910kWh poupados com a
i

A opção Dark Mode permite-lhe poupar até 30% de bateria.

Reduza a sua pegada ecológica.
Saiba mais

Saiba como criar uma password segura mas fácil de decorar

Este artigo tem mais de 5 anos

Uma senha segura não tem de ser demasiado complicada. A técnica Diceware permite gerar frases-chave que nem a NSA (Agência de Segurança Nacional americana) consegue quebrar.

i

Getty Images

Getty Images

Google, Microsoft e Apple. Estas e outras empresas esforçam-se diariamente no sentido de melhorar a segurança dos nossos computadores, smartphones e tablets, criando formas cada vez mais complexas de encriptação de dados. Mas todo esse esforço é em vão se nós, utilizadores, não soubermos gerar boas passwords. Por causa disso o site The Intercept, que acolhe Glen Greenwald, o jornalista que revelou as primeiras notícias sobre Edward Snowden, publicou uma série de dicas sobre a melhor forma de criar uma password segura.

E isto porque mesmo uma boa password pode facilmente ser descoberta. Imagine que alguém cria uma base de dados com todas as letras de músicas alguma vez escritas, com todos os livros alguma vez publicados, com todas as citações de autores, figuras famosas, filmes e séries e com todas as palavras existentes em todas as línguas. Imagine agora que quem lhe quer roubar os dados possui um sistema capaz de testar senhas aleatórias um trilião de vezes por segundo. Será que a sua ainda resistiria?

Não use passwords. Use passphrases

Existe uma forma mais segura de proteger os nossos dados do que com uma password com letras maiúsculas e minúsculas, números e carateres especiais. Chama-se passphrase — ou frase-chave, na tradução — e é mais fácil de decorar do que uma password. Mas não é tudo. “Primeiro estranha-se, depois entranha-se” não é uma passphrase segura porque lhe falta uma outra coisa: entropia.

Na criptografia, entropia é a palavra de ordem. Está relacionada com o conceito de aleatoriedade e baseia-se na ideia de que nós, humanos, não conseguimos ser puramente aleatórios. Estamos constantemente — e inconscientemente — a seguir padrões.

Mesmo que invente uma frase do nada, que não seja uma citação e que seja meramente um conjunto de palavras ao acaso, ela não conterá tanta entropia como você imagina. Sem se aperceber, estará a seguir regras básicas da gramática e idiomas comuns que reduzem drasticamente a entropia da senha.

O segredo? Extrair passphrases da natureza

Só a natureza pode ser genuinamente aleatória, uma vez que não temos qualquer poder de influência sobre ela. E aqui entra um novo conceito: a técnica Diceware. Vamos passo a passo:

1 – Para começar, descarregue uma cópia desta lista de palavras Diceware em inglês (ainda não há boas listas em português, mas pode optar por esta em espanhol). A lista inglesa tem 37 páginas com 7 776 palavras, o número de combinações possível usando cinco números de um a seis;

2 – De seguida, arranje um dado de seis faces e jogue-o 25 vezes. Vá anotando os números (no nosso exemplo, a passphrase terá cinco palavras e cada palavra necessita de cinco números diferentes, ou seja, 5×5=25):

2614224323366333224362334

3 – Agrupe os números em grupos de cinco. Cada grupo corresponde a uma palavra:

26142 24323 36633 32243 62334

4 – Procure, na lista que descarregou há pouco, qual a palavra a que corresponde cada número de cinco dígitos. Escreva-a logo abaixo do número correspondente e obterá a sua passphrase:

fob elgin lodge hadron ulan

Parabéns. Acabou de extrair entropia da natureza. A próxima coisa a fazer não depende da natureza, mas de si: tem de a decorar. Talvez queira anotá-la num papel e levá-la consigo nos primeiros dias. Tente sempre introduzir a senha sem a ajuda do papel mas, caso seja necessário, retire-o da carteira e use-o como auxiliar de memória. Quando achar que já decorou a frase, o melhor a fazer será destruir o papel.

Pode não ser a frase mais simples do mundo. Mas garantidamente é mais fácil de decorar do que uma senha do tipo r7ALk@_i.

Quão segura é uma passphrase?

A sua passphrase será tão mais segura quanto o número de palavras que usar (cinco, no nosso exemplo). Mas vejamos isto de outro prisma:

  • Alguém que queira roubar a sua senha terá a probabilidade de 1 / 7776 de acertar, logo na primeira tentativa, na primeira palavra da sua frase. Essa pessoa teria de tentar pelo menos uma vez e, no máximo, 7 776 vezes. Isto dá uma média de 3 888 tentativas, visto que há 50% de probabilidade de acertar logo na primeira metade da lista.
  • À medida que se vão adicionando palavras à frase, o número de tentativas para a adivinhar sobe exponencialmente. Claro que continua a existir sempre a probabilidade de 1 / 7776 de se adivinhar a primeira palavra corretamente mas, por cada primeira palavra, existe sempre a chance de 1 / 7776 de se adivinhar corretamente a segunda palavra da frase. E é impossível saber se a primeira palavra está correta sem adivinhar a frase completa.
  • Passando tudo isto a números “mais simples”, significa que com uma frase de duas palavras existem 7 776² ou 60,466,176 potenciais frases-chave e, em média, esta poderá ser descoberta nos primeiros 30 milhões de tentativas. Numa frase Diceware de cinco palavras existem 7 776⁵ potenciais frases, o que aumenta a média de tentativas para qualquer coisa como 14 000 000 000 000 000 000 (14 quintilhões).

Nem sempre é necessário usar uma passphrase

Espere. Não vá já ao Facebook alterar a sua senha para uma frase Diceware. As passphrases são ótimos recursos para se usar ao nível local — por exemplo, na senha de entrada do seu Mac ou PC, ou mesmo para encriptar um disco rígido.

Mas na Internet, alguém que queira roubar a sua senha nunca poderá fazer um trilião de tentativas pois isso significaria também um trilião de comunicações com o servidor de destino, algo que é tecnicamente inviável. Nestes casos, mais do que ir por tentativas, um hacker poderia obter o controlo do próprio servidor e capturar a senha a partir do momento em que a envia para o site, tenha ou não uma chave segura. Nestes casos talvez queira criar uma base de dados de palavras-chave com um programa como o KeePassX e, aí sim, proteja-a com uma passphrase.

Também já há inúmeros serviços online que suportam autenticação a dois passos, através de uma password e de uma aplicação que vai gerando códigos singulares a cada minuto (como o Google Authenticator).

Se não possuir um dado físico, existem alguns programas online que geram números aleatórios. Apesar de não ser a forma mais correta de aplicar este método, pode ser igualmente eficaz. Um exemplo dessas ferramentas é este site. Preencha o campo “quantidade” com o número um e gere números somente entre um e seis.

(Editado por Diogo Queiroz de Andrade)

PUB • CONTINUE A LER A SEGUIR

Ofereça este artigo a um amigo

Enquanto assinante, tem para partilhar este mês.

A enviar artigo...

Artigo oferecido com sucesso

Ainda tem para partilhar este mês.

O seu amigo vai receber, nos próximos minutos, um e-mail com uma ligação para ler este artigo gratuitamente.

Ofereça até artigos por mês ao ser assinante do Observador

Partilhe os seus artigos preferidos com os seus amigos.
Quem recebe só precisa de iniciar a sessão na conta Observador e poderá ler o artigo, mesmo que não seja assinante.

Este artigo foi-lhe oferecido pelo nosso assinante . Assine o Observador hoje, e tenha acesso ilimitado a todo o nosso conteúdo. Veja aqui as suas opções.

Atingiu o limite de artigos que pode oferecer

Já ofereceu artigos este mês.
A partir de 1 de poderá oferecer mais artigos aos seus amigos.

Aconteceu um erro

Por favor tente mais tarde.

Atenção

Para ler este artigo grátis, registe-se gratuitamente no Observador com o mesmo email com o qual recebeu esta oferta.

Caso já tenha uma conta, faça login aqui.