Proponha uma correção, faça uma sugestão
Segurança informática – A sua password é forte? Parte I
A blogosfera reserva-nos milhares de serviços para os quais normalmente necessitamos de credencias de entrada (utilizador/password). A Segurança Informática é um requisito fundamental para o suporte da tecnologia Internet, sendo que os seus limites são os limites da Internet.
A segurança é baseada em pessoas, e as pessoas cometem às vezes cometem erros logo “ A Segurança Perfeita é um Mito!”
Segundo se diz na gíria “O computador mais seguro do mundo teria de estar num cofre, desligado, no fundo do oceano... Guardado por tubarões, exércitos e porta-aviões... E mesmo assim seria possível convencer alguém que o estivesse a guardar para o ir ligar....
Hoje vamos abordar a questão da password e questionamos: A sua password é segura?
Independentemente das questões que surgem quando se fala a nível de segurança informática, os utilizadores devem começar por ser responsáveis pela sua própria informação. Quero com isto dizer, que actualmente (com a evolução dos ataques como por exemplo, ataques baseados em dicionários, brute force) os utilizadores devem começar deste logo, pelo mínimo pormenor, a definirem níveis de segurança.
Hoje vamos fornecer algumas dicas e serviços para determinar se a sua password é forte.
Como saber se uma password é segura? Como determinar se é segura?
Bem, Não existe nenhum “guideline” que nos ensine a criar password, no entanto todos nós sabemos que uma password complexa e com alguns caracteres, normalmente é mais forte que uma password simples, com poucos caracteres, baseada nos nomes dos filhos, cão, gato, data de nascimento, etc.
Por outro lado, há utilizadores que criam passwords complexas mas que depois as expõem em locais de fácil acesso (ex. post it debaixo do teclado). Na minha opinião, uma password deve ser decorada pelo utilizador, constituída por alguns caracteres (mínimo 8, entre letras, números e caracteres especiais), não devem ser nomes próprios, datas, etc. É também importante determinar na hora de inserir a nossa password, se o site, serviço, aplicação…é seguro.
Este é um assunto que dava pano para mangas, mas certamente que os vossos comentários nos ajudarão a expor determinadas situações.
Voltando à questão inicial: A sua password é segura?
Recentemente a Microsoft lançou um serviço que permite aos utilizadores testar o quanto forte é a sua password e que fornece algumas dicas para ter em conta aquando do momento da criação da mesma.
Como é óbvio, o serviço não garante que uma password seja segura, no entanto ajuda o utilizador a perceber se tem uma password forte. Em próximos artigos prometemos abordar mais alguns assuntos relacionados com a segurança dos utilizadores e serviços.
Como “trabalho de casa”, questionamos os nossos utilizadores o que entendem por:
- Vulnerabilidade
- Ataque / Ameaça / Defesa
- Confidencialidade
- Não – repúdio
Homepage: Check your password — is it strong?
Este artigo tem mais de um ano
Loading ...
KeepassX
Cumps,
Este é capaz de ser melhor: http://www.passwordmeter.com/
Boas,
Pois, esse já fazia parte da Parte II :). Anyway, é um excelente serviço.
Boas,
Sempre podes tentar também,
http://howsecureismypassword.net/
Esse não vale nada!!
Tudo isto é relativo, mas é óbvio que podemos e devemos ter uma password que nada tenha a ver connosco, que não seja legível, isto é, tenha letras, de preferência maiúsculas e minúsculas, números e caracteres especiais.
Fantástico PiuPiu… 😛
Sem duvida alguma, um post de refência! 😉
E quanto “a mim”, as minhas passwords são completamente seguras, ou assim creio, como por exemplo esta: “:@qF8n*t_0z827Zp*p” que é a que utilizo no Fórum, “YT6*w+g)78w1z”<w6z" no Facebook… E é assim… (or not) 😆
Agora decorar…..
Abraço.
Esqueci-me referir Pedro; “Tópicos relacionados”:
1Password 2.9.31 ( https://pplware.sapo.pt/apple/1password-2-9-31/ ), que é um exemplo de um excelente gestor de passwords. E espero que a parte dois tenha também alguns serviços/software, dicas, para tal… 🙂
Havia uma dica bastante interessante para criar passwords que consistia numa frase, por exemplo:
Nasci em Lisboa no dia 14 de Agosto de 2010
A partir daqui podemos ter
NeLnd14dAd2010
que é uma password razoavelmente forte. Podemos ainda personalizá-la e melhorar ainda mais a segurança, aumentando o leque de caracteres usados (por exemplo, aquelas substituições todas l33ts).
Eu, no entanto, faço gestão automática das minhas passwords com o Keepass. Obviamente que sei algumas de cor para fins de recuperação (era o caos se perdesse o ficheiro de passwords)
Mas tendo esse programa torna-se muito fácil usar diferentes passwords para todos os serviços que uso (outra medida importante, manter passwords diferentes para serviços diferentes, porque como foi dito, nem todos os websites são fidedignos).
Cumps.
“Nasci em Lisboa no dia 14 de Agosto de 2010”
ou será
“Nasci em Portugal no dia 14 de Agosto de 2010”
“Nasci em Lisboa no dia 14 de Agosto de 2010”
“Nasci no dia 14 de Agosto de 2010, em Lisboa”
“Nasci em Lisboa a 14 de Agosto de 2010”
Será que te vais lembrar???
José Simões
Não conheço nenhuma técnica acessível que não exija memorizar qualquer coisa: uma palavra-passe também tem de ser memorizada (esse é um dos pontos fracos das passwords, terem de ser memorizadas).
Agora, entre as duas formas, é mais fácil decorar um conjunto de caracteres sem qualquer ordem ou lógica associada, ou ter uma frase bem conhecida (não tem necessariamente de ser sobre datas de nascimento) da qual extraímos os caracteres que precisamos para construir uma password?
Não é uma solução perfeita, mas sempre pode ajudar a construir uma password mais robusta.
Eu uso a tecnica de frases, e tenho senhas extremamente fortes. Uso abreviações como trocar “em” por @, ou adoro/amo/gosto por s2, ou infinito/eterno por 8, e uso senhas diferentes, dependendo do contexto as frases são diferentes. Me dá segurança o suficiente contra bruteforces e o caso de alguem acessar minhas senhas num banco de dados sem encriptação por hash. Malware estou livre pois só uso Linux.
André, ótima dica.
@André
Isso é uma óptima ideia! Nunca me tinha ocorrido essa técnica, que cria senhas muito fortes.
Não nos podemos é confundir com a frase que usámos. xD
Boas,
deixo aqui um muito interessante, que estima quanto tempo seria necessário para um computador quebrar a sua password
http://howsecureismypassword.net/
Nada mau!
pcbonitinho
demora 11 anos!! não acredito
Boas,
Acredita, sem fazer uso de uma wordlist e sem uma utilização exagerada de recursos é bem capaz, dado a combinação e quantidade de caracteres usados. Obviamente que quem vai quebrar uma password usa diversos métodos, escolhendo assim os mais rápidos para as diferentes etapas.
Se percebes um pouco de programação, vai ver o código fonte do programa.
Ajuda a entender como é que ele determina o tempo.
Ainda há à acrescentar o facto da wordlist que o programa têm de 500 palavras é totalmente inglesa. pcbonitinho deveria estar na mesma.
Eu decorei apenas uma password, que é a utilizada para abrir o KeePass e dentro dele tenho as senhas, para todos os tipos de serviços, desde fóruns, passando por sites dos mais diversos até contas de banco e cartões de crédito.
WTF!!!
Contas de banco…?!!?!!
Confias passwords de contas de banco assim?!!!
Ok. Cada um é que sabe, mas contas de banco é mesmo de cabeça. No papers. No technologies.
O resto vai variando e prefiro ter um método mnemónico que me permita “descodificar” a minha própria password do que confiá-la a papeis ou programas.
Embora use o keepass, mas pouco lhe toco. Foi mais por curiosidade.
E não é tão difícil como isso arranjar um método. É um bocadinho difícil ao início, mas depois é fácil e dá para ter passwords do género de #fr%63rnlzp4)o#$ni4# sem ser preciso decorar. Apenas usar o método.
Além disso, acho que não precisamos dos mesmos níveis de segurança para todos os serviços.
Por exemplo, num fórum, o máximo que pode acontecer é alguém querer apoderar-se de nossa identidade para fazer o quê…? Insultar outras pessoas no nosso nome? Será que acontece tantas vezes asssim?
No e-mail, tenho um pessoal (e nesse faço questão de estar seguro) e outro para “lixo” (será que preciso da mesma força neste?)
Contas de banco e códigos de cartões é mesmo na cabeça, e aqui é nível máximo de segurança (tanto quanto possível).
Login de jogos online e coisas desse género… vale a pena muita coisa…? Acho que não.
Por isso, se puder poupar a minha cabeça, poupo. 😀
Você não me entendeu.
Eu sou hiper esquecido, já tentei inventar senhas que eu facilmente poderia lembrar – misturando todo o tipo de caracter – mas mesmo assim eu não consegui decorar.
Por isso tenho que guardar tudo no KeePass.
Boas,
Ainda assim acho errado, mais vale ter um papel com elas apontadas. sempre precisa do acesso físico para consegui-las.
Ao passo que num programa, um bug, uma falha do antivírus é suficiente.
São coisas que as pessoas fazem sem pensar.
É quase o mesmo que por a palavra secreta do cartão multibanco na carteira perto do próprio cartão.
Se é esquecido, arranja métodos que protejam onde você armazena as passes.
Mas eu já arranjei, chama-se KeePass.
@Hawk
Também concordo com o R que as senhas bancárias devem ser de cabeça.
Eu utilizo o LastPass e só não tenho lá a senha do meu e-mail e, claro, de tudo o que esteja relacionado com contas bancárias, carteiras virtuais (moneybookers, paypal, etc) ou sites onde tenho créditos monetários (sites de apostas, sites de jogo a dinheiro, etc).
Alguns “recursos” a propósito do tema:
http://www.skullsecurity.org/wiki/index.php/Passwords
http://www.outpost9.com/files/WordLists.html
Salvo erro, a Oracle tinha umas listas de senhas inseguras… mas não dou com o link… 🙁
“manuelalegre2012”
e “cavacosilva2012”
são password fortes?
Em vez de inventarem passwords,
https://www.grc.com/passwords.htm
Não, pois usam palavras do dicionário português.
Isto faz-me lembrar a matéria de Segurança em Sistemas Distribuídos, eheh.
Vulnerabilidade – É como se fosse um buraquinho no software, um bug, que se pode aproveitar e utilizar para correr código malicioso.
Ataque / Ameaça / Defesa – Uma ameaça de segurança pode-se concretizar num ataque, e o atacado pode possuir uma determinada defesa que impeça o aproveitamento do atacante.
Confidencialidade – Se eu quiser comunicar com uma determinada pessoa e apenas com essa pessoa, o meu canal de comunicação deverá ser confidencial e permitir que apenas essa pessoa leia a minha mensagem.
Não-repúdio – A condição de “não-repúdio” garante que alguém que participe numa acção, não o possa negar. Por exemplo, se eu enviar uma mensagem, nunca conseguirei mentir e dizer “não fui eu!”.
Bem, acho que nem ficou mal 😛
Nota 20 🙂
Vulnerabilidade
Qualquer característica, do software ou hardware que permite ou pode permitir a um estranho obter direitos de utilização num intervalo de tempo, em média, inferior ao estimado por quem desenhou o sistema.
Ataque
Exploração ou tentativa de exploração (uso) de uma vulnerabilidade
Ameaça
Existência de uma vulnerabilidade
Defesa
Medida que dificulte a exploração de uma vulnerabilidade (conhecida ou não)
Confidencialidade
Poder de divulgar uma informação apenas a pessoas escolhidas (que podem ser 0)
Não – repúdio
Sistema digital que permite atribuir uma dada informação a uma dada pessoa (ou conjunto de pessoas) sem que ela possa tal negar sem entrar em contradição com a realidade ou com algum princípio matemático aceite como verdadeiro (mas que pode nunca ter sido demonstrado, ora bolas).
Uma coisa que eu considero bastante importante em relação às nossas senhas é alterá-las regularmente. Acho que isso é muito importante para manter as nossas contas invioladas.
Após ler as definições dadas pela Ana Narciso e pelo Jose Simoes fiquei bastante curioso de saber como é que se pode aplicar o princípio do não repúdio, isto é, qual é o mecanismo utilizado e como funciona? (Sei que a resposta poderá ser um pouco complexa, mas se alguém conseguir explicar por alto, agradeço)
Eu i passwords não mudo as minhas passwords frequentemente. Tenho tantas e dava muito trabalho, era quase certo que fazia um ou outro erro, que dava mais trabalho a corrigir.
Pelo contrário, uso passwords com tipicamente 30 caracteres aleatórios que incluem maiúsculas e minúsculas números e todo o tipo de caracteres.
Claro que não as sei de cor. Tenho uma espécie de base de dados que está encriptada com password que demorou um ano a decorar e que uso todos os dias para não esquecer.
Explicar como se faz o princípio do não repúdio, bem isso tenho de pensar como vou explicar em poucas (relativamente) palavras.
Boas, para todos que estão com questões sobre o não repudio deixo-vos aqui uma página que explica tudo direitinho .
http://www.cursoaprovacao.com.br/cms/artigo.php?cod=34254516
Depois digam-me se a informação foi útil.
CUMPS