[andrefbr]

Existem centenas de artigos na internet mostrando como criar senhas fortes, e você deve estar cansado de ler as mesmas regras: todos os sites indicam para você não utilizar nomes, nem palavras comuns, não utilizar datas, e sempre utilizar letra maiúscula, minúscula, símbolos e números nas senhas.

Embora isso seja verdade, na prática a senha gerada é muito difícil de ser lembrada, como você pode ver na imagem abaixo, fazendo com que as pessoas não utilizem esses métodos:

Além disso, existem vários sites que geram senhas seguras (senhas fortes), mas na prática eles também seguem essas regras, então as senhas geradas também são difíceis de serem lembradas. Entre eles estão o Strong Password Generator, Secure Password Generator, Password Generator Tool da LastPass, entre outros.

Para piorar, muitos substituem letras por números e símbolos achando que estão criando uma senha forte. Na verdade isso é fictício, pois os softwares que quebram senha utilizam isso como primeira regra: eles substituem as letras por símbolos e números, então se você faz isso, a sua senha é tão fraca como se fosse a palavra comum sem essa alteração.

Não é à toa que Bill Burr, criador das regras para criação dessas "senhas fortes" se desculpou em 2017 por elas serem inúteis – afinal ele não era um especialista em segurança e baseou essas regras em um artigo escrito na década de 1980, muito antes da internet.


Sua senha foi roubada?

Atualmente muitos internautas (provavelmente incluindo você), utiliza uma única senha nos sites e serviços em que você faz login – e isso é um grave problema, pois basta um desses serviços ter suas senhas roubadas e suas contas estarão desprotegidas.

Inclusive o site Have I been pwned? (em tradução livre "Eu fui zoado", embora em TI o termo pwned indique "invadido" ou "hackeado") informa se o seu e-mail consta em algum vazamento ou roubo de dados de algum site. Basta você informar seu e-mail ali e clicar no botão pwned?:

O resultado informa inclusive de quais empresas o seu e-mail foi vazado ou roubado:

Como criar senhas fortes?

Então fica a pergunta: como criar uma senha forte, fácil de ser lembrada, e que possa ter pequenas alterações para eu criar várias senhas para eu utilizar cada senha em um site diferente?
Por incrível que pareça, isso é relativamente simples de ser feito, e eu vou utilizar três sites que fazem testes de senha:

1. Password Check da Kaspersky

2. Strenght Test da Rumkin

3. The Password Meter, que faz uma análise técnica e detalhada de cada senha.

E eu vou fazer uma coisa legal: ao invés de inventar uma senha nova, eu vou utilizar uma senha ridícula abcd1234 e vou mostrar três maneiras de transformar essa senha patética numa senha forte que possa ser utilizada em sites.


Senhas Fortes – opção 1

A primeira solução é adicionar 1+1 (espaço) antes e depois da senha.

Então a senha abcd1234 muda para 1+1 abcd1234 1+1

É importante que você utilize o caractere espaço. Evite utilizar traço ( – ) ou sublinhado ( _ ).

Isso é suficiente para transformar a senha abcd1234 em uma senha forte pois levaria mais de 40 anos para um computador descobri-la. E não adianta colocar antes ou depois de abcd1234: é preciso colocar antes e depois – além disso é necessário ter um espaço entre eles:

Você pode substituir o número 1 por outros números:

1+1 (espaço) abcd1234 (espaço) 3+4 -> 1+1 abcd1234 3+4
0+0 (espaço) abcd1234 (espaço) 1+1 -> 0+0 abcd1234 1+1
9+9 (espaço) abcd1234 (espaço) 9+9 -> 9+9 abcd1234 9+9

Você pode fazer a combinação que você quiser. E se você utilizar essa senha em um site, você pode substituir o 1+1 final por três letras relacionadas ao site. Por exemplo:

no site da CNN fica 1+1 (espaço) abcd1234 (espaço) CNN -> 1+1 abcd1234 CNN
no Fórum do BABOO: 1+1 (espaço) abcd1234 (espaço) fórum -> 1+1 abcd1234 forum

E por aí vai.. Isso é uma maneira bastante interessante de transformar a senha abcd1234 em uma senha forte.


Senhas Fortes – opção 2

Essa opção é ainda mais simples: você adiciona uma palavra antes e depois da senha. Então se eu gosto da cor azul, ficaria:

azul (espaço) abcd1234 (espaço) azul -> azul abcd1234 azul

Isso é suficiente para tornar essa senha segura pois levaria mais de 44 séculos para um computador descobri-la.

Se você não quiser usar uma cor, você pode colocar nome de carro, fruta, objeto, etc:

fusca abcd1234 chiron
spock abcd1234 kirk
uva abcd1234 banana
café abcd1234 leite

Por incrível que pareça a senha abacate abcd1234 abacate é uma senha praticamente inquebrável, pois levaria 10 mil séculos para ela ser descoberta:

Senhas Fortes – opção 3

Essa é a mais fácil de todas: você substitui a senha por uma frase que a contenha.

Então ao invés da senha ser abcd1234 a senha será uma frase. Com isso, a senha abcd1234 será parte de uma frase simples, como esses exemplos:

a senha é abcd1234
eu gosto da senha abcd1234
eu odeio a senha abcd1234
abcd1234 é uma senha fraca
eu jamais usarei abcd1234
a senha abcd1234 é fraca demais!

Essas frases curtas são praticamente inquebráveis, fáceis de lembrar, e que transformam a senha abcd1234 em uma senha bastante segura:

Conclusão: a partir de agora você deveria utilizar apenas frases como senha, e não palavras, porque a frase é praticamente inquebrável mesmo que ela tenha apenas espaços, letras e números

[Cjunior98]

Otima idéia... Minhas senhas são praticamente tudo iguais, e eu vou precisar mudar com o tempo... Se souber de uma, sabe de todas!!

[IJF]

Gostei, já usava algumas dessas dicas!

[thiagomocci]

Tô usando o gerenciador de senhas da própria Google. É ótimo, fiz senhas aleatórias pra todos os meus logins.

Só o Google Authenticator que preciso aposentar... não existe backup na nuvem dele. Se meu celular morrer, ferrou.

[andrefbr]

Tô usando o gerenciador de senhas da própria Google. É ótimo, fiz senhas aleatórias pra todos os meus logins.

Já ouvi falar dele, mas é seguro? Também já li que não é lá muito recomendável armazenar senhas no navegador.

[drneves]

Pessoalmente, acho que na maioria dos casos isso é tudo inútil.

Tentando entender melhor, as pessoas estão parando de decorar as próprias senhas, para que sistemas externos e centralizados armazenem todas as senhas que nem a própria pessoa sabe.

Antes de tudo, vamos aos fatos:

- brute force (isso de tentar várias senhas até acertar) não funciona desde a década de 90. os sites simplesmente bloqueiam o login depois de 3, 5, 7 tentativas erradas.
- é importante ter uma senha diferente para cada site, mesmo que alguém coloque como senha "vivo1234", "gmail1234" por exemplo (não o siga dessa forma, use algo diferente ou outra regra)...

- a maioria dos vazamentos ocorrem porque em algum lugar do servidor estavam armazenados os pares login e senha em texto puro ou usando algum algoritmo de hash já quebrado como MD5 ou SHA1, muito comuns antigamente.
- a outra maioria dos vazamentos usa malwares no computador da pessoa, que captura os dados direto dos campos a serem submetidos, ou seja, independe do quão difícil é a senha, ela vai aparecer exatamente como ela é.
- e alguns raros casos, podem existir keyloggers, que vão gravar o que é digitado, ou seja, tanto faz o quão difícil é a senha ela vai aparecer em texto.



Começou bem o artigo, "Baboo", me serviu de imensa inspiração nesse sentido. Lembro em 2003 quando eu usava todas as senhas iguais, que o Baboo enviou um e-mail dizendo ter sido hackeado e mandando as pessoas trocarem a senha, aí eu pensei, vou colocar algo ridículo e fiz minha senha que era **** na época (esses asteriscos não são pra ocultar eles eram a minha senha).

[antenado]

Realmente é bastante interessante!