são:
1. Ataque de força bruta
O nome é praticamente autoexplicativo. Nessa tática, um software automatizado testa o máximo de combinações possíveis (incluindo números, símbolos e letras) em uma velocidade altíssima até quebrar a senha.
2. Ataque de dicionário
Diferentemente do ataque de força bruta, esse tipo de tática usa palavras comuns. Portanto, senhas que usam palavras comuns são vulneráveis a esse método.
Em 2009, um hacker de 18 anos conseguiu invadir dessa forma contas em redes sociais de celebridades como Selena Gomez e Miley Cyrus.
3. Ataque de phishing
Um dos golpes mais comuns da internet, o phishing busca induzir as pessoas ao erro para que elas entreguem voluntariamente as informações ou cliquem em algum tipo de arquivo que facilite o roubo de dados.
Muitas vezes, isso é feito através do envio de um link – os golpes podem ser tão sofisticados que a página aberta seja idêntica à da marca real.
No caso do phishing, a senha forte não resolve, já que ele implica no próprio usuário voluntariar suas informações. Para os dois primeiros, no entanto, uma senha segura dificulta muito o trabalho dos softwares maliciosos.
Resumindo: o que levar em conta ao criar uma senha
- Evite sempre datas ou palavras simples;
- Garanta que a senha seja longa, memorizável e única para você;
- Frases inteiras são melhores que palavras ou substituições numéricas;
- Nunca, em hipótese alguma, anote sua senha;
- Nunca forneça sua senha após clicar em um link enviado – na dúvida, abra o aplicativo ou site em uma página separada;
- Tenha um gerenciador de senhas para acrescentar uma camada de proteção.
Para quem quiser se aprofundar ainda mais no tema, o blog do Avast reúne mais algumas indicações.
Este conteúdo faz parte da missão do Nubank de devolver às pessoas o controle sobre a sua vida financeira. Ainda não conhece o Nubank? Saiba mais sobre nossos produtos e a nossa história aqui.
{{#comments}}-
{{comment_author}}
{{comment_date}}
{{comment_content}}
{{/comments}}
{{#children}}-
{{child_comment_author}}
{{child_comment_date}}
{{child_comment_content}}
{{/children}}