Segredos para senhas melhores Computerworld (EUA) 07/11/2003 13:27 O uso de boas senhas, difíceis de serem descobertas, pode dificultar que um intruso se apodere do seu computador. Evitar senhas previsíveis e usar métodos diferentes para variar suas senhas irá facilitar para que sejam lembradas por você e, ao mesmo tempo, tornar praticamente impossível que sejam descobertas por outros.

Há várias maneiras de criar senhas originais, mas fornecemos aqui algumas que podem ajudá-lo. Comece tendo como perspectiva o uso de palavras-chave relacionadas a um determinado assunto. Escolha um evento comum, mas significativo: lua de mel, nascimento de um filho, carro novo, novo emprego.

Exemplo de palavras relacionadas a nascimento poderiam ser moreno, maisum, novobebe, gordinho, quarto8 e rosada. Idéias associadas a um carro novo poderiam ser prateado, 6CDs, rayban e freioABS.

A idéia, como isso, é que você utilize várias palavras associadas a um evento que as outras pessoas não descobririam facilmente. Lembre-se que é bem provável que você também tenha que combinar letras maiúsculas e minúsculas e números quando criar uma senha. Por exemplo, “rosada” poderia ser roSad4 ou RoSada. Outra boa dica é substituir os números por letras, baseados na aparência. Com um pouco de imaginação você pode visualizar números que se parecem com letras (veja tabelas abaixo).

Quando criar uma senha, substituta por um número onde a letra apareceria, de acordo com a tabela acima. Alguns exemplos: esquilo torna-se e5Qui1o; walter tona-se w4lt3r; bimotor torna-se 8imot0r. Toque os números por letras com base em sua localização no teclado. A fileira de letras QWERTYUIOP do teclado tem logo acima dela a de números –1234567890. Você pode substituir um número por uma letra correspondente (veja tabela 2). Assim, quando for criar uma senha, utilize a substituição com base na tabela. Alguns exemplos: coelho torna-se coelh9; vermelho torna-se v34m3lh9; quadro torna-se 17ad49. Use as letras maiúsculas de forma consistente na sua senha. Alguns sistemas exigem que pelo menos um caractere seja em letra maiúscula. Várias pessoas colocam a primeira letra, mas isso também é muito previsível. Em vez disso, coloque sempre, por exemplo a segunda, terceira ou quarta letra, ou talvez a última ou penúltima. Alguns exemplos: coElho, vermelHo, qUadro.

Para ficar ainda mais interessante, coloque mais de uma letra em maiúscula, por exemplo, a primeira e a terceira, ou a segunda e a quarta. Evite também alterações previsíveis, por semana ou mês. Um bom exemplo de padrão previsível que deve ser evitado: olhos01Jan, olhos02Fev, olhos03Mar e outros. Caso alguém tenha sido esperto o suficiente para descobrir sua senha, você não iria querer que ele pudesse prever como ela seria futuramente.

Um outro procedimento importante é verificar a qualidade da sua senha no SecurityStats.com, que realiza cálculos baseados na complexidade e probabilidade de descoberta da sua senha e o informa quanto ela é boa. Lembre-se que é um serviço na Web que pode ser detectado. Por conta disso, use senhas semelhantes à real para ter apenas uma idéia da qualidade da senha. Há, ainda, a opção de se criar senhas com somente seis caracteres, conforme recomenda a norma ISO17799 (veja abaixo). Mas alguns profissionais da área de segurança da informação contestam essa indicação. Eles dizem que seis caracteres não são suficientes, devido ao fato de reduzir o tempo que o invasor demoraria para descobri-la.

A verdade é que, normalmente, os hackers não se importam com o comprimento da senha quando decidem entrar na conta de um computador. A preocupação, esta sim, deve ser para as inúmeras contas de convidados, contas de grupos e contas sem senhas, falta de prazo de vencimento das senhas nas empresas, além de outras que podem ser facilmente descobertas e das brechas que permitem explorar os pontos fracos e fazer uma engenharia social.

Com todas essas chances à mão, contas com boas senhas de seis caracteres são somente um pouco mais complicadas do que as com oito caracteres. Por isso, os profissionais da área de segurança da informação deveriam se preocupar mais em fazer uma boa higiene nas contas de usuário do que com o comprimento das senhas. Para finalizar, um aviso importante: não utilize qualquer senha que aparece neste artigo.

As regras para senhas do padrão ISO

Peça ao departamento de tecnologia da sua empresa para implementar melhores práticas para gerenciamento das senhas, de acordo com a ISO17799, um padrão de segurança de informações amplamente reconhecido. Veja algumas regras, de acordo com o padrão:

• As senhas devem ter, pelo menos, seis caracteres de comprimento;
• Não devem conter caracteres idênticos consecutivos;
• Não utilize somente números ou letras;
• Evite reutilizar ou reciclar senhas antigas;
• Solicite que as senhas sejam alteradas regularmente;
• Force os usuários a alterar as senhas temporárias no acesso seguinte;
• Mantenha um registro de todas as senhas antigas dos usuários e evite que elas sejam reutilizadas;
• Altere todas as senhas-padrão dos fabricantes;
• Elimine ou bloqueie contas de usuários compartilhadas.