Recomendações de segurança: Como usar senhas de alta segurança - Parte II

  • Artigo

Por Diogo Henrique Silva

Este é o segundo artigo de uma série que estarei escrevendo sobre a utilização de senhas seguras.

No primeiro artigo abordei como muitos usuários mal intencionados tentam descobrir senhas, quais sistemas operacionais dão suporte para senhas seguras, descrevi como os hashes de senha são armazenados no Windows, como os caracteres Unicode ajudam a deixar a senha mais segura e por fim inseri um pequeno "passo-a-passo" sobre a configuração de senhas seguras em um ambiente com Active Directory implantado.

Nesse artigo darei algumas dicas sobre como podemos criar senhas de alta segurança para que os usuários da rede possam aprender a criar senhas seguras e fáceis de lembrar. Abordarei alguns exemplos práticos que ajudam na percepção de que a criação de senhas com os cinco grupos dos caracteres mencionados na primeira parte do artigo, não são difíceis de serem criadas.

Não adianta criar uma diretiva de senha e não instruir os usuários a como criar tais senhas seguras.

Muito mais importante e eficaz é divulgar essas diretivas para todos os usuários da rede, dar treinamento e fazer com que todos pratiquem o proposto. Talvez esteja pensando: "Basta eu configurar as diretivas que eu desejo para a minha empresa e pronto, todos os usuários terão que obrigatoriamente seguir o que estiver configurado". Sim, dessa forma você conseguirá alcançar o seu objetivo, mas se quiser ter mais eficiência, invista um pouco do seu tempo em divulgar o que será feito e porque está sendo feito. Assim conseguirá cativar o interesse dos usuários em cumprir tudo o que está proposto de forma natural e não por obrigação.

Informe aos usuários que a partir de determinada data, terão que utilizar senhas de alta segurança.

Abaixo descrevo como pode ser o texto de informação para os usuários.

Uma senha de alta segurança tem pelo menos oito caracteres e usa caracteres de três dos cinco seguintes grupos:

  1. Letras minúsculas

  2. Letras maiúsculas

  3. Números (por exemplo, 1, 2, 3)

  4. Símbolos (por exemplo, @, =, -, etc.)

  5. Caracteres Unicode

As suas senhas também não poderão ter três ou mais letras consecutivas contidas no seu nome de conta de usuário. Será necessário que você altere a sua senha a cada 42 dias, e as suas senhas não poderão ser usadas novamente.

Quando você alterar a sua senha, a nova senha será automaticamente verificada em relação à complexidade e será comparada com as suas senhas anteriores. Isso pode parecer frustrante, e você pode ficar tentado a anotar a sua senha e colá-la na sua mesa, no monitor do computador ou em outro lugar de fácil acesso. Entretanto, no momento em que você fizer isso, estará expondo o seu computador e toda a nossa empresa a um risco tremendo, já que qualquer pessoa poderia ir ao seu computador e fazer logon na rede usando as suas credenciais. Portanto, nunca anote as suas senhas. Em vez disso, crie senhas fáceis de lembrar.

Abaixo você encontrará mais informações básicas sobre a segurança de senhas além de recomendações específicas para a criação de senhas de alta segurança que sejam fáceis de lembrar.

Usando frases-senha

Talvez seja mais fácil pensar em "frases-senha" em vez de "palavras-senha".

Portanto, "Você pode tentar quebrar isso até que as vacas voltem para casa!" é uma frase-senha perfeitamente válida que será extremamente difícil de ser quebrada por um atacante, mesmo usando a melhor ferramenta de quebra de senhas existente. Se o seu computador executa um dos sistemas operacionais mencionados acima, tente usar uma frase-senha muito longa que tenha letras maiúsculas, letras minúsculas, números e símbolos combinados.

Observe que você não deve usar as senhas dos exemplos contidos neste documento. Embora a senha apresentada acima, "Você pode tentar quebrar isso até que as vacas voltem para casa", seja muito longa, os atacantes podem acrescentar essa e outras senhas dos exemplos deste documento às suas ferramentas de ataque. Elas são exemplos, você sempre deve criar as suas próprias senhas exclusivas.

Mais dicas para senhas

As seguintes informações fornecem dicas, o que você pode e não pode fazer para criar e lembrar as palavras-senha e frases-senha.

  1. Use mais de uma palavra

    Em vez de usar apenas o nome de uma pessoa conhecida, como "Amador", escolha um detalhe dessa pessoa que mais ninguém saiba, por exemplo, "UrsoAmador" ou "UrsoDodo".

  2. Use símbolos em vez de caracteres

    Muitas pessoas tendem a colocar os símbolos e números exigidos no fim de uma palavra, por exemplo, "Amador1234". Infelizmente, isso é relativamente fácil de ser quebrado. A palavra "Amador" encontra-se em diversos dicionários que têm nomes comuns; depois de ter descoberto o nome, o atacante tem apenas mais quatro caracteres relativamente fáceis para adivinhar. Em vez disso, substitua uma ou mais letras da palavra por símbolos que você lembre facilmente. Muitas pessoas têm suas próprias interpretações criativas da letra com que alguns símbolos e números se parecem. Por exemplo, tente substituir "A" por "@", "l" por "!", "O" por zero (0), "S" por "$" e "E" por "3". Com substituições como essas, você reconheceria "Ur$o@mador", "Ur$oAm@dor" e "Urs0Am@d0r", mas elas seriam muito difíceis de serem adivinhadas ou quebradas. Examine os símbolos do seu teclado e pense nos primeiros caracteres que lhe vêm à cabeça; pode não ser o que outra pessoa imaginaria, mas você lembrará. Use alguns desses símbolos como substituições nas suas senhas de hoje em diante.

  3. Escolha acontecimentos ou pessoas em que você pensa

    Para lembrar uma senha de alta segurança que deverá ser alterada em alguns meses, tente escolher um acontecimento futuro pessoal ou público. Use como uma oportunidade para lembrar de algo agradável que está acontecendo na sua vida, ou de uma pessoa que você admira ou ama. Provavelmente você não esquecerá a senha se ela for engraçada ou carinhosa. Torne-a exclusividade sua. Certifique-se de torná-la uma frase com duas ou mais palavras e continue a usar os símbolos. Por exemplo: "F0rm@turaJ0na$".

  4. Use fonética nas palavras

    Geralmente, dicionários de senhas usados por atacantes buscam palavras contidas na sua senha. Como já foi mencionado, não hesite em usar palavras, mas certifique-se de salpicar generosamente símbolos no meio dessas palavras. Outra forma de vencer o atacante é evitar soletrar as palavras corretamente, ou usar fonéticas engraçadas que você possa lembrar. Por exemplo, "Kátia vê a galinha" poderia se transformar "KtiaVHlinh@!" ou "Kti@ V HLinha!" Se o nome da sua gerente for Kátia, você pode até dar uma risadinha todas as manhãs na hora de digitar a senha. Se você não é bom de ortografia, já está na frente nesse jogo.

  5. Não tenha medo de criar uma senha longa

    Se for mais fácil para você lembrar uma frase completa, digite-a. Senhas mais longas são muito mais difíceis de serem quebradas. E mesmo se for longa, se for fácil de lembrar, provavelmente você terá muito menos dificuldade para entrar no sistema, mesmo que não seja o melhor digitador do mundo.

  6. Use as primeiras letras de uma frase

    Para criar uma senha fácil de lembrar e de alto nível, comece com uma frase que tenha as maiúsculas e a pontuação corretas, e que seja fácil de lembrar. Por exemplo: "Minha filha Laura estuda na Escola Internacional". Depois, pegue a primeira letra de cada palavra da frase, preservando as maiúsculas usadas. No exemplo acima, "MfLenEI" seria o resultado. Finalmente, substitua algumas letras da senha por caracteres não-alfanuméricos. Você pode usar um "@" para substituir um "a" ou um "!" para substituir um "L". Depois dessa substituição, a senha do exemplo acima poderia ser "Mf!enEI"; uma senha muito difícil de ser quebrada, e mesmo assim, fácil de lembrar, desde que você possa lembrar a frase na qual ela se baseou.

Faça:

  • Combine letras, símbolos e números de que você se lembre facilmente e que sejam difíceis para os outros adivinharem.

  • Crie senhas que possam ser pronunciadas (mesmo que não sejam palavras) fáceis de lembrar, o que diminui a tentação de anotá-las.

  • Tente usar as letras inicias de uma frase que você goste, especialmente se ela incluir um número ou caractere especial.

  • Use duas coisas familiares e combine-as com um número ou caractere especial. Como alternativa, altere a ortografia incluindo um caractere especial. Dessa forma, você obtém algo desconhecido, o que gera uma boa senha, pois é fácil para você, e somente para você, lembrar, mas difícil para qualquer outra pessoa descobrir. Aqui estão alguns exemplos:

    • "Estou + 100 + dinheiro" = "Estou100dinheiro" ou "E$t0u100dinheir0"

    • "gato + * + Rato" = "gato*Rato" ou "gato*R@to"

    • "ataque + 3 + livro" = "ataque3livro" ou "@taque3livrO"

Não faça:

  • Não use informações pessoais, como derivados da sua identidade de usuário, nomes de membros da família, nomes de solteira, carros, placas de automóveis, números de telefone, animais de estimação, aniversários, números de CPF, endereços ou passatempos.

  • Não use palavras em qualquer idioma, soletradas de trás para frente ou de frente para trás.

  • Não junte senhas ao mês, por exemplo, não use "Maioral" em maio.

  • Não crie senhas novas substancialmente parecidas com as senhas usadas anteriormente.

Nesse artigo abordei pontos para a criação de senhas seguras, forneci dicas de criação de senhas altamente seguras, porém fáceis de lembrar e por fim destaquei o que pode e não pode ser inserido na criação de senhas.

Na parte final coloco um "How-To" para a implantação se senhas seguras por meio de Group Policy em um ambiente Windows Server 2003 com Active Directory, segundo o padrão estabelecido pela Microsoft.

Abraços e até a próxima.

Diogo Henrique
ITPró TechNet Brasil
contato@dhsit.com
www.dhsit.com