Cartilha de Segurança para Internet. Senhas

Senhas.

Uma senha (password) na Internet, ou em qualquer sistema computacional, serve para autenticar o usuário, ou seja, é utilizada no processo de verificação da identidade do usuário, assegurando que este é realmente quem diz ser.

Se uma outra pessoa tem acesso a sua senha, ela poderá utilizá-la para se passar por você na Internet. Alguns dos motivos pelos quais uma pessoa poderia utilizar sua senha são:
ler e enviar e-mails em seu nome;
obter informações sensíveis dos dados armazenados em seu computador, tais como números de cartões de crédito;
esconder sua real identidade e então desferir ataques contra computadores de terceiros.

Portanto, a senha merece consideração especial, afinal ela é de sua inteira responsabilidade.

O que não se deve usar na elaboração de uma senha?

Nomes, sobrenomes, números de documentos, placas de carros, números de telefones e datas1 deverão estar fora de sua lista de senhas. Esses dados podem ser facilmente obtidos e uma pessoa mal intencionada, possivelmente, utilizaria este tipo de informação para tentar se autenticar como você.

Existem várias regras de criação de senhas, sendo que uma regra muito importante é jamais utilizar palavras que façam parte de dicionários. Existem softwares que tentam descobrir senhas combinando e testando palavras em diversos idiomas e geralmente possuem listas de palavras (dicionários) e listas de nomes (nomes próprios, músicas, filmes, etc.).

O que é uma boa senha?

Uma boa senha deve ter pelo menos oito caracteres2 (letras, números e símbolos), deve ser simples de digitar e, o mais importante, deve ser fácil de lembrar.

Normalmente os sistemas diferenciam letras maiúsculas das minúsculas, o que já ajuda na composição da senha. Por exemplo, "pAraleLepiPedo" e "paRalElePipEdo" são senhas diferentes. Entretanto, são senhas fáceis de descobrir utilizando softwares para quebra de senhas, pois não possuem números e símbolos, além de conter muitas repetições de letras.

Como elaborar uma boa senha?

Quanto mais "bagunçada" for a senha melhor, pois mais difícil será descobrí-la3. Assim, tente misturar letras maiúsculas, minúsculas, números e sinais de pontuação. Uma regra realmente prática e que gera boas senhas difíceis de serem descobertas é utilizar uma frase qualquer e pegar a primeira, segunda ou a última letra de cada palavra.

Por exemplo, usando a frase "batatinha quando nasce se esparrama pelo chão" podemos gerar a senha "!BqnsepC" (o sinal de exclamação foi colocado no início para acrescentar um símbolo à senha). Senhas geradas desta maneira são fáceis de lembrar e são normalmente difíceis de serem descobertas.

Mas lembre-se: a senha "!BqnsepC" deixou de ser uma boa senha, pois faz parte desta Cartilha.
Vale ressaltar que se você tiver dificuldades para memorizar uma senha forte, é preferível anotá-la e guardá-la em local seguro, do que optar pelo uso de senhas fracas.

Quantas senhas diferentes devo usar?

Procure identificar o número de locais onde você necessita utilizar uma senha. Este número deve ser equivalente a quantidade de senhas distintas a serem mantidas por você. Utilizar senhas diferentes, uma para cada local, é extremamente importante, pois pode atenuar os prejuízos causados, caso alguém descubra uma de suas senhas.

Para ressaltar a importância do uso de senhas diferentes, imagine que você é responsável por realizar movimentações financeiras em um conjunto de contas bancárias e todas estas contas possuem a mesma senha. Então, procure responder as seguintes perguntas:

Quais seriam as conseqüências se alguém descobrisse esta senha?

E se fossem usadas senhas diferentes para cada conta, caso alguém descobrisse uma das senhas, um possível prejuízo teria a mesma proporção?

Com que freqüência devo mudar minhas senhas?

Você deve trocar suas senhas regularmente, procurando evitar períodos muito longos. Uma sugestão é que você realize tais trocas a cada dois ou três meses.

Procure identificar se os serviços que você utiliza e que necessitam de senha, quer seja o acesso ao seu provedor, e-mail, conta bancária, ou outro, disponibilizam funcionalidades para alterar senhas e use regularmente tais funcionalidades.

Caso você não possa escolher sua senha na hora em que contratar o serviço, procure trocá-la com a maior urgência possível. Procure utilizar serviços em que você possa escolher a sua senha.
Lembre-se que trocas regulares são muito importantes para assegurar a confidencialidade de suas senhas.

Quais os cuidados especiais que devo ter com as senhas?

De nada adianta elaborar uma senha bastante segura e difícil de ser descoberta, se ao usar a senha alguém puder vê-la. Existem várias maneiras de alguém poder descobrir a sua senha. Dentre elas, alguém poderia:

observar o processo de digitação da sua senha;
utilizar algum método de persuasão, para tentar convencê-lo a entregar sua senha (vide seção 4.1);

capturar sua senha enquanto ela trafega pela rede.

Em relação a este último caso, existem técnicas que permitem observar dados, à medida que estes trafegam entre redes. É possível que alguém extraia informações sensíveis desses dados, como por exemplo senhas, caso não estejam criptografados (vide seção 8).

Portanto, alguns dos principais cuidados que você deve ter com suas senhas são:
certifique-se de não estar sendo observado ao digitar a sua senha;
não forneça sua senha para qualquer pessoa, em hipótese alguma;
não utilize computadores de terceiros (por exemplo, em LAN houses, cybercafes, stands de eventos, etc) em operações que necessitem utilizar suas senhas;
certifique-se que seu provedor disponibiliza serviços criptografados, principalmente para aqueles que envolvam o fornecimento de uma senha

Que cuidados devo ter com o usuário e senha de Administrator (ou root) em um computador?

O usuário Administrator (ou root) é de extrema importância, pois detém todos os privilégios em um computador. Ele deve ser usado em situações onde um usuário normal não tenha privilégios para realizar uma operação, como por exemplo, em determinadas tarefas administrativas, de manutenção ou na instalação e configuração de determinados tipos de software.

Sabe-se que, por uma questão de comodidade e principalmente no ambiente doméstico, muitas pessoas utilizam o usuário Administrator (ou root) para realizar todo e qualquer tipo de atividade. Ele é usado para se conectar à Internet, navegar utilizando o browser, ler e-mails, redigir documentos, etc.

Este é um procedimento que deve ser sempre evitado, pois você, como usuário Administrator (ou root), poderia acidentalmente apagar arquivos essenciais para o funcionamento do sistema operacional ou de algum software instalado em seu computador. Ou ainda, poderia instalar inadvertidamente um software malicioso que, como usuário Administrator (ou root), teria todos os privilégios que necessitasse, podendo fazer qualquer coisa.

Fonte: http://cartilha.cert.br/conceitos/sec2.html#sec2

Aprenda a criar e decorar senhas seguras sem 'gastar' o cérebro

Usar palavras simples e dados públicos é falha comum, explica colunista.Regras facilitam a memorização de chaves complexas, à prova de hackers.





Sites da web, bancos, universidades e tantos outros serviços que utilizamos solicitam algum tipo de senha para garantir que somente pessoas autorizadas realizem certas operações. No entanto, o descaso para com a criação, uso e compartilhamento das senhas ainda é grande.





Criando senhas seguras .





As senhas que usamos precisam ser diferentes. Por exemplo, “a%op35aV$” seria, normalmente, uma senha segura. Porém, se todos resolvessem utilizá-la, ela não mais o seria, porque um invasor saberia que, ao tentar usá-la, conseguiria acesso. Senhas como “abcde” e “123456” são consideradas inseguras não apenas porque são sequências comuns, mas porque muitos decidiram usá-las como senhas.




Em 2005, um estudo levantou as 500 senhas mais comuns. Entre elas pode-se encontrar conjuntos aparentemente sem sentido como “ncc1701”, mas que na verdade são alguma referência à cultura popular (nesse caso, uma nave espacial da série Jornada nas estrelas). Não é algo tão conhecido como “abcde” ou “aeiou”, mas um número suficiente de pessoas acabou usando-a como senha, o que a tornou insegura.


Datas de aniversário e nomes de coisa ligadas à você também são inseguras. Um invasor pode facilmente buscar dados em redes sociais, ou questionar conhecidos (também localizáveis com redes sociais) para conseguir esse tipo de informação. Novamente, o uso de datas como senha é tão comum que as tornou inseguras. E elas são, para a pessoa que as utiliza, um conjunto de fácil memorização.

Uma dica para criar senhas seguras é criar novas sequências de fácil memorização. Você pode, por exemplo, memorizar apenas “$rV” e “d&a” e usar uma senha como “amigo” e juntá-la com esses conjuntos. “$rvamigod&a”. Você ainda pode memorizar que, em todas as palavras que você utilizar, irá substituir o “i” por “1” e o “a” por 4, ficando “$rv4m1god&a”. Uma senha fácil na qual você não memoriza os caracteres individualmente, mas uma palavra (“amigo”) e as “regras”.

Você pode, então, aplicar as mesmas regras a todas as suas senhas -- usando palavras diferentes, claro, porque usar a mesma senha em vários locais importantes não é uma boa ideia. Uma pessoa que obtém uma única senha sua não poderá descobrir quais foram as regras que você usou para gerá-la, mas se você usou a mesma senha, ele nem vai precisar adivinhar.

Em vez de usar palavras, você também pode usar as letras iniciais das palavras de uma frase. Por exemplo, “O aniversário da minha mãe é em maio” - “oadmmeem”, e depois aplicar as mesmas dicas acima.

Aliás, se o serviço permitir uma senha mais longa, de 30 ou mais caracteres, é possível também utiliza a frase em si como senha. Evite, claro, citações comuns. O simples uso de uma senha longa dificulta a realização de ataques conhecidos como força bruta, porque o invasor não sabe qual é o tamanho da senha, sendo obrigado a tentar as milhares de combinações até chegar nos 50 ou 60 caracteres que sua frase possui. Além disso, frases possuem números, caracteres especiais como acentos e pontuação.

Nas senhas curtas que possuem apenas números, como é o caso geralmente em bancos, evite utilizar datas familiares a você, trechos de RG e CPF, entre outros. Pense em números aleatórios -- repetir um ou outro não é problema -- e siga a dica abaixo.

Anotando as senhas

Há quem diga que as senhas não devem ser anotadas. Na verdade, o pior, mesmo, é esquecer uma senha. Não raramente, as funções de troca ou recuperação de senha costumam ser o calcanhar de Aquiles da segurança. O e-mail de Sarah Palin, candidata derrotada à vice-presidência dos Estados Unidos, foi invadido pelo recurso de recuperação de senha do Yahoo. Sendo Palin uma personalidade conhecida, a resposta para a “pergunta secreta” configurada por ela foi encontrada facilmente na internet.

Para não esquecer as senhas, muitos acabam anotando-as em locais impróprios e públicos, como em papeis colados no monitor ou no teclado. É por isso que “anotar as senhas” ganhou uma fama ruim. Não é problema, no entanto, anotá-las em um papel que será guardado com segurança.

Em 2005, Jesper Johansson, que na ocasião falou como especialista em segurança da Microsoft, pediu que as empresas não proibissem seus empregados de anotar as senhas. Bruce Schneier, outro especialista no assunto, explica que não é mais possível lembrar-se de todas as senhas, pois elas são muitas e precisam ser complicadas o suficiente para não serem adivinhadas.

Por isso, anote suas senhas em uma folha de papel e guarde-a bem. Schneier recomenda colocá-la em sua carteira, mas qualquer local protegido e longe do alcance de estranhos é suficiente

Mesmo fazendo uso das dicas presentes na primeira parte da coluna, você ainda pode esquecer suas senhas. Preocupe-se mais em gerar uma senha forte e difícil de adivinhar do que em memorizá-la. Depois, anote em um papel, e não dependa do recurso de recuperação de senha. Com isso, você terá uma senha forte, difícil de ser adivinhada mesmo por conhecidos, e não terá de se preocupar com lembrá-la.

Fonte: www.globo.com