Todos já estão carecas de saber as recomendações para a criação de uma senha forte e segura: nunca utilizar nomes, sequências ou coisas óbvias demais; usar caracteres especiais, trocar letras por números e misturar maiúsculas e minúsculas; trocar a senha com regularidade, não revelá-la para ninguém e evitar utilizá-la em vários serviços diferentes, e por aí vai.
Porém, acredite ou não, ainda estamos cometendo muitos equívocos na hora de compor a nossa senha – a camada de proteção mais utilizada nos serviços que usamos em nosso dia a dia. Portanto, vamos explorar um pouco mais esse assunto, explicando quais são os típicos erros que fazemos e por que os hackers ainda conseguem invadir nossas contas mesmo quando seguimos dezenas de recomendações.
Por que estamos errando?
Antes de tudo, temos um desafio a propor aos nossos leitores. Analise as senhas a seguir: elas parecem ser fortes e foram criadas seguindo as principais recomendações quando o assunto é a confecção de um código seguro:
- Zdhkqjbu83
- 74Xmbgdapw
- Bmukwes3901!
- lw;62v74y
Todas as opções possuem nove caracteres ou mais, além de uma mistura de letras maiúsculas, minúsculas, símbolos especiais e números. Porém, mesmo assim, elas são consideradas fracas e “fáceis de quebrar” de acordo com uma lógica bastante óbvia seguida pela maioria dos usuários: padrão de composição de senha.
O grande erro, portanto, não está em não seguir as recomendações dos especialistas, mas na tendência humana de querer ajustar as senhas para algo mais organizado e, o pior de tudo, dentro de um padrão. Colocar a primeira letra em caixa alta, por exemplo, é algo que existe na linguagem escrita, mas não há obrigatoriedade nenhuma de permanecer na criação de um código.
Padrões mais usados (e que deveriam ser evitados)
Um estudo requisitado pela DARPA (sigla em inglês para Agência de Projetos de Pesquisa Avançada de Defesa) para a empresa de consultoria em segurança KoreLogic em 2013 revelou algo surpreendente. Foi descoberto que, entre os milhares de funcionários das empresas que compõem a Fortune 100 (ranking anual com as 100 melhores empresas do mundo para se trabalhar), quase metade deles utilizam apenas cinco tipos de padrões diferentes para compor suas senhas.
Além disso, o estudo também concluiu que 85% deles baseiam-se em apenas em 100 padrões descobertos pela KoreLogic (e divulgados através desta página). A seguir, a empresa de consultoria revela quais são os três padrões mais utilizados por essas pessoas (e provavelmente o mundo todo):
- Uma letra maiúscula, seguida de cinco letras minúsculas e então dois dígitos – (exemplo: Brasil45);
- Uma letra maiúscula, seguida de seis letras minúsculas e então dois dígitos – (exemplo: Brazuca13);
- Uma letra maiúscula, seguida de três letras minúsculas e então quatro dígitos – (exemplo: Braz1234).
Erros mais comuns
Apesar de ser uma informação útil e reveladora, não é recomendável trocar as suas senhas (caso você utilize algum dos exemplos mencionados acima) apenas para evitar o uso desses padrões. A KoreLogic ainda lista cinco dos erros mais comuns que cometemos na hora de compor um código que tenta ser forte, mas se torna uma “presa” fácil para os hackers:
- Começar com uma letra maiúscula seguida de caracteres minúsculos;
- Quando uma senha não é longa o suficiente para atender o critério de comprimento, adicionar algumas letras à palavra-base;
- Colocar dígitos, especialmente dois ou quatro, no final ou começo de uma palavra;
- Quando um caractere especial é necessário, usar “!”no final da palavra;
- Não usar dois caracteres especiais na mesma senha.
Recomendações que você deveria seguir
Algumas recomendações deixadas pelo site State of the Net também podem evitar o constrangimento e todos os outros problemas de ter sua conta hackeada. As dicas, obviamente, não dizem respeito a um padrão de senha, pois, assim que esse formato é divulgado, ele pode passar a ser alvo de pessoas mal-intencionadas na hora de tentar burlar o acesso a algum serviço.
- Evitar utilizar serviços para a verificação da força de senha (exemplos: Microsoft Password Checker, Teste de Senha, How Secure is my Password e Kaspersky Secure Password Check); segundo o site, essas plataformas podem falhar em verificar a verdadeira segurança do código;
- Evitar começar a senha com letras maiúsculas – o melhor mesmo, na verdade, é evitar começar com letras;
- Criar um acrônimo usando a primeira letra de cada palavra de uma frase memorável. Por exemplo: t2cmlp,@yh (“Try to crack my latest password, all you hackers”, ou “Tentem quebrar minha última senha, todos vocês, hackers”, traduzido);
- Resistir à tendência natural de imitar palavras ou frases familiares;
- Usar vários caracteres especiais na mesma senha;
- Evitar colocar números pertos um do outro.
Bônus: as 25 senhas mais utilizadas em 2013
Como recompensa para aqueles que leram o texto até aqui, divulgamos o levantamento anual da SplashData com as 25 senhas mais utilizadas no mundo. A companhia informa que essa lista é resultado de milhões de arquivos com os códigos que foram vazados no ano anterior ao que a pesquisa compreende.
Logo após a senha, está indicada a sua posição em relação ao ranking de 2012 (se é nova, se subiu, se desceu ou se manteve na mesma colocação):
- 123456 – subiu 1
- Password – desceu 1
- 12345678 – manteve
- qwerty – subiu 1
- abc123 – desceu 1
- 123456789 – nova
- 111111 – subiu 2
- 1234567 – subiu 5
- iloveyou – subiu 2
- adobe123 – nova
- 123123 – subiu 5
- admin – subiu 2
- 1234567890 – nova
- letmein –desceu 7
- photoshop – nova
- 1234 – nova
- monkey – desceu 11
- shadow – manteve
- sunshine – desceu 5
- 12345 – nova
- password1 – subiu 4
- princess – nova
- azerty – nova
- trustno1 – desceu 12
- 000000 – nova