PplWare Mobile

Segurança informática – A sua password é forte? Parte I


Pedro Pinto é Administrador do site. É licenciado em Engenharia Informática pelo Instituto Politécnico da Guarda (IPG) e obteve o grau de Mestre em Computação Móvel pela mesma Instituição. É administrador de sistemas no Centro de Informática do IPG, docente na área da tecnologia e responsável pela Academia Cisco do IPG.

Destaques PPLWARE

  1. LM says:

    KeepassX

    Cumps,

  2. Redhawk says:

    Tudo isto é relativo, mas é óbvio que podemos e devemos ter uma password que nada tenha a ver connosco, que não seja legível, isto é, tenha letras, de preferência maiúsculas e minúsculas, números e caracteres especiais.

  3. avlis rotiv says:

    Fantástico PiuPiu… 😛
    Sem duvida alguma, um post de refência! 😉
    E quanto “a mim”, as minhas passwords são completamente seguras, ou assim creio, como por exemplo esta: “:@qF8n*t_0z827Zp*p” que é a que utilizo no Fórum, “YT6*w+g)78w1z”<w6z" no Facebook… E é assim… (or not) 😆
    Agora decorar….. :mrgreen:

    Abraço.

  4. André says:

    Havia uma dica bastante interessante para criar passwords que consistia numa frase, por exemplo:

    Nasci em Lisboa no dia 14 de Agosto de 2010

    A partir daqui podemos ter

    NeLnd14dAd2010

    que é uma password razoavelmente forte. Podemos ainda personalizá-la e melhorar ainda mais a segurança, aumentando o leque de caracteres usados (por exemplo, aquelas substituições todas l33ts).

    Eu, no entanto, faço gestão automática das minhas passwords com o Keepass. Obviamente que sei algumas de cor para fins de recuperação (era o caos se perdesse o ficheiro de passwords)

    Mas tendo esse programa torna-se muito fácil usar diferentes passwords para todos os serviços que uso (outra medida importante, manter passwords diferentes para serviços diferentes, porque como foi dito, nem todos os websites são fidedignos).

    Cumps.

    • Jose Simoes says:

      “Nasci em Lisboa no dia 14 de Agosto de 2010”

      ou será

      “Nasci em Portugal no dia 14 de Agosto de 2010”

      “Nasci em Lisboa no dia 14 de Agosto de 2010”

      “Nasci no dia 14 de Agosto de 2010, em Lisboa”

      “Nasci em Lisboa a 14 de Agosto de 2010”

      Será que te vais lembrar???

      José Simões

      • André says:

        Não conheço nenhuma técnica acessível que não exija memorizar qualquer coisa: uma palavra-passe também tem de ser memorizada (esse é um dos pontos fracos das passwords, terem de ser memorizadas).

        Agora, entre as duas formas, é mais fácil decorar um conjunto de caracteres sem qualquer ordem ou lógica associada, ou ter uma frase bem conhecida (não tem necessariamente de ser sobre datas de nascimento) da qual extraímos os caracteres que precisamos para construir uma password?

        Não é uma solução perfeita, mas sempre pode ajudar a construir uma password mais robusta.

    • Nit Not says:

      Eu uso a tecnica de frases, e tenho senhas extremamente fortes. Uso abreviações como trocar “em” por @, ou adoro/amo/gosto por s2, ou infinito/eterno por 8, e uso senhas diferentes, dependendo do contexto as frases são diferentes. Me dá segurança o suficiente contra bruteforces e o caso de alguem acessar minhas senhas num banco de dados sem encriptação por hash. Malware estou livre pois só uso Linux.

      André, ótima dica.

    • Paulecas says:

      @André

      Isso é uma óptima ideia! Nunca me tinha ocorrido essa técnica, que cria senhas muito fortes.

      Não nos podemos é confundir com a frase que usámos. xD

  5. Boas,
    deixo aqui um muito interessante, que estima quanto tempo seria necessário para um computador quebrar a sua password

    http://howsecureismypassword.net/

    • Nelson N says:

      Nada mau!
      pcbonitinho
      demora 11 anos!! não acredito

      • Boas,
        Acredita, sem fazer uso de uma wordlist e sem uma utilização exagerada de recursos é bem capaz, dado a combinação e quantidade de caracteres usados. Obviamente que quem vai quebrar uma password usa diversos métodos, escolhendo assim os mais rápidos para as diferentes etapas.

        Se percebes um pouco de programação, vai ver o código fonte do programa.
        Ajuda a entender como é que ele determina o tempo.
        Ainda há à acrescentar o facto da wordlist que o programa têm de 500 palavras é totalmente inglesa. pcbonitinho deveria estar na mesma.

  6. Hawk says:

    Eu decorei apenas uma password, que é a utilizada para abrir o KeePass e dentro dele tenho as senhas, para todos os tipos de serviços, desde fóruns, passando por sites dos mais diversos até contas de banco e cartões de crédito.

    • R says:

      WTF!!!
      Contas de banco…?!!?!!
      Confias passwords de contas de banco assim?!!!
      Ok. Cada um é que sabe, mas contas de banco é mesmo de cabeça. No papers. No technologies.

      O resto vai variando e prefiro ter um método mnemónico que me permita “descodificar” a minha própria password do que confiá-la a papeis ou programas.

      Embora use o keepass, mas pouco lhe toco. Foi mais por curiosidade.

      E não é tão difícil como isso arranjar um método. É um bocadinho difícil ao início, mas depois é fácil e dá para ter passwords do género de #fr%63rnlzp4)o#$ni4# sem ser preciso decorar. Apenas usar o método.

    • R says:

      Além disso, acho que não precisamos dos mesmos níveis de segurança para todos os serviços.
      Por exemplo, num fórum, o máximo que pode acontecer é alguém querer apoderar-se de nossa identidade para fazer o quê…? Insultar outras pessoas no nosso nome? Será que acontece tantas vezes asssim?

      No e-mail, tenho um pessoal (e nesse faço questão de estar seguro) e outro para “lixo” (será que preciso da mesma força neste?)

      Contas de banco e códigos de cartões é mesmo na cabeça, e aqui é nível máximo de segurança (tanto quanto possível).

      Login de jogos online e coisas desse género… vale a pena muita coisa…? Acho que não.

      Por isso, se puder poupar a minha cabeça, poupo. 😀

      • Hawk says:

        Você não me entendeu.

        Eu sou hiper esquecido, já tentei inventar senhas que eu facilmente poderia lembrar – misturando todo o tipo de caracter – mas mesmo assim eu não consegui decorar.

        Por isso tenho que guardar tudo no KeePass.

        • Boas,
          Ainda assim acho errado, mais vale ter um papel com elas apontadas. sempre precisa do acesso físico para consegui-las.
          Ao passo que num programa, um bug, uma falha do antivírus é suficiente.

          São coisas que as pessoas fazem sem pensar.

          É quase o mesmo que por a palavra secreta do cartão multibanco na carteira perto do próprio cartão.

          Se é esquecido, arranja métodos que protejam onde você armazena as passes.

    • Paulecas says:

      @Hawk

      Também concordo com o R que as senhas bancárias devem ser de cabeça.

      Eu utilizo o LastPass e só não tenho lá a senha do meu e-mail e, claro, de tudo o que esteja relacionado com contas bancárias, carteiras virtuais (moneybookers, paypal, etc) ou sites onde tenho créditos monetários (sites de apostas, sites de jogo a dinheiro, etc).

  7. Manuel Silva says:

    Alguns “recursos” a propósito do tema:

    http://www.skullsecurity.org/wiki/index.php/Passwords

    http://www.outpost9.com/files/WordLists.html

    Salvo erro, a Oracle tinha umas listas de senhas inseguras… mas não dou com o link… 🙁

  8. Jose Simoes says:

    “manuelalegre2012”

    e “cavacosilva2012”

    são password fortes?

  9. Ana Narciso says:

    Isto faz-me lembrar a matéria de Segurança em Sistemas Distribuídos, eheh.

    Vulnerabilidade – É como se fosse um buraquinho no software, um bug, que se pode aproveitar e utilizar para correr código malicioso.

    Ataque / Ameaça / Defesa – Uma ameaça de segurança pode-se concretizar num ataque, e o atacado pode possuir uma determinada defesa que impeça o aproveitamento do atacante.

    Confidencialidade – Se eu quiser comunicar com uma determinada pessoa e apenas com essa pessoa, o meu canal de comunicação deverá ser confidencial e permitir que apenas essa pessoa leia a minha mensagem.

    Não-repúdio – A condição de “não-repúdio” garante que alguém que participe numa acção, não o possa negar. Por exemplo, se eu enviar uma mensagem, nunca conseguirei mentir e dizer “não fui eu!”.

    Bem, acho que nem ficou mal 😛

  10. Jose Simoes says:

    Vulnerabilidade
    Qualquer característica, do software ou hardware que permite ou pode permitir a um estranho obter direitos de utilização num intervalo de tempo, em média, inferior ao estimado por quem desenhou o sistema.

    Ataque
    Exploração ou tentativa de exploração (uso) de uma vulnerabilidade

    Ameaça
    Existência de uma vulnerabilidade

    Defesa
    Medida que dificulte a exploração de uma vulnerabilidade (conhecida ou não)

    Confidencialidade
    Poder de divulgar uma informação apenas a pessoas escolhidas (que podem ser 0)

    Não – repúdio
    Sistema digital que permite atribuir uma dada informação a uma dada pessoa (ou conjunto de pessoas) sem que ela possa tal negar sem entrar em contradição com a realidade ou com algum princípio matemático aceite como verdadeiro (mas que pode nunca ter sido demonstrado, ora bolas).

  11. Paulecas says:

    Uma coisa que eu considero bastante importante em relação às nossas senhas é alterá-las regularmente. Acho que isso é muito importante para manter as nossas contas invioladas.

    Após ler as definições dadas pela Ana Narciso e pelo Jose Simoes fiquei bastante curioso de saber como é que se pode aplicar o princípio do não repúdio, isto é, qual é o mecanismo utilizado e como funciona? (Sei que a resposta poderá ser um pouco complexa, mas se alguém conseguir explicar por alto, agradeço)

    • Jose Simoes says:

      Eu i passwords não mudo as minhas passwords frequentemente. Tenho tantas e dava muito trabalho, era quase certo que fazia um ou outro erro, que dava mais trabalho a corrigir.

      Pelo contrário, uso passwords com tipicamente 30 caracteres aleatórios que incluem maiúsculas e minúsculas números e todo o tipo de caracteres.

      Claro que não as sei de cor. Tenho uma espécie de base de dados que está encriptada com password que demorou um ano a decorar e que uso todos os dias para não esquecer.

      Explicar como se faz o princípio do não repúdio, bem isso tenho de pensar como vou explicar em poucas (relativamente) palavras.

  12. Boas, para todos que estão com questões sobre o não repudio deixo-vos aqui uma página que explica tudo direitinho .

    http://www.cursoaprovacao.com.br/cms/artigo.php?cod=34254516

    Depois digam-me se a informação foi útil.

    CUMPS

Deixe uma resposta

O seu endereço de email não será publicado.

You may use these HTML tags and attributes: <a href="" title="" rel=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

Aviso: Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.