Windows

Segurança informática – A sua password é forte? Parte I

33 Comentários

password A blogosfera reserva-nos milhares de serviços para os quais normalmente necessitamos de credencias de entrada (utilizador/password).  A Segurança Informática é um requisito fundamental para o suporte da tecnologia Internet, sendo que os seus limites são os limites da Internet.

A segurança é baseada em pessoas, e as pessoas cometem às vezes cometem erros logo “ A Segurança Perfeita é um Mito!”

Segundo se diz na gíria “O computador mais seguro do mundo teria de estar num cofre, desligado, no fundo do oceano… Guardado por tubarões, exércitos e porta-aviões… E mesmo assim seria possível convencer alguém que o estivesse a guardar para o ir ligar….

Hoje vamos abordar a questão da password e questionamos: A sua password é segura?

Independentemente das questões que surgem quando se fala a nível de segurança informática, os utilizadores devem começar por ser responsáveis pela sua própria informação. Quero com isto dizer, que actualmente (com a evolução dos ataques como por exemplo, ataques baseados em dicionários, brute force) os utilizadores  devem começar deste logo, pelo mínimo pormenor, a definirem níveis de segurança.

Hoje vamos fornecer algumas dicas e serviços para determinar se a sua password é forte.

Como saber se uma password é segura? Como determinar se é segura?

Bem, Não existe nenhum “guideline” que nos ensine a criar password, no entanto todos nós sabemos que uma password complexa e com alguns caracteres, normalmente é mais forte que uma password simples, com poucos caracteres, baseada nos nomes dos filhos, cão, gato, data de nascimento, etc.

Por outro lado, há utilizadores que criam passwords complexas mas que depois as expõem em locais de fácil acesso (ex. post it debaixo do teclado). Na minha opinião, uma password deve ser decorada pelo utilizador, constituída por alguns caracteres (mínimo 8, entre letras, números e caracteres especiais), não devem ser nomes próprios, datas, etc. É também importante determinar na hora de inserir a nossa password, se o site, serviço, aplicação…é seguro.

Este é um assunto que dava pano para mangas, mas certamente que os vossos comentários nos ajudarão a expor determinadas situações.

Voltando à questão inicial: A sua password é segura?

Recentemente a Microsoft lançou um serviço que permite aos utilizadores testar o quanto forte é a sua password e que fornece algumas dicas para ter em conta aquando do momento da criação da mesma.

password_2

Como é óbvio, o serviço não garante que uma password seja segura, no entanto ajuda o utilizador a perceber se tem uma password forte. Em próximos artigos prometemos abordar mais alguns assuntos relacionados com a segurança dos utilizadores e serviços.

Como “trabalho de casa”, questionamos os nossos utilizadores o que entendem por:

  • Vulnerabilidade
  • Ataque / Ameaça / Defesa
  • Confidencialidade
  • Não – repúdio

Homepage: Check your password — is it strong?

PUB
Autor: Pedro Pinto
Partilhar:
Tags:

PUB.

Questão Semanal

Deveria haver uma marca obrigatória em todas as imagens geradas por IA?

Ver Resultados

Loading ... Loading …
Arquivo de Questões

PUB.

Velocímetro Pplware

Teste a velocidade da sua Internet
Artigo anterior

Desenhe o seu Mural em…. HTML5!
USB Port Locked – Proteja as portas USB do seu PC
Próximo artigo

USB Port Locked – Proteja as portas USB do seu PC
PUB

Comentários

33

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

  1. Avatar de LM
    LM

    KeepassX

    Cumps,

    Responder
  2. Avatar de Navyseal
    Navyseal

    Este é capaz de ser melhor: http://www.passwordmeter.com/

    Responder
    1. Avatar de Pedro Pinto
      Pedro Pinto

      Boas,

      Pois, esse já fazia parte da Parte II :). Anyway, é um excelente serviço.

      Responder
      1. Avatar de NT
        NT

        Boas,

        Sempre podes tentar também,
        http://howsecureismypassword.net/

        Responder
        1. Avatar de Tagus
          Tagus

          Esse não vale nada!!

          Responder
  3. Avatar de Redhawk
    Redhawk

    Tudo isto é relativo, mas é óbvio que podemos e devemos ter uma password que nada tenha a ver connosco, que não seja legível, isto é, tenha letras, de preferência maiúsculas e minúsculas, números e caracteres especiais.

    Responder
  4. Avatar de avlis rotiv
    avlis rotiv

    Fantástico PiuPiu… 😛
    Sem duvida alguma, um post de refência! 😉
    E quanto “a mim”, as minhas passwords são completamente seguras, ou assim creio, como por exemplo esta: “:@qF8n*t_0z827Zp*p” que é a que utilizo no Fórum, “YT6*w+g)78w1z”<w6z" no Facebook… E é assim… (or not) 😆
    Agora decorar….. :mrgreen:

    Abraço.

    Responder
    1. Avatar de avlis rotiv
      avlis rotiv

      Esqueci-me referir Pedro; “Tópicos relacionados”:
      1Password 2.9.31 ( https://pplware.sitedev.pt/apple/1password-2-9-31/ ), que é um exemplo de um excelente gestor de passwords. E espero que a parte dois tenha também alguns serviços/software, dicas, para tal… 🙂

      Responder
  5. Avatar de André
    André

    Havia uma dica bastante interessante para criar passwords que consistia numa frase, por exemplo:

    Nasci em Lisboa no dia 14 de Agosto de 2010

    A partir daqui podemos ter

    NeLnd14dAd2010

    que é uma password razoavelmente forte. Podemos ainda personalizá-la e melhorar ainda mais a segurança, aumentando o leque de caracteres usados (por exemplo, aquelas substituições todas l33ts).

    Eu, no entanto, faço gestão automática das minhas passwords com o Keepass. Obviamente que sei algumas de cor para fins de recuperação (era o caos se perdesse o ficheiro de passwords)

    Mas tendo esse programa torna-se muito fácil usar diferentes passwords para todos os serviços que uso (outra medida importante, manter passwords diferentes para serviços diferentes, porque como foi dito, nem todos os websites são fidedignos).

    Cumps.

    Responder
    1. Avatar de Jose Simoes
      Jose Simoes

      “Nasci em Lisboa no dia 14 de Agosto de 2010”

      ou será

      “Nasci em Portugal no dia 14 de Agosto de 2010”

      “Nasci em Lisboa no dia 14 de Agosto de 2010”

      “Nasci no dia 14 de Agosto de 2010, em Lisboa”

      “Nasci em Lisboa a 14 de Agosto de 2010”

      Será que te vais lembrar???

      José Simões

      Responder
      1. Avatar de André
        André

        Não conheço nenhuma técnica acessível que não exija memorizar qualquer coisa: uma palavra-passe também tem de ser memorizada (esse é um dos pontos fracos das passwords, terem de ser memorizadas).

        Agora, entre as duas formas, é mais fácil decorar um conjunto de caracteres sem qualquer ordem ou lógica associada, ou ter uma frase bem conhecida (não tem necessariamente de ser sobre datas de nascimento) da qual extraímos os caracteres que precisamos para construir uma password?

        Não é uma solução perfeita, mas sempre pode ajudar a construir uma password mais robusta.

        Responder
    2. Avatar de Nit Not
      Nit Not

      Eu uso a tecnica de frases, e tenho senhas extremamente fortes. Uso abreviações como trocar “em” por @, ou adoro/amo/gosto por s2, ou infinito/eterno por 8, e uso senhas diferentes, dependendo do contexto as frases são diferentes. Me dá segurança o suficiente contra bruteforces e o caso de alguem acessar minhas senhas num banco de dados sem encriptação por hash. Malware estou livre pois só uso Linux.

      André, ótima dica.

      Responder
    3. Avatar de Paulecas
      Paulecas

      @André

      Isso é uma óptima ideia! Nunca me tinha ocorrido essa técnica, que cria senhas muito fortes.

      Não nos podemos é confundir com a frase que usámos. xD

      Responder
  6. Avatar de dardevelin-blogtastico
    dardevelin-blogtastico

    Boas,
    deixo aqui um muito interessante, que estima quanto tempo seria necessário para um computador quebrar a sua password

    http://howsecureismypassword.net/

    Responder
    1. Avatar de Nelson N
      Nelson N

      Nada mau!
      pcbonitinho
      demora 11 anos!! não acredito

      Responder
      1. Avatar de dardevelin-blogtastico
        dardevelin-blogtastico

        Boas,
        Acredita, sem fazer uso de uma wordlist e sem uma utilização exagerada de recursos é bem capaz, dado a combinação e quantidade de caracteres usados. Obviamente que quem vai quebrar uma password usa diversos métodos, escolhendo assim os mais rápidos para as diferentes etapas.

        Se percebes um pouco de programação, vai ver o código fonte do programa.
        Ajuda a entender como é que ele determina o tempo.
        Ainda há à acrescentar o facto da wordlist que o programa têm de 500 palavras é totalmente inglesa. pcbonitinho deveria estar na mesma.

        Responder
  7. Avatar de Hawk
    Hawk

    Eu decorei apenas uma password, que é a utilizada para abrir o KeePass e dentro dele tenho as senhas, para todos os tipos de serviços, desde fóruns, passando por sites dos mais diversos até contas de banco e cartões de crédito.

    Responder
    1. Avatar de R
      R

      WTF!!!
      Contas de banco…?!!?!!
      Confias passwords de contas de banco assim?!!!
      Ok. Cada um é que sabe, mas contas de banco é mesmo de cabeça. No papers. No technologies.

      O resto vai variando e prefiro ter um método mnemónico que me permita “descodificar” a minha própria password do que confiá-la a papeis ou programas.

      Embora use o keepass, mas pouco lhe toco. Foi mais por curiosidade.

      E não é tão difícil como isso arranjar um método. É um bocadinho difícil ao início, mas depois é fácil e dá para ter passwords do género de #fr%63rnlzp4)o#$ni4# sem ser preciso decorar. Apenas usar o método.

      Responder
    2. Avatar de R
      R

      Além disso, acho que não precisamos dos mesmos níveis de segurança para todos os serviços.
      Por exemplo, num fórum, o máximo que pode acontecer é alguém querer apoderar-se de nossa identidade para fazer o quê…? Insultar outras pessoas no nosso nome? Será que acontece tantas vezes asssim?

      No e-mail, tenho um pessoal (e nesse faço questão de estar seguro) e outro para “lixo” (será que preciso da mesma força neste?)

      Contas de banco e códigos de cartões é mesmo na cabeça, e aqui é nível máximo de segurança (tanto quanto possível).

      Login de jogos online e coisas desse género… vale a pena muita coisa…? Acho que não.

      Por isso, se puder poupar a minha cabeça, poupo. 😀

      Responder
      1. Avatar de Hawk
        Hawk

        Você não me entendeu.

        Eu sou hiper esquecido, já tentei inventar senhas que eu facilmente poderia lembrar – misturando todo o tipo de caracter – mas mesmo assim eu não consegui decorar.

        Por isso tenho que guardar tudo no KeePass.

        Responder
        1. Avatar de dardevelin-blogtastico
          dardevelin-blogtastico

          Boas,
          Ainda assim acho errado, mais vale ter um papel com elas apontadas. sempre precisa do acesso físico para consegui-las.
          Ao passo que num programa, um bug, uma falha do antivírus é suficiente.

          São coisas que as pessoas fazem sem pensar.

          É quase o mesmo que por a palavra secreta do cartão multibanco na carteira perto do próprio cartão.

          Se é esquecido, arranja métodos que protejam onde você armazena as passes.

          Responder
          1. Avatar de Hawk
            Hawk

            Mas eu já arranjei, chama-se KeePass.

    3. Avatar de Paulecas
      Paulecas

      @Hawk

      Também concordo com o R que as senhas bancárias devem ser de cabeça.

      Eu utilizo o LastPass e só não tenho lá a senha do meu e-mail e, claro, de tudo o que esteja relacionado com contas bancárias, carteiras virtuais (moneybookers, paypal, etc) ou sites onde tenho créditos monetários (sites de apostas, sites de jogo a dinheiro, etc).

      Responder
  8. Avatar de Manuel Silva
    Manuel Silva

    Alguns “recursos” a propósito do tema:

    http://www.skullsecurity.org/wiki/index.php/Passwords

    http://www.outpost9.com/files/WordLists.html

    Salvo erro, a Oracle tinha umas listas de senhas inseguras… mas não dou com o link… 🙁

    Responder
  9. Avatar de Jose Simoes
    Jose Simoes

    “manuelalegre2012”

    e “cavacosilva2012”

    são password fortes?

    Responder
    1. Avatar de T
      T

      Em vez de inventarem passwords,

      https://www.grc.com/passwords.htm

      Responder
    2. Avatar de Ana Narciso
      Ana Narciso

      Não, pois usam palavras do dicionário português.

      Responder
  10. Avatar de Ana Narciso
    Ana Narciso

    Isto faz-me lembrar a matéria de Segurança em Sistemas Distribuídos, eheh.

    Vulnerabilidade – É como se fosse um buraquinho no software, um bug, que se pode aproveitar e utilizar para correr código malicioso.

    Ataque / Ameaça / Defesa – Uma ameaça de segurança pode-se concretizar num ataque, e o atacado pode possuir uma determinada defesa que impeça o aproveitamento do atacante.

    Confidencialidade – Se eu quiser comunicar com uma determinada pessoa e apenas com essa pessoa, o meu canal de comunicação deverá ser confidencial e permitir que apenas essa pessoa leia a minha mensagem.

    Não-repúdio – A condição de “não-repúdio” garante que alguém que participe numa acção, não o possa negar. Por exemplo, se eu enviar uma mensagem, nunca conseguirei mentir e dizer “não fui eu!”.

    Bem, acho que nem ficou mal 😛

    Responder
    1. Avatar de Pedro Pinto
      Pedro Pinto

      Nota 20 🙂

      Responder
  11. Avatar de Jose Simoes
    Jose Simoes

    Vulnerabilidade
    Qualquer característica, do software ou hardware que permite ou pode permitir a um estranho obter direitos de utilização num intervalo de tempo, em média, inferior ao estimado por quem desenhou o sistema.

    Ataque
    Exploração ou tentativa de exploração (uso) de uma vulnerabilidade

    Ameaça
    Existência de uma vulnerabilidade

    Defesa
    Medida que dificulte a exploração de uma vulnerabilidade (conhecida ou não)

    Confidencialidade
    Poder de divulgar uma informação apenas a pessoas escolhidas (que podem ser 0)

    Não – repúdio
    Sistema digital que permite atribuir uma dada informação a uma dada pessoa (ou conjunto de pessoas) sem que ela possa tal negar sem entrar em contradição com a realidade ou com algum princípio matemático aceite como verdadeiro (mas que pode nunca ter sido demonstrado, ora bolas).

    Responder
  12. Avatar de Paulecas
    Paulecas

    Uma coisa que eu considero bastante importante em relação às nossas senhas é alterá-las regularmente. Acho que isso é muito importante para manter as nossas contas invioladas.

    Após ler as definições dadas pela Ana Narciso e pelo Jose Simoes fiquei bastante curioso de saber como é que se pode aplicar o princípio do não repúdio, isto é, qual é o mecanismo utilizado e como funciona? (Sei que a resposta poderá ser um pouco complexa, mas se alguém conseguir explicar por alto, agradeço)

    Responder
    1. Avatar de Jose Simoes
      Jose Simoes

      Eu i passwords não mudo as minhas passwords frequentemente. Tenho tantas e dava muito trabalho, era quase certo que fazia um ou outro erro, que dava mais trabalho a corrigir.

      Pelo contrário, uso passwords com tipicamente 30 caracteres aleatórios que incluem maiúsculas e minúsculas números e todo o tipo de caracteres.

      Claro que não as sei de cor. Tenho uma espécie de base de dados que está encriptada com password que demorou um ano a decorar e que uso todos os dias para não esquecer.

      Explicar como se faz o princípio do não repúdio, bem isso tenho de pensar como vou explicar em poucas (relativamente) palavras.

      Responder
  13. Avatar de dardevelin-blogtastico
    dardevelin-blogtastico

    Boas, para todos que estão com questões sobre o não repudio deixo-vos aqui uma página que explica tudo direitinho .

    http://www.cursoaprovacao.com.br/cms/artigo.php?cod=34254516

    Depois digam-me se a informação foi útil.

    CUMPS

    Responder
Aviso:

Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.