Usando senhas

Posted on by yzakius

Este texto está longe de ser um guia. São apenas notas de alguns sites lidos, servindo para posteriores consultas.

Antes de tudo a sugestão é ler a poesia “Senhas“.

Dicas Gerais

  • Não repetir senhas importantes;
  • Usar um chaveiro de senhas;
  • Entender a diferença (principalmente para o uso) entre passwords (curtas, boas para logins) e passphrases (longas, boas para encriptação).

Pontos para uma boa senha (tradução livre, do método diceware – mais abaixo)

  • Apenas você saiba;
  • Grande o suficiente para ser segura;
  • Difícil de adivinhar – ainda por alguém que te conheça bem;
  • Fácil para lembrar;
  • Fácil para você escrever precisamente.

Entropia

Um conceito matemático que mede o quão é imprevisível a nossa mensagem.
Eu: algo a ver com dados aleatórios.

Chaveiros

Tem por função guardar senhas que podem ser difíceis de serem lembradas. Possui 2 pontos positivos:

  • Facilidade de se ter uma senha para cada serviço, evitando que a quebra de um serviço acarrete no comprometimento dos outros;
  • Força da senha, pode ser usada entropia e caracteres especiais como pontuação.

Um software indicado no boletim antivigilância é o keepass. Eu uso o keepassx que é crossplataform.

Quando falamos em “quebra de serviço” nos referimos ao vazamento de um banco de dados que contenham e-mails/logins e senhas. Caso você use estes mesmos dados para vários serviços, quando um destes vazam, os outros não são comprometidos. Para saber se algum dado seu foi vazado visite o “have I been pwned“.

Cuidados com o Chaveiro

  • Guardar na nuvem? Aqui perdemos um pouco de segurança, pois na nuvem o arquivo mestre fica mais vulnerável;
  • A senha mestra deve ser a mais forte possível, se for guardar o arquivo em nuvem tem que ser ainda mais;
  • Cuidado adicional nos backups para não sobrescrever ou apagar o arquivo do chaveiro;
  • Um nível a mais: criar chaveiros separados

Métodos

Em um artigo o antivigilância levanta problemáticas com um método presente no XKCD e indica o Diceware (que também me foi indicado por um conhecido). Neste outro artigo o mesmo site explica um pouco mais sobre os dois métodos. Veremos agora os prós e contras:

XKCD – o “método” surgiu em um quadrinho onde a proposta é criar uma senha que seja de fácil memorização mas, que não tenha sentido para outras pessoas. O problema desta forma é que a subjetividade humana pode “nos trair”. Será possível criar algo realmente sem sentido para os outros, tendo sentido pra gente? E se, de alguma forma, nos conhecerem bem? Como fica?

Diceware – o diceware torna as coisas mais randômicas. Um método que torna as senhas mais seguras, mesmo que a pessoa não saiba criptografia/matemática. Há esta página com o guia do método. Ele funciona da seguinte forma: você deve rolar um dado 5 vezes(ou 5 dados) e anotar os números que dão. Depois de anotado é só recorrer à lista de palavras e ir gerando sua senha. Isso ajuda a eliminar a subjetividade colocando o acaso para escolher a sua senha.

Minha experiência com o uso do diceware é ter senhas grandes e fáceis de memorizar. Parecem poesias dadaístas ;). Vou deixar mais alguns links sobre esse método: