Pesquisa de site

Como criar uma senha segura em 2023: a lista de verificação de segurança de senha

Você pode ter lido sobre as contas de mídia social do fundador e usuário do Facebook, Mark Zuckerberg, sendo "hackeadas". " Hackeado talvez não seja a palavra certa aqui, já que muitas pessoas acreditam que a senha de Zuck estava entre os 117 milhões de senhas vazadas do LinkedIn postadas recentemente online. Se isso for verdade, significa que Zuckerberg usou a mesma senha para vários sites, permitindo que o dano causado pelo hack do LinkedIn se espalhasse para outras áreas.

Se você tem ou quer um emprego, é provável que também tenha uma conta no LinkedIn e, se tivesse uma em 2012, provavelmente foi uma das contas comprometidas por esse incidente. Você ainda usa essa senha em algum lugar? Nossa lista de verificação de segurança de senha em 9 etapas ajudará você a proteger suas contas, seja você um CEO bilionário ou apenas alguém que gosta de postar vídeos engraçados de gatos.

1. Nunca compartilhe sua senha

Ninguém, exceto você, deve saber sua senha. Nunca envie sua senha por e-mail, armazene-a em um documento ou anote-a em papel. Idealmente, sua senha deve estar apenas em sua cabeça e em um hash no sistema em que você está fazendo login. Aqui está uma lista de algumas das pessoas a quem você nunca deve fornecer sua senha:

  • Suporte técnico
  • Tiras
  • Seu amigo que é realmente muito legal
  • Um juiz
  • Mamãe
  • Alguém pedindo por e-mail
  • Seu chefe
  • Famoso hacker Kevin Mitnick
  • Literalmente qualquer um

Sua senha é o que o torna responsável pelas ações realizadas em sua conta. A engenharia social de uma senha de alguém costuma ser muito mais fácil do que "hackear" sua conta. A maioria dos esquemas de *ishing engana você para que você forneça sua senha de uma forma ou de outra. Por que se dar ao trabalho de explodir o cofre se você pode fazer com que o gerente do banco o abra para você?

2. Crie uma senha forte

Não é qualquer senha que serve, e o motivo está relacionado a como as senhas são quebradas. Se uma pessoa estivesse tentando adivinhar sua senha, ela poderia tentar cerca de dez senhas por minuto, se forem rápidas. Um computador pode adivinhar muito, muito mais rápido. Então, quantas permutações são necessárias para obter sua senha? Aqui estão três fatores principais:

  • Comprimento. Cada personagem aumenta a complexidade exponencialmente. É por isso que as senhas normalmente têm um requisito mínimo de 8 caracteres.
  • Conjuntos de caracteres. Cada conjunto de caracteres tem um certo número de permutações. Existem 26 letras minúsculas, mas apenas 10 dígitos (0-9), então você pode ver como "batata " é mais seguro do que "536871 " da perspectiva de uma máquina rodando por diferentes combinações de caracteres.
  • Palavras comuns. A força bruta não é o único método para quebrar uma senha. Um computador pode executar um "ataque de dicionário" contra uma senha muito rapidamente, testando todas as palavras reais, das quais existem relativamente poucas, em comparação com o grande número de permutações de caracteres possíveis. De repente, "batata" não é uma senha tão boa, afinal. Leia nosso post sobre ataques de força bruta para obter mais informações.

Sua senha deve ser uma combinação de pelo menos letras maiúsculas e minúsculas e um número (62 caracteres únicos e reutilizáveis, com 8 caracteres na senha significam 62 elevado à 8ª potência, ou 2,1834011e+14 combinações possíveis...) Inclua um caractere especial para aumentar a complexidade, mas certifique-se de que esse caractere seja compatível com o mecanismo que você está usando, pois alguns não são.

Finalmente, você pode encontrar qualquer número de geradores de senhas online, que podem gerar senhas extremamente complexas. Mas você tem que se lembrar disso. E quando você chega à etapa 5, ter senhas separadas para cada conta pode ser pedir demais com senhas de 18 caracteres geradas aleatoriamente.

3. Defina um lembrete para alterar sua senha

Alguns serviços exigem alterações regulares de senha, enquanto outros não. Caso contrário, é sempre um bom plano alterar sua senha regularmente de qualquer maneira. Esta etapa é sobre a redução da janela de dano. Voltando a Zuck, se sua senha foi obtida em 2012, ela não tem nada a ver com ainda estar em uso em 2016.

Um simples lembrete a cada seis meses ou mesmo um ano teria evitado que essa antiga violação de dados comprometesse qualquer coisa. Quanto mais você alterar sua senha, menor será a janela de uma senha comprometida. É por isso que os sistemas de alta segurança usam números gerados aleatoriamente que mudam a cada poucos minutos como parte de seu modelo de autenticação. Alterar sua senha regularmente pode parecer irritante, mas não é nada comparado a lidar com uma conta comprometida, roubo de identidade ou fraude de cartão de crédito.

4. Não reutilize senhas

Alternar entre senhas não tem o mesmo efeito que alterá-las para algo novo a cada vez. Uma vez que uma senha é comprometida, ela pode ser explorada a qualquer momento, mesmo anos depois, como Zuckerberg descobriu. A reutilização de uma senha reabre a janela de vulnerabilidade para essa senha. As versões 14 e superiores do Apple iOS têm um recurso de segurança que identifica se você está reutilizando senhas entre contas e solicita que você as altere.

5. Site diferente, senha diferente

Este é o que Zuck realmente acertou. Limitar o escopo de sua senha impede que uma senha comprometida explore várias áreas. Mesmo adicionar uma seção em algum lugar da sua senha como "fb" para o Facebook (por exemplo: BuFFDuD3fb) evitará a maioria dos comprometimentos entre sites, porque uma vez que o invasor perceba que a mesma senha não quebrará o site, ele terá que começar a adivinhar manualmente as diferenças, sem saber se é uma senha totalmente diferente.

O efeito total da violação de dados do LinkedIn provavelmente ainda não foi visto. À medida que os combos de e-mail/senha são tentados em outros sites, os usuários que dependiam de uma única senha estática serão comprometidos. Esse efeito cascata para outros sistemas segue grandes violações todas as vezes.

6. Proteja suas opções de redefinição

Esta etapa protege você contra pessoas, em vez de computadores, que tentam invadir sua conta. Seja cuidadoso com a forma como sua senha pode ser redefinida. As perguntas e respostas de segurança não devem ser informações disponíveis publicamente, facilmente pesquisáveis ou amplamente conhecidas por pessoas que o conhecem.

As contas de muitas pessoas são hackeadas por pessoas que conhecem na vida real. Se você tiver uma conta de e-mail para a qual uma solicitação de redefinição de senha será enviada, certifique-se de ter acesso exclusivo a essa conta e de que ela também tenha uma senha forte.

7. Use um gerenciador de senhas

Você pode usar um gerenciador de senhas para armazenar suas senhas para você. Todos os principais navegadores possuem sistemas de armazenamento de senhas, enquanto opções de nuvem como o LastPass funcionam em qualquer computador com acesso à Internet. Existem prós e contras neste método:

Considere que o LastPass sofreu uma violação de dados em 2015, onde informações confidenciais foram adquiridas por hackers. A senha mestra criptografada não foi comprometida, mas muitas outras informações importantes foram. O importante a lembrar é que os gerenciadores de senhas não são mágicos - você está simplesmente terceirizando a proteção de suas senhas para outra pessoa.

8. Use autenticação de dois fatores

A única conta de Zuckerberg que não foi violada foi seu Instagram, e isso porque "os sistemas de segurança do Instagram impediram que essa conta fosse acessada. " Isso pode se referir a algumas coisas, mas provavelmente significa a autenticação de dois fatores (2FA) que o Instagram configurou em fevereiro deste ano.

Provavelmente um dos mecanismos mais importantes disponíveis, o 2FA, como o próprio nome indica, evita que o comprometimento de um único fator de autenticação (a senha) comprometa a conta. O mecanismo normalmente funciona solicitando as informações de login tradicionais e, em seguida, enviando uma confirmação para um dispositivo, geralmente um smartphone, como uma mensagem de texto, chamada telefônica ou tela de verificação de segurança no aplicativo. Idealmente, apenas a pessoa autorizada teria o smartphone e poderia aceitar ou rejeitar as solicitações de autenticação conforme necessário.

Mecanismos mais avançados podem exigir bioautenticação, como um toque de impressão digital, que impede que telefones perdidos ou roubados sejam usados para emitir confirmações falsas. A maioria dos aplicativos em nuvem oferece 2FA agora, com muitos aplicativos tradicionais seguindo o exemplo. Vale a pena dedicar alguns segundos extras toda vez que você fizer login para saber que, mesmo que sua senha seja hackeada, ninguém poderá acessar suas contas.

Saiba mais sobre a autenticação de dois fatores (2FA) >

9. Não deixe as janelas abertas

Há uma piada clássica de desenho animado em que um dos personagens luta por um longo tempo para arrombar uma fechadura em uma porta enquanto o outro personagem apenas entra por uma janela aberta. Não deixe que esse seja o caso com seus dados. Considere se há outras contas com acesso às mesmas informações que você está protegendo. Eles são tão seguros quanto os seus? E as integrações? Você experimentou aquele aplicativo hilário de troca de rosto que solicitava acesso ao seu Twitter, Facebook e fotos? Ele ainda tem acesso à sua conta?

A maioria dos serviços em nuvem permite rastrear quais integrações de terceiros têm acesso e remover o que for desnecessário. Se você estiver usando um computador público, certifique-se de fechar todo o processo do navegador quando terminar. Não fazer isso pode deixar seus cookies de sessão disponíveis para a próxima pessoa, que nem precisaria fazer login para acessar suas informações.

O gerenciamento de identidade digital está naquele lugar estranho entre novo o suficiente para que muitas pessoas não se preocupem com ele e estabelecido o suficiente para que ataques sofisticados procurem explorá-lo. Um nome de usuário e senha podem parecer apenas alguns dados que você joga na nuvem sempre que quiser, mas as consequências do comprometimento são muito reais e podem ser legais, financeiras e pessoais.

Ou podem ser engraçados, como quando a conta oficial da NFL no Twitter foi hackeada para fazer alegações muito exageradas sobre a morte de Roger Goodell. De acordo com os hackers, eles "obtiveram a senha do Twitter da NFL hackeando a conta de e-mail de um funcionário que lida com mídias sociais." Cuide da sua senha como faria com sua carteira de motorista ou cartão de débito. Seguir as etapas descritas aqui ajudará a protegê-lo contra os tipos mais comuns de hacks de conta, mas a segurança é um hábito e mantê-la em mente ao usar a Internet sempre valerá a pena.

>

Confira as outras listas de verificação de segurança do UpGuard:

  • Servidor
  • Local na rede Internet
  • Email
  • SQL

Artigos relacionados