23°C 16°/ 24°
Internet

A sua password já tem 12 caracteres? Se não tem, é melhor mudar…

21 Comentários

Ter uma password forte, difícil de descobrir, significa que estamos mais seguros no mundo digital. Este “pequeno elemento” continua a dar acesso a muitos serviços e dados, por isso quanto mais complexa melhor.

As passwords devem ser mudadas com frequência e não devem ser guardadas (apenas na nossa memória). Atualmente, as recomendações indicam que os utilizadores devem ter passwords com 12 caracteres.

A sua password já tem 12 caracteres? Se não em é melhor ter...


Segundo o NIST (National Institute of Standards and Technology), todas as passwords devem ter no mínimo 12 caracteres. Quando escolhemos uma password devemos evitar que seja uma palavra que conste de um dicionário.

Devemos evitar nome de animais, termos carinhosos, nomes de cores, nomes de comida e até palavrões, pois as passwords mais pirateadas têm esta base. Devem também ser evitados padrões do teclado, como por exemplo, qwerty, 1234qwer, entre outros.

A sua password já tem 12 caracteres? Se não em é melhor ter...

Para a criação da vossa password, devem inclui pelo menos um número, carateres do alfabeto e também carateres especiais (ex. ~, !, $, %, ^ e *). De referir que nenhum caracter deve ser repetido mais do que quatro vezes. As passwords devem ser mudadas a cada 90 dias.

De salientar também que as passwords não devem ser reusadas.

Então como criar “boas” passwords?

Uma boa técnica é escolher uma frase e dessa frase criar uma password. Por exemplo, vamos considerar a frase “eu conheci a minha primeira namorada em 2012! Gira.”.

Para criar uma password com base na frase vamos usar o seguinte método: primeira letra de cada palavra, alternar irregularmente entre letra maiúscula e minúscula, usar apenas os últimos dois algarismos de números e manter caracteres especiais. Para este exemplo teríamos a password eCamPNem12!G

Por fim, apesar de não ser recomendado, podemos sempre usar gestores de passwords que nos ajudam a criar passwords complexas e a gerar passwords quando precisamos de fazer registos em sites online. Muitas dessas passwords nem as conhecemos, pois confiamos na ferramenta que faz a sua gestão. Uma dessas ferramentas é o BitWarden, que oferece um conjunto de funcionalidades interessantes e é gratuita.

Autor: Pedro Pinto
Partilhar:
Tags:
NIST passwords
Halloween resiste na URCDkey: chaves digitais Windows e Office dão arrepios de tão boas
Artigo anterior

Halloween resiste na URCDkey: chaves digitais Windows e Office dão arrepios de tão boas
China já tem no espaço o último módulo para concluir estação espacial permanente
Próximo artigo

China já tem no espaço o último módulo para concluir estação espacial permanente
Também pode gostar
PUB

Comentários

21

Responder a A.M. Cancelar resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

  1. Avatar de Luis
    Luis

    bitwarden, com 19 caracteres.

    Responder
  2. Avatar de Zoomano
    Zoomano

    Tantos caracteres nas passowords é completamente desnecessário para além de ser muito mais difícil decorar as centenas de passes que atualmente é preciso saber (para quem não utiliza gestores) a solução é simples e aumentaria em muito a segurança. Para isso, no login em vez de ter tentativas infinitas para dar oportunidade de fazer bruteforce na passe vastaria que apenas fosse possível fazer 5 tentativas por hora ao errar a password.

    Responder
    1. Avatar de rjSampaio
      rjSampaio

      A questao da dimenção da password nao é para prevenir o bruteforce no protocolo ou pagina web.

      É para quando existe um dump de uma base de dados, as passwords nao sejam instantaneamente adivinhadas.
      Passwords longas com salt fazem com que mesmo que tenham acesso a uma base de dados de por exemplo a lista de users e hash dos users de uma rede social, nao conseguires retirar as passwords.

      Responder
  3. Avatar de sergio
    sergio

    Eu, por acaso tenho passwords com 12 ou mais caracteres e símbolos especiais, são frases que memorizo na cabeça facilmente, e meto símbolos como cardinal, etc.
    Mas isso faz as senhas mais seguras?
    Depende do ponto de vista.
    Um hacker experiente se entrar nas vulnerabilidades do browser Google chrome pode descobrir a senha quando alguma pessoa a escreve durante login, porque há keyloggers que “gravam” tudo o que escrevermos no teclado, mesmo que seja uma senha com 16 ou 20 caracteres, lol.

    Também podemos usar “Autenticação de dois passos” e receber SMS com código, mas até isso um hacker pode interceptar.
    Já me aconteceu ao fazer login no eBay e eu nunca recebia a porcaria da SMS, depois pedi para redefinir a senha, confirmar dados etc., e o email que o eBay me mostrava já constava um número de telemóvel que eu desconhecia. Os hackers substituem o nosso nº pelo número deles (descartável) e recebem o código SMS.

    Responder
    1. Avatar de Ze
      Ze

      É verdade, do que vale pass com 12 ou mais caracteres se deixarem tudo o resto vulneravel que com keylogger apanha tudo.

      Responder
    2. Avatar de Sergio J
      Sergio J

      Parecias eu a responder, até no nome 🙂

      Responder
  4. Avatar de LA
    LA

    Qualquer dia são 200 carateres.
    Se implementarem mecanismos de bloqueio temporário de conta, no caso de 3 ou 5 tentativas falhadas, dá mais resultado que passwords tipo comboio.

    Responder
    1. Avatar de Pedro Cunha
      Pedro Cunha

      O problema é que o bloqueio temporário de conta só funciona quando o hacker está a tentar aceder à conta online. Se o hacker for mais evoluído/tiver mais meios, pode roubar a base de dados em si e depois pode tentar as vezes que quiser, provavelmente com um número desconfortavelmente elevado de CPU e/ou GPU ao seu serviço para esse efeito — neste contexto, o bloqueio temporário de conta não existe, e a password vale apenas pela sua qualidade.

      Responder
  5. Avatar de Nuno Magalhães
    Nuno Magalhães

    Sites mais arcaicos e de cabeça lembro-me de vários institucionais, não permitem mais do que um total de 8 caracteres, e numa ótica mais abrangente em muitos casos há uma limitação sem sentido nos caracteres especiais.

    Por outro lado, há cada vez mais plataformas que já começam a aconselhar desabilitar o login por password, e isso sim será o futuro.

    Responder
  6. Avatar de luis
    luis

    A minha pass na amazon tem “30” carateres é o máximo.
    o eBay tem “19” mas na realidade vejo canais no telegram que revelam pass de alguns sites, com carateres especiais só prova que não é seguro!

    Responder
    1. Avatar de Vinagre
      Vinagre

      A Amazon bloqueia o acesso ao fim de algumas tentativas falhadas.
      Para que é uma password de 30 caracteres?
      Estás com medo de um ataque de força bruta, com base em dicionário? Os sites em condições não permitem isso.

      Responder
    2. Avatar de old
      old

      Mas isso é porque do “outro lado” não há a devida segurança. Não vale de nada termos uma pw boa se os sites a que acedemos têm BD facilmente acessíveis…

      Responder
  7. Avatar de abdu
    abdu

    esse requerimento é segundo o “NIST Center for Neutron Research”, que fogem um pouco das diretrizes principais do NIST.
    Pois nas diretrizes do NIST encontramos:
    “…Verifiers SHOULD NOT impose other composition rules (e.g., requiring mixtures of different
    character types or prohibiting consecutively repeated characters) for memorized secrets.
    Verifiers SHOULD NOT require memorized secrets to be changed arbitrarily (e.g., periodically).
    However, verifiers SHALL force a change if there is evidence of compromise of the
    authenticator.”

    Responder
  8. Avatar de Sergio J
    Sergio J

    As boas regras dizem que devemos ter passwords fortes e diferentes para cada serviço. Ora com dezenas de serviços isso torna-se impossível sem um bom gestor de passwords.
    O Artigo fala que é de todo desaconselhável, no entanto vejo sites especializados a vangloriá-las. Obviamente um ponto unico de ataque, mas isso é como um banco. Se for um serviço respeitavel , mesmo que pago não é preferível a termos senhas fracas?

    Responder
    1. Avatar de rjSampaio
      rjSampaio

      Não é de todo impossível, basta teres uma fórmula.

      Imagina que o pplware requer password, a tua password pode ser baseada no nome do serviço, algo tipo trocar as sílabas da palavra ficando rewappl, mas e se a segunda letra for constante usar ?.2
      Se for vogal usar 1.!

      Entao juntamente com a palha “a minha password” seria a1reminha.wa!passwordppl

      Basicamente estarias a aplicar salt de uma forma semelhante ao que se faz com as hash.

      Podes conter mais ou menos regras conforme estejas confortável em lembrares delas, e passado um tempo sabes sempre todas de cor, se num dump encontontrarem uma, dificilmente adivinham as outras porque efectivamente ninguém anda a analisar passwords de indivíduos individualmente para adivinhar passwords de outros serviços.

      Responder
    2. Avatar de sergio
      sergio

      Gestores de passwords, e se for invadido esse serviço?
      Recordo-me que há uns anos foi invadida a “nuvem” da Apple.
      Também já invadiram a “nuvem” dos discos externos da Western Digital, por exemplo.
      Creio que também podem invadir base de dados desses serviços de gestão de senhas.

      Responder
    3. Avatar de A.M.
      A.M.

      +1!!
      É a primeira vez que oiço dizer que não é recomendável utilizar gestor de passwords!! Eu até compreendo a ideia, mas é completamente impossível, nos dias de hoje, não os usar, tantas as passwords que temos que guardar. Eu uso o Keypass e, francamente não vejo ninguém pôr em causa o programa, antes pelo contrário!!

      Responder
  9. Avatar de Rui
    Rui

    Em alguns comentário que vejo aqui parece que as pessoas estão mais interessadas em que os outros se preocupem com a sua segurança do que eles próprios o façam. Utilizar a mesma password mesmo para tudo mesmo que seja uma password forte é um risco que não faz sentido. Usar uma email para tudo é outro risco que não faz sentido. Existem N formas de termos passwords fortes sem necessidade de uma gerador de password, que sejam diferentes para cada plataforma e que sejam de fácil memorização. É apenas puxar um pouco pela imaginação.

    Responder
  10. Avatar de Rui
    Rui

    Eu uso o bitwarden e tenho lá 140 passwords gravadas para diferentes sitios. Eu destesto ter de usar um gestor de passwords, se aquilo é hacked eu estou tramado, mas não estou a ver nenhuma alternativa, por muito que me esforce e por muita imaginação que tenha, não consigo decorar 40 quanto mais 140! O futuro terá de ser algum tipo de leitura biométrica em conjunto com um PIN ou password ou qualquer coisa do género…

    Responder
  11. Avatar de secalharya
    secalharya

    voujámudaraminhapassword.

    Responder
  12. Avatar de Adeus
    Adeus

    Usar frases com espaços, maiúsculas e números.

    Responder
Aviso:

Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.