Proponha uma correção, faça uma sugestão
A sua password já tem 12 caracteres? Se não tem, é melhor mudar…
Ter uma password forte, difícil de descobrir, significa que estamos mais seguros no mundo digital. Este "pequeno elemento" continua a dar acesso a muitos serviços e dados, por isso quanto mais complexa melhor.
As passwords devem ser mudadas com frequência e não devem ser guardadas (apenas na nossa memória). Atualmente, as recomendações indicam que os utilizadores devem ter passwords com 12 caracteres.
Segundo o NIST (National Institute of Standards and Technology), todas as passwords devem ter no mínimo 12 caracteres. Quando escolhemos uma password devemos evitar que seja uma palavra que conste de um dicionário.
Devemos evitar nome de animais, termos carinhosos, nomes de cores, nomes de comida e até palavrões, pois as passwords mais pirateadas têm esta base. Devem também ser evitados padrões do teclado, como por exemplo, qwerty, 1234qwer, entre outros.
Para a criação da vossa password, devem inclui pelo menos um número, carateres do alfabeto e também carateres especiais (ex. ~, !, $, %, ^ e *). De referir que nenhum caracter deve ser repetido mais do que quatro vezes. As passwords devem ser mudadas a cada 90 dias.
De salientar também que as passwords não devem ser reusadas.
Então como criar “boas” passwords?
Uma boa técnica é escolher uma frase e dessa frase criar uma password. Por exemplo, vamos considerar a frase “eu conheci a minha primeira namorada em 2012! Gira.”.
Para criar uma password com base na frase vamos usar o seguinte método: primeira letra de cada palavra, alternar irregularmente entre letra maiúscula e minúscula, usar apenas os últimos dois algarismos de números e manter caracteres especiais. Para este exemplo teríamos a password eCamPNem12!G
Por fim, apesar de não ser recomendado, podemos sempre usar gestores de passwords que nos ajudam a criar passwords complexas e a gerar passwords quando precisamos de fazer registos em sites online. Muitas dessas passwords nem as conhecemos, pois confiamos na ferramenta que faz a sua gestão. Uma dessas ferramentas é o BitWarden, que oferece um conjunto de funcionalidades interessantes e é gratuita.
Este artigo tem mais de um ano
Loading ...
bitwarden, com 19 caracteres.
Tantos caracteres nas passowords é completamente desnecessário para além de ser muito mais difícil decorar as centenas de passes que atualmente é preciso saber (para quem não utiliza gestores) a solução é simples e aumentaria em muito a segurança. Para isso, no login em vez de ter tentativas infinitas para dar oportunidade de fazer bruteforce na passe vastaria que apenas fosse possível fazer 5 tentativas por hora ao errar a password.
A questao da dimenção da password nao é para prevenir o bruteforce no protocolo ou pagina web.
É para quando existe um dump de uma base de dados, as passwords nao sejam instantaneamente adivinhadas.
Passwords longas com salt fazem com que mesmo que tenham acesso a uma base de dados de por exemplo a lista de users e hash dos users de uma rede social, nao conseguires retirar as passwords.
Eu, por acaso tenho passwords com 12 ou mais caracteres e símbolos especiais, são frases que memorizo na cabeça facilmente, e meto símbolos como cardinal, etc.
Mas isso faz as senhas mais seguras?
Depende do ponto de vista.
Um hacker experiente se entrar nas vulnerabilidades do browser Google chrome pode descobrir a senha quando alguma pessoa a escreve durante login, porque há keyloggers que “gravam” tudo o que escrevermos no teclado, mesmo que seja uma senha com 16 ou 20 caracteres, lol.
Também podemos usar “Autenticação de dois passos” e receber SMS com código, mas até isso um hacker pode interceptar.
Já me aconteceu ao fazer login no eBay e eu nunca recebia a porcaria da SMS, depois pedi para redefinir a senha, confirmar dados etc., e o email que o eBay me mostrava já constava um número de telemóvel que eu desconhecia. Os hackers substituem o nosso nº pelo número deles (descartável) e recebem o código SMS.
É verdade, do que vale pass com 12 ou mais caracteres se deixarem tudo o resto vulneravel que com keylogger apanha tudo.
Parecias eu a responder, até no nome 🙂
Qualquer dia são 200 carateres.
Se implementarem mecanismos de bloqueio temporário de conta, no caso de 3 ou 5 tentativas falhadas, dá mais resultado que passwords tipo comboio.
O problema é que o bloqueio temporário de conta só funciona quando o hacker está a tentar aceder à conta online. Se o hacker for mais evoluído/tiver mais meios, pode roubar a base de dados em si e depois pode tentar as vezes que quiser, provavelmente com um número desconfortavelmente elevado de CPU e/ou GPU ao seu serviço para esse efeito — neste contexto, o bloqueio temporário de conta não existe, e a password vale apenas pela sua qualidade.
Sites mais arcaicos e de cabeça lembro-me de vários institucionais, não permitem mais do que um total de 8 caracteres, e numa ótica mais abrangente em muitos casos há uma limitação sem sentido nos caracteres especiais.
Por outro lado, há cada vez mais plataformas que já começam a aconselhar desabilitar o login por password, e isso sim será o futuro.
A minha pass na amazon tem “30” carateres é o máximo.
o eBay tem “19” mas na realidade vejo canais no telegram que revelam pass de alguns sites, com carateres especiais só prova que não é seguro!
A Amazon bloqueia o acesso ao fim de algumas tentativas falhadas.
Para que é uma password de 30 caracteres?
Estás com medo de um ataque de força bruta, com base em dicionário? Os sites em condições não permitem isso.
Mas isso é porque do “outro lado” não há a devida segurança. Não vale de nada termos uma pw boa se os sites a que acedemos têm BD facilmente acessíveis…
esse requerimento é segundo o “NIST Center for Neutron Research”, que fogem um pouco das diretrizes principais do NIST.
Pois nas diretrizes do NIST encontramos:
“…Verifiers SHOULD NOT impose other composition rules (e.g., requiring mixtures of different
character types or prohibiting consecutively repeated characters) for memorized secrets.
Verifiers SHOULD NOT require memorized secrets to be changed arbitrarily (e.g., periodically).
However, verifiers SHALL force a change if there is evidence of compromise of the
authenticator.”
As boas regras dizem que devemos ter passwords fortes e diferentes para cada serviço. Ora com dezenas de serviços isso torna-se impossível sem um bom gestor de passwords.
O Artigo fala que é de todo desaconselhável, no entanto vejo sites especializados a vangloriá-las. Obviamente um ponto unico de ataque, mas isso é como um banco. Se for um serviço respeitavel , mesmo que pago não é preferível a termos senhas fracas?
Não é de todo impossível, basta teres uma fórmula.
Imagina que o pplware requer password, a tua password pode ser baseada no nome do serviço, algo tipo trocar as sílabas da palavra ficando rewappl, mas e se a segunda letra for constante usar ?.2
Se for vogal usar 1.!
Entao juntamente com a palha “a minha password” seria a1reminha.wa!passwordppl
Basicamente estarias a aplicar salt de uma forma semelhante ao que se faz com as hash.
Podes conter mais ou menos regras conforme estejas confortável em lembrares delas, e passado um tempo sabes sempre todas de cor, se num dump encontontrarem uma, dificilmente adivinham as outras porque efectivamente ninguém anda a analisar passwords de indivíduos individualmente para adivinhar passwords de outros serviços.
Gestores de passwords, e se for invadido esse serviço?
Recordo-me que há uns anos foi invadida a “nuvem” da Apple.
Também já invadiram a “nuvem” dos discos externos da Western Digital, por exemplo.
Creio que também podem invadir base de dados desses serviços de gestão de senhas.
+1!!
É a primeira vez que oiço dizer que não é recomendável utilizar gestor de passwords!! Eu até compreendo a ideia, mas é completamente impossível, nos dias de hoje, não os usar, tantas as passwords que temos que guardar. Eu uso o Keypass e, francamente não vejo ninguém pôr em causa o programa, antes pelo contrário!!
Em alguns comentário que vejo aqui parece que as pessoas estão mais interessadas em que os outros se preocupem com a sua segurança do que eles próprios o façam. Utilizar a mesma password mesmo para tudo mesmo que seja uma password forte é um risco que não faz sentido. Usar uma email para tudo é outro risco que não faz sentido. Existem N formas de termos passwords fortes sem necessidade de uma gerador de password, que sejam diferentes para cada plataforma e que sejam de fácil memorização. É apenas puxar um pouco pela imaginação.
Eu uso o bitwarden e tenho lá 140 passwords gravadas para diferentes sitios. Eu destesto ter de usar um gestor de passwords, se aquilo é hacked eu estou tramado, mas não estou a ver nenhuma alternativa, por muito que me esforce e por muita imaginação que tenha, não consigo decorar 40 quanto mais 140! O futuro terá de ser algum tipo de leitura biométrica em conjunto com um PIN ou password ou qualquer coisa do género…
voujámudaraminhapassword.
Usar frases com espaços, maiúsculas e números.