Senhas aleatórias são realmente tão seguras?

Senhas aleatórias são realmente tão seguras?
Estava lendo um artigo que afirmava que, em algumas situações, uma senha mais fácil de lembrar pode ser mais segura do que uma senha completamente aleatória, especialmente quando você não utiliza um gerenciador de senhas. Isso acontece porque uma senha que precisa ser trocada constantemente ao acessar um site pode acabar perdendo parte de sua eficácia. Entretanto, durante minha pesquisa, encontrei várias discussões em fóruns que apresentavam uma perspectiva oposta. Muitos argumentam que uma senha gerada aleatoriamente, como por exemplo: “ZHaJXPxLWG7” criada pelo Bitwarden (com 84% de entropia), pode ser ainda mais segura do que uma senha criada com base em uma frase, como: “@EuAdoro1Maça”, apesar desta última possuir 100% de entropia, o que leva a uma aparente contradição.
Gostaria de saber a opinião de vocês sobre essa questão, visto que, uma senha não óbvia já não vai estar na lista de senhas mais usadas e que o computador vai testar e às vezes uma senha não tão aleatória pode ser tão forte quanto uma aleatória e muito mais fácil de se decorar.
Todas essa discussão está feita com base na suposição de que a pessoa não use um gerenciador de senhas,visto que, é onde se enquadra a grande maioria das pessoas, inclusive as que saem digitando vários caracteres aleatórios e acham que estão seguras, quando às vezes fazem isso sem nem bater 8 dígitos direito.

Boa tarde,

O ponto chave da segurança da informação quando o assunto são “senhas” é imaginar que o atacante vai usar a força bruta para descobrir a sua.

Quanto mais caracteres ela tiver, seguindo de uma boa “mistura” dos mesmos (otimizando a entropia), mais difícil é para um programa de força bruta quebrar essa senha, pois ele fará muito mais cálculos para chegar ao resultado, podendo as vezes tornar inviável esse processo para o atacante.

Claro que temos que colocar o “descuido” da pessoa na equação e nesse cenário não importa o tamanho da senha, se a pessoa colocar ela em algum formulário falso, deixar salva em navegadores onde outras pessoas tem fácil acesso, ou situações do tipo, ela vai ser “hackeada” facilmente.

O padrão mais alto para proteção de senhas hoje é:

  • Usar um gerenciador de senhas com uma senha mestre forte (no mínimo 42 caracteres). PS: Não esqueça de salvá-la e guardar num local seguro, de preferência fora de meios digitais;
  • Salvar todas suas senhas dentro dele e deixar instalado apenas nos computadores/celulares que você tem acesso individual;
  • Dica de ouro: tenha um pequeno padrão além da senha e não salve ele no gerenciador. Ex: Sua senha do Instagram é z9U5GU^X8gxTgp e do Facebook é Z8f12#E^r4v2gp, perceba que as últimas duas letras são “gp”. Todas suas senhas devem ter um padrão inicial ou final iguais, e é fundamental não salvar esse padrão junto com a senha, pois caso as senhas do seu gerenciador “vazem”, sem esse padrão o atacante não vai conseguir logar ainda assim.

As maiores furadas hoje em dia são anotar senhas em cadernos/post-its por serem meios de fácil acesso à outras pessoas e deixar em planilhas de Excel (mesmo com senha pois hoje tem vários programas que quebram senha de Excel muito facilmente)

Se ficou alguma dúvida não hesite em perguntar.

6 curtidas

Concordo com os pontos que você levantou e uso a maioria deles, com exceção do ultimo.
Achei essa sua ultima dica muito boa, vou aderir ela kkkkk.

2 curtidas

Que bom que as informações foram úteis!

O que você usa como gerenciador de senhas?

Muito bom sua dica.

Comparação de dificuldade em quebra da senha:
ZHaJXPxLWG7 = 11 caracteres entre a-z, A-Z e números

“@EuAdoro1Maça” = 13 caracteres, a-z, A-Z, números, caracteres especiais e Ç que não lembro o nome deste tipo de carácter.

Por incrível que pareça, a segunda senha é muito mais difícil de ser quebrada, partindo do principio de zero informação a respeito do alvo.

A nível de pessoas normais, ambos estão salvos senão tiverem seus logins e senhas expostos. Um hacker não iria ter um trabalho enorme para quebrar a senha de alguém que não oferecesse um ganho equivalente. Quem ja testou quebrar uma senha sabe o custo de processamento e armazenamento de listas de senhas que esta operação levaria (estamos falando de pelo menos dezenas de petabytes (1000 TB)

3 curtidas

Por incrível que pareça, a segunda senha é muito mais difícil de ser quebrada, partindo do principio de zero informação a respeito do alvo.

Na verdade não, a segunda senha é muito mais fácil de ser quebrada pois é formada por um padrão de palavras. Programas de quebra de senha estilo “força bruta” usam várias fontes para se basear, e uma delas normalmente são todas as palavras encontradas no dicionário. Sendo assim, “eu”, “adoro” e “maçã” tornam a quebra da senha muito mais fácil.

E por favor a discussão aqui é somente sobre a dificuldade de quebra de senha, em momento algum quis menosprezar sua resposta, apenas estou pontuando mais algumas coisas. Eu estou cansado pois hoje em dia as pessoas levam tudo como ofensa, por isso já adianto desde já :call_me_hand:

Bem, para analisar a segurança de senhas deve-se partir de um estudo sobre as senhas que foram usadas indevidamente.

Baseado em suposição, acredito que a maioria de acessos não autorizados estão ligados a programas que capturam a senha ou engenharia social. Para o cidadão médio, saindo da discussão de senhas obvias e/ou de engenharia social, o maior perigo são programas de origem duvidosa que roubam as senhas já descriptografadas (e aí não adianta ter 12 ou 40 caracteres).

:point_down:

Quando disse que era mais difícil me embasei na hipótese de ter zero informação a respeito do alvo, ou seja, saber a nacionalidade do alvo é uma informação.

Agora se souber a nacionalidade, entra no que você falou, que é utilizar de dicionários focado na língua nativo do alvo.

Tranquilo. Sou do tempo em que se pode ter uma opinião diferente da minha e possamos argumentar sobre as visões diferentes.