2015 prova mais uma vez que não sabemos usar senhas

spaceballs

Ah vá, você já esperava por isso. Todos os anos a SplashData, uma empresa de segurança nos lembra de quão incautos e despreocupados os usuários são com a segurança de dados, principalmente no que diz respeito a senhas. Tudo bem, sendo justos o usuário padrão não está sozinho nessa.

O fato é que não dedicamos cinco minutos de nosso tempo a pensar em chaves fortes e quando não apelamos para sequências de letras e números das quais dificilmente nos lembramos, acabamos utilizamos palavras simples ou sequências numéricas do tipo que só um idiota usaria. Problem is, continuamos fazendo isso.

Por causa disso mesmo a lista anual das piores senhas que a SplashData publica se tornou uma tradição incômoda, para dizer o mínimo. Os dados vêm dos inúmeros ataques hackers praticados durante o ano anterior, que comprometem bancos de dados e cujos dados são porventura divulgados. comparando com os resultados de 2013 e 2014 vemos que pouca coisa mudou, a senha “123456” é pelo terceiro ano consecutivo a campeã, seguida pela password… “password”, esta também estacionada na vice-liderança.

As mudanças vêm daí por diante, com “12345678” e “qwerty” tendo subido ambas uma posição, a senha da maleta caindo duas e uma série de adições, como “starwars” (esperado), “passw0rd” e “solo”.

list

É sempre bom lembrar: não é porque é fácil de lembrar da senha que ela será necessariamente segura, por outro lado utilizar uma série de caracteres estranhos e números também não é certeza de uma senha forte, e mesmo a dica do XKCD esbarra na realidade de que palavras e frases de dicionário aleatórias estão sujeitas a rotinas bem escritas que embora mais trabalhosas, não é algo tão impossível de se quebrar. Por isso que Google e Yahoo! trabalham para abolir as senhas de vez.

Ainda assim é sempre bom evitar uma senha que você pensou cinco segundos para criar, porque obviamente outros também pensarão da mesma forma.

Fonte: SplashData.

Relacionados: , , ,

Autor: Ronaldo Gogoni

Um cara normal até segunda ordem. Além do MeioBit dou meus pitacos eventuais como podcaster do #Scicast, no Portal Deviante.

Compartilhar
  • Islan Oliveira

    Eu geralmente uso frases em inglês, mas com erros gramaticais. É o mais equilibrado que eu consigo entre uma senha difícil e uma senha que eu lembre. E troco em média a cada 4 meses.

  • Kagarro

    Não tem com não odiar senhas!!!

    • Islan Oliveira

      É impossível. Espero alcançar o tempo que vamos usar biometria pra tudo, porque ô negócio chato ficar lembrando senha de conta de banco, Facebook, Google, Microsoft, Twitter, DisqUs etc.

      • Luiz

        Biometria é inseguro, como é que fica a coerção? o que acontece se tu precisar de mudar ? se bem que né, tem jeito de mudar a biometria…

      • Coronel Campbell

        Crio uma senha pra cada conta. Anoto tudo em um caderninho, se eu perder me fud#

        • Islan Oliveira

          Eu tenho anotado num app de nota com uma senha, aí só preciso lembrar dela.

          • DanielBastos

            Uso um esquema que acho interessante.
            Um prefixo que seja relativo ao lugar da senha
            + Senha base
            + Sufixo

            No caso, só decoro mesmo o sufixo.

  • Odilon Costa Neto

    O que? cade o “admin” “admin1234” nessa lista?

    • É lista de usuários, não de administradores … 😛
      E mesmo inclusos, o percentual seria mínimo de administradores nessa lista.

      • DanielBastos

        usuário: root
        senha: toor
        Essa eu já vi.

        • Caio Secco

          Senha padrao do Kali Linux …. com foco em teste de seguranca ! rsrs

    • Que tal o 123qwe ?

    • ButtHead

      antes eu usava para logar no comp 626d (era o golpe do shoryuken configurado no meu teclado)

    • HomeroGamer-BanidodoMB

      Nada bate o a1s2d3f4

    • DanielBastos

      Não zoa pq já vi a senha do root ser toor.

  • Raphael Ribeiro Silva™

    Não sei se me enquadro entre mais um (dos tantos) “idiots” ao redor do globs mas, contanto que eu não pratique nada “ilegal” e minha “segurança” bancária, seja de responsabilidade do sistema biométrico que “não falha” (ao menos até agora), prefiro continuar usando uma senha que não comprometa mais que meu e-mail e mantendo meus arquivos importantes, fora da “grande teia”!

    ______ sentido aranha sempre em alerta!

  • Caipiroto, o Capeta Caipira 😈

    Minha namorada usava uma parte do celular dela como senha uma época. Descobri a senha em três tentativas, e passou um tempo sem ela desconfiar.
    Quando descobriu ela ficou uma arara comigo e trocou a senha do Facebook dela pro nosso aniversário de namoro.
    Vai ver ela acreditou na piadinha de que a gente nunca lembra (muito embora eu tenha consultado o meu facebook pra descobrir a senha dessa vez).

    • tuneman

      uma vez minha irmã bloqueou o computador dela com senha e trocou o avatar do usuario por uma borboleta…, coloquei ‘borboleta’ como senha e entrou. hehehe

      • Bruno Ligiéro

        Nossss….

      • ochateador

        Essa foi dose…

        • tuneman

          Sim. Mas sem zoeira. Acho que até era um dos avatares padrão do win7.
          Irmã aborrecente é foda. Outra vez ela pegou e excluiu a instalação de alguns jogos. Aí foi demais, transformei a conta dela num nível limitado.

          • ochateador

            Apaga as fotos e músicas dela como vingança 😛

      • DanielBastos

        Chessus… essa foi d+. E eu reclamando de um amigo que colocou “naovoudizer” na senha da wifi dele.

        • zé garruchada

          minha namorada usava “duvidoquevcdescobre”

  • Henrik Chaves

    Sempre lembro de uma técnica bem legal para gerar senhas que sejam ao mesmo tempo fáceis de lembrar e difíceis de adivinhar:

    1 – Escolha uma frase de alguém, uma citação que você goste. Por exemplo: ” A imaginação é mais importante que o conhecimento”

    2 – Pegue a primeira letra de cada palavra. No caso: aiemiqoc

    3 – A segurança pode ser aumentada trocando algumas letras por números, inserindo números no meio, ou deixando algumas letras maiúsculas.

    Claro, não deixa de cair no que o Gogoni menciona no fim do texto, mas é certamente bem mais seguro que coisas que estejam no dicionário, e bastante fácil de lembrar (evitando que ela tenha que ser registrada em algum meio, seja no caderninho, seja um cofre de senhas – que, por sinal, se for violado expõe várias contas ao mesmo tempo).

    E quanto mais obscura a citação, mais difícil de estar em alguma rotina automática, se aproximando da segurança de uma senha gerada 100% aleatoriamente (que também não é perfeita…).

    • abraaocaldas

      Segundo o XKCD quando você troca letras por números ou caracteres especiais, em vez de diminuir, você aumenta a chance de descobrirem sua senha.

      • flavio

        tem link disso?

        me parece sem sentido….

        • Mateus Azevedo

          Tem link no artigo (não posto aqui porque sempre cai no limbo…).
          Mas não foi exatamente isso que a tirinha quis dizer 😉

          • Islan Oliveira

            Use a e a/ entre e seja feliz.

          • Mateus Azevedo

            Ainda assim não fica como link, só evita cair no limbo =/

            De qualquer forma, ta bem fácil achar no artigo, aí sabe como é… Quero evitar a fadiga.

          • Islan Oliveira

            Pô cara, mas aí é só dar ctrl c ctrl v… Eu particularmente não me incomodo.

          • Caipiroto, o Capeta Caipira 😈

            Meninas, não discutam:

            https://xkcd.com/936/

        • abraaocaldas
    • Mateus Azevedo

      Sinto lhe informar, mas esse método não é muito seguro não… Quer dizer, o fato de ser “randômico” não significa que é seguro. Nesse caso, tu só está fugindo das senhas simples de adivinhar (como as listadas no artigo). Mas uma força bruta nesse teu exemplo, descobre a senha em segundos, pois com apenas 8 caracteres, são “poucas” (para o hardware atual) as combinações possíveis.
      Claro, levando em conta apenas o exemplo que tu deu. Para esse método ser eficiente, a frase precisa ser bem grande, para gerar no mínimo 15 a 20 caracteres. Ai sim é vantagem, pois ainda facilita lembrar.

      • Claudio Roberto Cussuol

        Isso tudo parte do principio que o sistema aceita tentativas offline e por força bruta.

        Senha de cartões de banco são 4 numeros. “apenas” 10 mil combinações, que poderiam ser tentadas em um segundo…..

        …. se o sistema não te bloqueasse no terceiro erro.

        • Henrik Chaves

          E lembrando que a tirinha definitiva do XKCD sobre segurança é essa aqui:

          https://xkcd.com/538/

        • Urso Azul

          Não é sobre o sistema aceitar força bruta. O banco possui vários métodos de proteção, a senha de 4 dígitos é apenas um deles.

          A hipótese que se considera nesse caso é que a segurança do banco de dados foi comprometida e o invasor conseguiu fazer uma “cópia” local do banco de dados.

          Nesse caso ele vai ter(possivelmente) seu login, sua senha criptografada, acesso offline e tentativas ilimitadas.

      • Henrik Chaves

        Você está certo.

        Só quer está se referindo a um problema muito diferente do abordado pelo artigo, e em um contexto muito diferente do contexto da sugestão que dei.

        Se estamos entrando em métodos de força bruta, de fato, a única coisa que faz a diferença é o tamanho da senha (eu sei, eu sei… o algoritmo pode ser otimizado de forma a usar dicionários primeiro, e só depois tentar as combinações aleatórias, mas se estamos falando de poucos segundos, é uma otimização que nem vale a pena fazer).

        O artigo menciona senhas bobas, fáceis, previsíveis. E pode apostar: datas de aniversário só não estão ali por que são diferentes quase que para cada pessoa (na verdade acho que não precisa nem apostar. Diria que você é profissional da área, e está acostumado a ver esse tipo de insanidade).

        O método que sugeri (e que não inventei..) faz com que a sua senha não seja ÓBVIA.

        De novo, você não está errado, mas estamos falando em contextos muito, muito diferentes. É como falar que amarrar a bicicleta com uma corrente no paraciclo é pouco seguro, pois alguém com um alicate adequado corta a corrente facilmente (verdadeiro, mas fora de contexto…).

        No mais usar uma senha de 15 caracteres é “tranquilo” para acessar o servidor mega-boga onde ficam os arquivos sensíveis. Se você tiver uma dessas para o Gmail, outra para o Spotify, outra para o Facebook, outra para Twitter, outra para Instagram, outra cada serviço online que você usa, então é quase que impossível saber todas de cor. Se for trocar todas periodicamente, então, deve dar parta contar nos dedos a quantidade de pessoas no mundo capazes de fazer isso sem anotar (o que automaticamente derruba o nível de segurança). 😉

    • Urso Azul

      Sua senha seria quebrada em um ambiente em 2.2 segundos.

      Se tiver um conhecimento razável de inglês, sugiro que leia http ://blog .codinghorror .com /your-password-is-too-damn-short/

      É um texto simples e claro sobre a segurança de senhas. Ajuda bastante a entender como funciona.

      • Henrik Chaves

        Vale a mesma resposta que dei para o Mateus Azevedo ali embaixo. 😉

        [EDIT]: por um ato falho a primeira vez que escrevi o seu nome, no lugar do colega a quem respondi abaixo. Perdão.

  • Tiago Ferrari

    Eu costumo usar algo tipo “algum apelido”+”um caractere especial, geralmente @,# ou $”+”algum número como o ano atual ou algum outro que eu digite rápido”. Fica tipo ferrari#16 (essa eu nunca usei :P)

    • Urso Azul

      Apenas por perguntar, que ano você criou sua conta no Disqus?

      • Tiago Ferrari

        ashauishuiashuiash nem perca seu tempo tentando!

      • Caipiroto, o Capeta Caipira 😈

        2014.

        De nada.

    • Super Suporte

      meu deus, uso o mesmo esquema!

  • Daniel Pasturchak

    Afinal é pra dedicar cinco minutos ou não?

  • Vinícius Corrêa

    É por isso que eu uso o LastPass, só preciso lembrar de 1 senha.

    • BielSilveira

      Mas não se esqueça de ter um boa senha mestra e autenticação multifatorial.

    • HomeroGamer-BanidodoMB

      E usa uma senha 111111 no lastpass né?

      • Vinícius Corrêa

        .111111 é sacanagem eu uso qwe123, por que tem que ser fácil de lembrar =P

  • Marcelo Eiras

    Use e gere senhas num gerenciador de senhas como o lastpass e seja feliz.

    • flavio

      Use e gere senhas num gerenciador de senhas como o lastpass e seja seguro…

      • HomeroGamer-BanidodoMB

        Dai usa uma senha bem bosta no lastpass e seja hackeado.

    • 1Password idem, tenho preferência por ele, cofre de senhas, carteira de pagamentos e qualquer informação que precisa de segurança.

      • Eu uso o keepass a anos, mas sinto que ele meio que parou no tempo. Vou testar esse 1Password e o Lastpass também

        • 1Password se integra com a biometria do iPhone, todas minhas centenas de senhas se resumem ao dedão, muito bom.

        • Bassi

          Também uso e penso o mesmo, mas confio mais nele do que gerenciadores que guardam minhas senhas online. Uso a senha e chave de criptografia. Guardo o arquivo de senhas em um local na nuvem e a chave em outro serviço.

    • Luiz

      PasswordSafe e Dropbox, não confio nestes gerenciadores onlines, não foi estes dias que vazou a segurança ?

    • Tiago .

      Nunca entendi a lógica desses gerenciadores de senha.
      Não é o mesmo que colocar todos os ovos em uma única cesta?

  • Senhas fáceis ou difíceis acabam hackeadas do mesmo jeito, então tanto faz…

    • Kagarro

      Tem toda razão… é por isso que já uso “1234” mesmo pra facilitar.

    • Henrik Chaves

      Carro trancado ou aberto e com a chave na ignição acaba sendo roubado do mesmo jeito, então tanto faz…

      😉

  • E. Bicalho

    Por isso sempre uso geradores online. O Chrome vai memoriza-las mesmo, só preciso me preocupar em lembrar uma meia duzia como gmail e facebook.

  • Tide “pepe” Hunter

    111111 é sacanagem.

  • Renato Oliveira

    Eu uso passw0rd123456.
    Super efetivo. 🙂

    • Estolano

      Tenta p1a2s3s4W5o6r7d

      • Renato Oliveira

        Ok.

  • Luiz

    Senha de 25 digitios random com letra, numero e simbolos, não leva mais do que meio segundo para gerar usando gerador de senhas.

  • Alexandre Souza

    Tinha um maluco la no DEIC do RJ que usava **versiculos da biblia** como senha. Tamos falando de 2 a 3 linhas de senha. Vai la e quebra.

    • Carlos Magno GA

      32 mil versículos, 8 variações (com acento, sem acento, com vírgula, sem vírgula, João Ferreira de Almeida, etc.) = 256 mil variações = senha númerica de 6 dígitos

      Keylogger de teclado

      Distro de Linux pra resetar a senha do Windows

      Câmera filmando a senha dele (só preciso de 3 palavras da senha)

      Entrar com outro usuário e deletar o material educativo dele.

      Ou, a solução XKCD: chave grifo de 20 reais

  • Nil Obermüller Schaupp

    Lembro de uma amiga minha de chat da uol e icq, a Bruna de Taubaté que em 1998 me ligou de sp pra eu acessar o email dela do zipmail pra pegar uma informação pra ela, a senha dela eu fiquei abismado quando me disse:

    – Espaço Espaço Espaço Espaço Espaço
    – Escrever espaço 5 vezes, Bruna?
    – Não, aperta 5 vezes o espaço, é a senha

    E não é que era verdade !? Naquele dia descobri que o sistema aceitava espaço como senha.

  • O Datilógrafo da AEB

    Redes WiFis que já “invadi” só de analisar o nome e situação da rede.
    WiFi do meu vizinho
    Nome : 0
    Senha : 00000000

    WiFi do meu barbeiro que se chama Bruno.
    Nome: brunocoiffeur
    Senha : salaodobruno

    Wifi aleatório na rua.
    Nome: tiopatinhas
    Senha: patodonald

    E tem várias outras, sei auditar uma rede WiFi com diversos programas, mas a maioria das vezes, o nome e situação da rede entregam a senha. E o pior, em todas tive acesso ao roteador/modem com a dupla admin/admin

  • Pingback: Está na hora de você mudar sua senha e estou falando sério! | Nerd Pai - O Blog do Pai Nerd()

  • Cássio Amaral

    Rapaz, eu não tenho tanta memória no meu cérebro pra lembrar todas as senhas. Eu deixo todas as senhas salvas no Chrome, porque é humanamente impossível criar uma senha forte para cada serviço e lembrar de todas.

    Sei que é um risco mas é o preço que se paga pela comodidade, até porque não vou ficar toda hora digitando senha em todo serviço em que me logo.

  • Felipe A.G. de Souza

    Ok, é impossível vc ver esse artigo e não se lembrar de Hackers.

    “The four most used passwords are ‘love’, ‘secret’, ‘sex’ and ‘god’. So, would your holiness care to change her password?”

Aproveite nossos cupons de desconto:

Cupom de desconto Locaweb, Cupom de desconto HP, Cupom de desconto Descomplica, Cupom de desconto Nuuvem, Cupom de desconto CVC, Cupom de desconto Asus, Cupom de desconto World Tennis