Segurança: Uma senha diferente para cada serviço ou site, sem anotar nem esquecer

9 Jun, 2007, por Augusto Campos Uncategorized

Efetividade.net é a sua fonte de informações originais e atualizadas sobre produtividade pessoal, efetividade, lifehacking, GTD e truques espertos para o seu dia-a-dia. Leia também:

Como escolher com seguran̤a uma senha para cada servi̤o Рque voc̻ nunca mais vai esquecer, nem precisar recuperar Рsem recorrer a anota̵̤es.

O uso da Internet e de sistemas corporativos informatizados faz com que tenhamos de controlar um número cada vez maior de senhas: a do cartão do banco, a do home banking, a de cada uma das contas de e-mail e de cada um dos sites de comércio eletrônico, a de acesso à Internet, a do Gtalk, do ICQ, do MSN, a de acesso ao micro de casa, ao do trabalho, e muitas mais.

Este fenômeno atinge, em maior ou menor grau, a quase todos nós, e leva a duas tentações perigosas: manter uma mesma senha para todos os serviços, ou anotar as senhas em algum lugar de fácil acesso. Ambas podem causar mais dano do que parece à primeira vista, porque uma vez que alguém tenha acesso a um único segredo (a senha unificada ou o local onde você anotou), terá comprometido a sua segurança em todos os serviços de uma só vez.

Pior: muitas pessoas adotam senhas simples e comuns, deixando sua segurança e privacidade à mercê de quem queira invadi-la. Uma pesquisa inglesa de 2006 concluiu que a senha mais comum de todas é “123″, e combinações óbvias como “qwerty”, nomes de times de futebol e o próprio nome do usuário são anormalmente comuns.

Em contraste, muitas pessoas, profissionais da área ou não, encontram suas próprias estratégias para escolher boas senhas: difíceis de adivinhar, únicas para cada serviço e realmente secretas, e usam os mais diversos sistemas e métodos (ou truques) mentais para memorizá-las e associá-las aos serviços correspondentes.

Se você já tem ou consegue imaginar seu próprio método, use-o! Mas se não tem, e deseja adotar um, ofereço uma idéia que você não deve copiar na íntegra (adotar esquemas conhecidos reduz a segurança), e sim adaptar e modificar para adequar ao seu uso. Com ela, a chance de você perder, esquecer ou ter de descobrir como recuperar uma senha perdida se reduz muito, e ao mesmo tempo a segurança das suas senhas aumenta bastante em relação aos métodos mais comuns.

Uma senha mista para cada serviço

As senhas mistas tratadas neste artigo terão 8 caracteres e serão compostas por uma parte constante (e difícil de adivinhar) e outra que varia sempre, escolhida de acordo com cada serviço em que você se cadastrar – uma para o Submarino, outra para o Gmail, e assim por diante.

Escolher a parte constante tem importância crucial, porque ela precisa conter 4 caracteres, sendo duas letras e dois algarismos, para tornar a sua senha compatível com a maioria dos requisitos de segurança de sites comuns – como os do fotolog.net e os do Google Adsense, que não aceitam senhas formadas integralmente por letras.

E não é só isso: a parte constante tem que ser facilmente memorizável por você, e não pode ser baseada em algum dado pessoal seu a que outras pessoas possam pesquisar com facilidade – as iniciais de pessoas da família que convivam com você estão fora de cogitação, assim como a data dos aniversários e os telefones delas. Mas o apartamento em que você morou em sua infância, o nome do seu primeiro cachorro, a primeira frase do refrão da sua música preferida ou o sobrenome de solteira da sua mãe (se ela mudou quando casou) podem ser boas bases.

Para este exemplo, vou considerar o endereço em que meu avô morava durante a minha infância: edifício Marcos Fernando, apartamento 19. As iniciais e o número formam um belo conjunto: mf19. Alguém que tentasse comprometer minha senha teria bastante dificuldade em imaginar que recorri a um endereço antigo do meu avô, e mais dificuldade ainda em pesquisar quais foram os endereços dele, certo? Claro que existem métodos que geram senhas ainda mais complexas, mas hoje estamos nos baseando no nível introdutório.

Já temos a parte fixa da senha, e podemos agora criar uma primeira regra de formação (você pode e deve criar regras diferentes das minhas, lembre-se): todas as senhas *iniciarão* com esta parte fixa, tomando o formato mf19xxxx, onde xxxx corresponderá à parte da senha que irá variar para cada site ou serviço.

Tudo o que resta é definir de que forma escolheremos a parte variável, lembrando que precisa ser uma regra fácil de lembrar, mas difícil de adivinhar. Uma forma fácil de adivinhar (e portanto inaceitável) seria simplesmente copiar as 4 primeiras letras do nome do serviço – assim, a senha para o Submarino ficaria sendo mf19subm, e a do Gmail seria mf19gmai. Mas isto não é nada seguro, porque uma pessoa que descobrir uma de suas senhas poderá facilmente entender a regra e usá-la para quebrar todas as suas outras senhas.

Um truque comum é separar as vogais e consoantes do nome do serviço – por exemplo, escolhendo sempre as primeiras 2 vogais e as primeiras 2 consoantes do nome do site. Por este exemplo, a senha do Submarino passaria a ser mf19uasb, e a do Banco do Brasil seria mf19aobn. Ainda é bastante simples, mas você mesmo pode alterar um pouco a regra para deixar um pouco mais complexo – o importante é adotar sempre a mesma regra, pois você precisará dela quando um dia esquecer uma das senhas e precisar reconstrui-la.

Um passo à frente

Se você chegar a padronizar uma regra de formação de senhas como a exposta acima, já estará à frente da absoluta maioria da população, pois a adoção de senhas inseguras é tristemente a regra geral.

Alguns serviços exigem mudança periódica de senhas, outros exigem senhas mais longas, e outros ainda exigem a inclusão de caracteres não-alfanuméricos – nestes caso você terá que adaptar a regra à sua realidade.

Lembre-se, entretanto, de não copiar literalmente nenhuma das regras aqui mencionadas. Escolha variações. Faça com que a parte fixa da sua senha fique ao final, ou coloque a parte numérica no início e a parte alfabética no fim. Inverta as vogais e consoantes da parte variável, ou mesmo intercale-as.

A imaginação é o limite, e desde que a regra seja memorizável, ela não vai atrapalhar muito sua vida – você vai continuar decorando as senhas que usa com freqüência, sem ter que usar a regra de formação a cada vez que quiser lembrar delas. E para as senhas usadas com pouca freqüência, que você tendia a esquecer, a existência da regra acaba sendo uma vantagem, e não uma desvantagem.

- Envie este artigo para o e-mail de um amigo!
 
 

18 Comentários até agora

  1. André Pessoa comentou:

    em June 9 2007 @

    Quando o comentário fica sob moderação, não é dado nenhum aviso sobre isso para quem comentou?

  2. leanDrow comentou:

    em June 9 2007 @

    Acho que vai haver alguns “espertalhões” tentando essas senhas em seus serviços, Augusto. Não duvido nadinha. :)

    As dicas são realmente ótimas, e eu costumo variar a senha um pouco pra cada serviço, mas nunca havia imaginado algo mais concreto. Irei adotar.

  3. Eri Ramos Bastos comentou:

    em June 10 2007 @

    Gostaria de poder usar algo assim, mas infelizmente são tantos sistemas com tantas politicas de senhas diferentes que fica impossivel de aplicar.
    Senhas de 8 caractes, senhas de 10, senhas que nao podem ter numeros no comeco, nao podem ter no fim, nao podem ter duas vogais ou duas consoantes a seguir… minha nossa.
    Deve ter uma equipe de programadores só para fazer as validações de senhas.

    Resolvi adotar um gerenciador de senha logo de uma vez. Escolhi o Keepass (http://keepass.info/), que é opensource e multi-plataforma, de modo que posso ter acesso às minhas senhas independentemente do SO que estiver e tem umas features muito bacanas…

    []’s
    Eri

  4. Wagner Elias comentou:

    em June 10 2007 @

    A falta de padronização dos mecanismos de controle de acesso e a falta de um método acaba levando os usuários a utilizar senhas padronizadas e ou simples.

    Eu escrevi há um tempo atrás sobre os softwares como o Keppas:
    http://wagnerelias.com/2006/02/17/password-safe/

    Mais um excelente post do efetividade.

  5. Walmar Andrade comentou:

    em June 10 2007 @

    Realmente um excelente artigo. Só lembrando que quando tivermos essas regras elas já devem prever uma flexibilidade para serviços que pedem senhas com somente seis caracteres, por exemplo.

  6. Thássius comentou:

    em June 10 2007 @

    Ficou faltanto uma dica: trocar a senha frequentemente. Principalmente para o que envolve dinheiro (contas bancárias, lojas e e-mails). O resto é o resto.

    Mesmo que mantenha a mesma metodologia para a criação de senhas, essa mudança ajuda muito. E haja memória para gravar tudo! =\

  7. André Pessoa comentou:

    em June 10 2007 @

    Se não é permitido colocar nenhum link externo no comentário, então por favor avise, para que eu não perca meu tempo escrevendo um comentário ou lendo o blog.

  8. Philipe Gaspar comentou:

    em June 10 2007 @

    Augusto,

    existe uma extensão para o firefox bastante interessante chamada Password Hasher. Apesar de gerar as senhas a partir de um padrão conhecido, ele pode ser usado em algumas situações. A senha é gerada de acordo com uma palavra-chave e a tag do site. Dê uma olhada em https://addons.mozilla.org/en-US/firefox/addon/3282
    http://wijjo.com/passhash/

  9. Marcos Dell Antonio comentou:

    em June 10 2007 @

    Excelente dica.

    Só não sei se é possível utilizar letras nas senhas do Banco do Brasil tal como você mostrou no exemplo.

    T+

  10. Rodrigo Villasboas comentou:

    em June 11 2007 @

    Caro, foi muito oportuna o seu artigo. Pessoalmente já uso método semelhante mas por outros motivos. Exercício mental. Da mesma forma que procuro fazer cálculos mentais sem auxílio da calculadora. Dizem que previne o Alzheimer. No meu caso me ajuda quando esqueço o Pen Drive com o meu Keepass portable.

  11. Lucas Arruda comentou:

    em June 12 2007 @

    Gostei dos métodos.

    Pessoalmente o que eu mais gosto de usar é um chaveiro, onde diversas chaves ficam atreladas a uma chave mestra, assim você poe uma chave mestra complexa que destrava todas as outras, e não precisa lembrar das outras. Infelizmente isto só funciona no computador pessoal, então só para aplicações de Desktop.

    Seria interessante que pudesse haver um ponto central para guardar essas senhas, mas o problema é que esse ponto central é sempre o elo fraco e caso ele seja comprometido, tudo dança.

    O jeito mesmo é escolher senhas bem elaboradas e diferentes.

    Associações de números com letras também funcionam bem e fica mais difícil descobrir essa lógica elaborada entre as senhas (como as das 2 vogais 2 consoantes), principalmente porque depois de descoberta uma senha as outras podem estar comprometidas (é só comparar essas letras com o serviço e achar o padrão).

  12. » Clipperz - uma alternativa on-line para gerenciamento das suas senhas pessoais - Efetividade.net comentou:

    em June 12 2007 @

    [...] continuidade ao assunto iniciado no artigo anterior (”Segurança: Uma senha diferente para cada serviço ou site, sem anotar nem esquecer“), quero compartilhar com vocês uma solução alternativa para apoio ao gerenciamento de [...]

  13. Marcos Reis comentou:

    em June 14 2007 @

    Tentei todo tipo de truque para memorizar senhas,mas chegou uma hora que só um gerenciador resolveu meu problema.Gosto do Keepass(não sei o quanto é seguro)que oferece um gerador randômico de senhas e uma lista de senhas expiradas.
    O texto está muito bom.Claro e agradável.Um abraço para todos.

  14. Fabiano Shark comentou:

    em June 15 2007 @

    Você não precisa memorizar todas as senhas, basta a do seu email, pois qual campo de autenticação hoje em dia não tem o famoso “esqueci a senha”, hehehê…

  15. Cristian comentou:

    em June 16 2007 @

    Post realmente interessante, além de alertar para um problema que realmente se torna muito sério e atinge muita gente podendo causar os mais variados deastres conforme o local onde forem cometidas as falhas.
    No trabalho ter suas informãções de login no sistema da empresa ou mesno no serviço de acesso a internet em empresas que monitoram o uso de forma a empregar os dados coletados em relatóris gerencias pode ser muito complicado.
    Na internet então utilizar-se de uma senha de fácil dedução pode render desde apenas uma simples dor de cabeça por alguem mandando scraps indevidos no orkut usando sua conta até o extremmos de vc ter subtraido de sua conta bancária alguns R$.

    Parabéns pelo post…

  16. Vitor Hirota comentou:

    em June 22 2007 @

    meio fora do assunto, mas relacionado…
    e o OpenID?
    o sistema que unifica sua identificação em alguns sites?

    vc acha válido esse tipo de sistema?

    []’s

  17. Rosa comentou:

    em February 26 2008 @

    Execelente essa dica!
    É realmente necessário adotar um critério através do qual possamos criar nossas senhas com a máxima segurança e com uma regra especial que nos faça lembrar sempre nos dando a segurança de ninguém poderá descobir.
    Notendoa 10 (DEZ)!

  18. sergio rodrigues pereira comentou:

    em February 27 2009 @

    não tenho muita coisa adizer,é que mais uma vez não memorizei nome usuario nem a senha,pode por favor me ajudar na procura

Fique ligado!
Leia também:

Como se ocupar discretamente durante apresentações irrelevantes

7 dicas para apresentações impecáveis

Liderança e tomada de decisão

Deixe seu comentário

Nome: (Required)

eMail: (Required)

Website:

Atenção: o Efetividade.net não responde por e-mail às solicitações dos usuários, e recomenda cautela com relação a eventuais respostas enviadas por outros usuários. Antes de solicitar o envio de material, propostas, ofertas ou esclarecimentos, leia com atenção o texto do artigo (no alto desta página), pois ele pode incluir a resposta para seu questionamento. O Efetividade.net não comercializa produtos ou serviços para seus leitores.

Comentário:

Atenção: o envio de conteúdo ao Efetividade indica aceitação integral dos seus Termos de Uso.