Resenha: Aprenda a criar e decorar senhas seguras sem ‘gastar’ o cérebro

O artigo “Aprenda a criar e decorar senhas seguras sem ‘gastar’ o cérebro”[1], foi escrito por Altieres Rohr, colunista do site G1.com, pertencente a central Globo de comunicações e veiculado na seção tecnologia do seu site em 09/03/2009. No texto o autor, que é especialista em segurança de computadores, aborda o tema criação de uma senha segura que embora seja bem conhecido pelos profissionais da área de segurança de TI, não costuma ser colocado em prática e nem mesmo ensinado a leigos na área – público alvo do artigo em questão.

Criação de senhas é um assunto que embora não costume ser abordado em cursos de informática tem uma grande importância para segurança de uma rede e até de um sistema como um todo, entretanto ele geralmente é descartado deixando o usuário e sua imaginação completamente livres para criar senhas pra lá de já conhecidas. Exemplo disso é o artigo Perfect Passwords (BURNETT 2005) apud Whats My Pass team[2] – que também é citado neste artigo, onde foram listados as quinhentas piores senhas que uma pessoa poderia escolher, que é dito serem usadas por uma em cada nove pessoas.

Descrição do Assunto e apreciação crítica

O autor preocupa-se em explicar – embora não de maneira enfática – que datas de aniversário e nomes de coisas ligadas ao usuário, tal como informações que poderiam ser encontradas em sites de relacionamento não são boas para ser candidatas a uma senha segura.

Como dica para se criar uma senha segura ele sugere a escolha de dois pequenos conjuntos de caracteres quaisquer, entre eles colocar um palavra de fácil memorização e em seguida substituir alguns caracteres por outros cuja grafia possa lembrar o original, tal como substituir “i” por “1”, “o” por “0” etc.

Embora esta técnica seja interessante, será difícil para o usuário decorar as seqüências que ele criou para o início e o final da senha, o que certamente o fará errar a senha com muito mais freqüência e forçando-o a desistir desta técnica. Alecrim 2003[3] em seu tutorial “Como criar senhas seguras” sugere também o uso de palavras, com o mesmo “truque” de substituição de caracteres, mas sem usar o conjunto de caracteres aleatórios no início e no final. E mesmo com a idéia de substituir algumas letras maiúsculas por suas equivalentes maiúsculas a senha será mais frágil, e conseqüentemente mais fácil para ser quebrada.

A idéia de se utilizar palavras como senha não é muito eficaz, prova disso é que a grande maioria dos artigos relacionados ao assunto e até mesmo alguns programas que zelam pela segurança substituíram o termo “senha” ou “palavra-chave” por “frase secreta” ou “frase chave” etc, dando a entender que deve-se usar uma senha mais longa e segura.

O uso de iniciais de palavras em uma frase preselecionada é o método preferido por vários autores, desde que seja seguida também as dicas de substituir maiúsculas e minusculas e alguns símbolos com aparência similares. Esta técnica que também é recomendada Microsoft[4,5] também é a que parece ser mais simples de ser decorada, visto que não há necessidade decorar uma seqüencia de caracteres sem qualquer lógica aparente.

O autor encerra o artigo com a seção “Anotando senhas”, onde comenta sobre o risco de se usar o recurso de recuperação de senhas que costuma ser empregado em alguns sistemas web e recomenda que as senhas devem ser anotadas sim e bem guardadas, deixando a seguinte frase de impacto para os leitores da sua coluna: “Preocupe-se mais em gerar uma senha forte e difícil de adivinhar do que em memorizá-la”.

Apesar da sugestão de anotar a senha ainda possa ser vista com certo ar de desconfiança[3,6] a explicação dada tem bastante coerência. Em um mundo cada vez mais conectado em que se exige mais e mais segurança e onde recomenda-se uma senha diferente para cada serviço seria impossível lembrar de todas as senhas, ou mesmo de todas as frases que você escolheu para ser a sua senha. Por conta disso existem algumas aplicações que se destinam a guarda de senhas, tal como o MypasswordSafe[7], PasswordSafe[8] e o Password-gorilla[9] que servem para ambientes Linux e Windows (os dois primeiros) e o último que é portável. A Microsoft recomenda sim que suas senhas sejam anotadas[5] mas é mais conservadora quanto a esta questão e sugere que preferivelmente seja feito em papel.

Considerações Finais

Como o artigo foi veículado em um canal informativo cujo público alvo é formado em sua grande maioria por leigos nas questões de segurança certamente ele tem o seu valor e deve ser tomado como exemplo para que outras iniciativas como esta ocorram com mais freqüência nos mais diversos meios de comunicação. Por ele ser pequeno e possuir uma linguagem simples certamente alcançou uma boa parte dos leitores do jornal em questão, entretanto como já se sabe segurança de sistemas é uma questão cultural e não será com apenas um artigo como este é que se conseguirá mudar a mentalidade das pessoas que colocam senhas conhecidas em sistemas críticos.

OBS: Não deixe de ler também o texto “Como criar uma senha segura e fácil de lembrar”, publicado aqui no blog.

Referências bibliográficas

[1] ROHR, Altieres. Aprenda a criar e decorar senhas seguras sem ‘gastar’ o cérebro. Mar-2009. Disponível em <http://g1.globo.com/Noticias/Tecnologia/0,,MUL1034560-6174,00-APRENDA+A+CRIAR+E+DECORAR+SENHAS+SEGURAS+SEM+GASTAR+O+CEREBRO.html>. Acessado em 20-05-2009.

[2] What’s my Pass. The Top 500 Worst Passwords of All Time. Nov-2008. Disponível em <http://www.whatsmypass.com/?p=415>. Acessado em 20-05-2009.

[3] ALECRIM, Emerson. Como criar senhas seguras. Dez-2003. Disponível em <http://www.infowester.com/tutsenhas.php>. Acessado em 22-05-2009.

[4] Microsoft. Criando senhas mais seguras. Mai-2004. Disponível em <http://www.microsoft.com/brasil/athome/security/update/password.mspx>. Acessado em 22-05-2009.

[5] Microsoft. Ajude a proteger suas informações pessoais com senhas fortes. Mar-2006. Disponível em <http://www.microsoft.com/brasil/athome/security/privacy/password.mspx>. Acessado em 22-05-2009.

[6] WNews. Dicas para criar uma senha segura. Abr-2009. Disponível em <http://wnews.uol.com.br/site/noticias/materia_especial.php?id_secao=17&id_conteudo=803>. Acessado em 23-05-2009.

[7] Semantic Gap Solutions. MyPasswordSafe. 2004. Disponível em <http://www.semanticgap.com/myps>. Acessado em 25-05-2009.

[8] SHAPIRO, Rony. PasswordSafe. 2008. Disponível em <http://passwordsafe.sourceforge.net/>. Acessado em 25-05-2009.

[9] PILHOFER, Frank. Password Gorilla. 2004. Disponível em <http://www.fpx.de/fp/Software/Gorilla/>. Acessado em 25-05-2009.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *