Durante anos, ouvi a mesma coisa: torne suas senhas mais longas. Adicione mais caracteres, insira símbolos, misture letras maiúsculas e minúsculas e você estará mais seguro on-line.
Mas à medida que os ataques a senhas se tornam mais sofisticados e ferramentas como gerenciadores de senhas se tornam muito mais populares, senhas mais longas nem sempre são a melhor solução para a privacidade.
O comprimento é importante (ha), mas a forma como você cria e gerencia uma senha geralmente é igualmente importante, se não mais.
Uma senha longa que seja previsível ou reutilizada em contas ainda pode ser quebrada, vazada ou explorada. Enquanto isso, uma senha mais curta gerada e armazenada adequadamente pode oferecer uma proteção mais forte.
Veja como o comprimento da senha realmente funciona, onde ajuda, onde não ajuda e o que os especialistas em segurança recomendam.
Por que senhas mais longas são geralmente mais seguras
A força da senha depende principalmente da entropia, que é uma medida de quão difícil é adivinhar uma senha. Quanto mais caracteres uma senha tiver, especialmente quando esses caracteres são aleatórios, mais combinações um invasor terá que tentar.
Uma senha de 16 caracteres feita de letras, números e símbolos aleatórios (v9$QmR!2Zp#L8w@D) pode levar séculos para a força bruta com o poder computacional atual. Em comparação, uma senha de oito caracteres (S3cur3!9), mesmo complexa, pode levar apenas horas ou dias se os invasores tiverem acesso a ferramentas modernas de cracking.
É por isso que organizações como a Instituto Nacional de Padrões e Tecnologiaa agência federal que outline as diretrizes de segurança cibernética usadas pelo governo e pelas empresas de tecnologia, recomenda senhas ou frases secretas longas em vez de senhas curtas e complexas.
Quando senhas longas não ajuda
O comprimento por si só não salva você se a senha for previsível. Uma senha longa como SenhaSenha123! é muito mais fácil de decifrar do que um mais curto, mas totalmente aleatório.
A reutilização de senhas longas em várias contas é outro problema comum. Se um website sofre uma violação de dados, os invasores geralmente tentam usar as mesmas credenciais em outro lugar, uma tática conhecida como preenchimento de credenciais. Nesse caso, mesmo uma senha muito longa e complicada oferece muito pouca proteção.
Os ataques de phishing também ignoram totalmente o comprimento da senha. Se você for induzido a digitar suas credenciais em uma página de login falsa, os invasores não precisarão quebrar nada; você dá a eles em uma bandeja de prata.
Não perca: E-mails de phishing não são mais tão óbvios. Veja como identificá-los
Senhas: mais fáceis de lembrar, mais difíceis de adivinhar
Uma alternativa fashionable às senhas tradicionais é uma senha longa, uma sequência de palavras não relacionadas como rio-bateria-lua-tapete. Como as senhas são longas e não dependem de substituições previsíveis, elas são significativamente mais difíceis de usar com força bruta do que senhas curtas e complexas e são mais fáceis de lembrar.
As senhas funcionam especialmente bem para coisas que você ter para lembrar, como a senha mestra de um gerenciador de senhas ou um login de dispositivo.
Os gerenciadores de senhas ainda são o padrão ouro
Dito isto, os especialistas em segurança, incluindo a Agência de Segurança Cibernética e de Infraestrutura, geralmente concordam que senhas geradas aleatoriamente armazenadas em um gerenciador de senhas ainda são o padrão ouro. Eles combinam comprimento, aleatoriedade e exclusividade, sem forçar você a confiar na memória (ou em um post-it na gaveta da sua mesa).
A desvantagem é que você confia em uma ferramenta para proteger muitos logins, o que torna especialmente importante proteger sua senha mestra, permitir a autenticação de dois fatores e manter as opções de recuperação atualizadas.
Então, o que você realmente deveria fazer?
Senhas longas são melhores, mas apenas quando são único, aleatório e bem gerenciado. A configuração mais segura para a maioria das pessoas é assim:
- Use um gerenciador de senhas para gerar e armazenar senhas longas e exclusivas. Crie uma senha mestra ou frase secreta forte e memorável.
- Habilite a autenticação de dois fatores sempre que possível.
- Evite reutilizar senhas, não importa o tamanho delas.
- Altere as senhas que foram expostas em uma violação de dados, mesmo que sejam longas.
- Tenha cuidado com e-mails de phishing e páginas de login falsas, que ignoram totalmente a força da senha.
- Use senhas quando disponíveis, que substituem as senhas por logins biométricos ou baseados em dispositivos que não podem ser fraudados ou forçados
Como a maioria das preocupações de segurança cibernética, a segurança de senhas não envolve uma regra perfeita. Trata-se de colocar proteções em camadas para que, quando uma falha, as outras ainda se mantenham.
