É tão comum agora que todos nós fazemos isso sem pensar: crie uma senha com pelo menos x caracteres, tenha pelo menos um número e um símbolo e não seja seu primeiro ou último nome. Quer você esteja trabalhando ou criando um ID Apple, esses requisitos de senha para uma senha “forte” estão em todos os lugares.
Depois de criar uma nova senha em um site um dia, comecei a pensar em como todos os requisitos são diferentes estavam. Alguns sites querem senhas com no mínimo 3 caracteres e algumas impõem no mínimo 8. Alguns querem símbolos, outros não. Alguns se preocupam com seu nome e senhas anteriores, outros não. Então, qual senha é realmente forte?
Eu fiz alguma pesquisa e descobri duas coisas quando você está falando sobre alguém “quebrar” sua senha: em primeiro lugar, há a força da sua senha e em segundo lugar, há a força da criptografia que coloca a senha em código quando ela é armazenada.
Percebi rapidamente que todo o conceito de uma senha forte é muito matemático e que há vários estudos feitos sobre esse assunto. O que me chamou a atenção e que mencionarei neste post é de um Estudo Carnegie-Mellon de 2011.
Teste sua senha primeiro
Antes de entrarmos no que uma senha forte é, vamos ver quanto tempo levaria para quebrar sua senha supostamente forte. Para verificar isso, usaremos uma ferramenta no site do PassFault:
https://passfault.appspot.com/password_strength.html
Veja como funciona. Você digita sua senha e clica em Analisar. Ela tem duas opções ocultas por padrão, mas você pode clicar em Mostrar opções. Vamos explicar o que eles significam.
Cracking Hardware padrão para um atacante de senhas de US $ 900, que seria possível para um hacker legítimo. Eles também têm a opção de escolher um invasor de senhas de US $ 180.000, que os chineses podem usar se for caro. O menu suspenso Proteção por senha oferece algumas opções para o tipo de criptografia usado para armazenar a senha. Microsoft Windows System é o mais fraco, não é surpresa. Você tem então o ponto de acesso WPA sem fio, o UNIX SHA1, o Blowfish UNIX e 100 rodadas de SHA1.
Eu tentei usar minha senha forte em alguns sites e fiquei chocado ao ver que ela poderia estar quebrada em 1 dia!
Uau, isso é muito ruim. Então escolhi as opções de criptografia mais fortes (Unix Blowfish e 100 rodadas de SHA1) e fiquei mais feliz em ver que os resultados levariam mais de um dia: 1 ano e 7 meses para Unix Blowfish e 2 meses e 2 dias com 100 rodadas de SHA1 . No entanto, com o invasor de senha de US $ 180.000, ele caiu para 11 dias e 3 dias, respectivamente. Não é aceitável eu pensei! Eu quero minha senha levar anos para quebrar mesmo com um cracker de senha super caro. Mas qual é a melhor maneira desde que eu estou usando uma senha de 9 caracteres com números e um símbolo?
O que torna uma senha forte?
É onde o estudo da Carnegie-Mellon lança alguma luz na coisa toda. Basicamente, o que eles descobriram é que quanto mais longa a senha você usa, mais forte ela é. Isso não significa necessariamente que a senha mais longa precisa ter muitos símbolos ou números, só precisa ser longa. Com 16 caracteres, tudo o que você deve evitar é usar palavras de dicionário super fáceis.
Não está convencido de que isso é possível? No site PassFault, use a seguinte senha, que tem apenas 15 caracteres e é super fácil de lembrar:
ilovemywifealot
Então, para as opções, escolha o invasor de senha de $ 180.000 e escolha o Encriptação mais fraca (Microsoft Windows) e é isto que obtém:
1 mês e 7 dias! É melhor do que minha senha ser quebrada em 1 dia. Então, o que há de errado com minha senha? Bem, aparentemente, se sua senha for mais curta, você precisará usar mais símbolos, letras aleatórias e números para fortalecê-la. Se for mais longo, como de 15 a 16 caracteres, você não precisa se preocupar em adicionar todos os tipos de números e símbolos. Com uma senha mais longa, você pode até usar mais palavras do dicionário e ainda será muito seguro. Obviamente, uma senha como hellohellohelloainda seria uma droga, apesar de ter 15 caracteres:
É uma droga, porque vai ser no dicionário e é a mesma palavra três vezes. Na minha primeira senha onde eu professo meu amor para minha esposa, a frase rapidamente começa a parecer um jargão para um computador e nenhum dicionário tem essa frase de 15 caracteres como uma palavra. Os dicionários têm palavras de dicionário, desde que você evite palavras de dicionário, você será bom para ir. Minha senha poderia ter sido ainda melhor se eu usasse o nome da minha esposa ou um apelido para ela em vez da palavra "esposa". Obter a idéia?
Obviamente, se você pode colocar um número de símbolo em uma senha longa também, então a senha se torna ainda mais ridiculamente forte. Por exemplo, digamos que coloquei um ponto de exclamação na frente da senha da minha esposa e adicionei um número ao final. Então quanto tempo levaria para quebrar com as mesmas opções:
Vaca sagrada! Então passou de 1 mês a 7 dias para impressionantes 4 séculos e 1 década !!! Sim séculos !! Agora, essa é uma senha segura e não é muito difícil de lembrar. Portanto, verifique sua senha usando essa ferramenta on-line gratuita e, se sua senha estiver sendo quebrada em alguns dias, talvez seja hora de pensar em algo novo, especialmente em suas informações confidenciais, como senhas bancárias, etc.
Lembre-se, muitos desses sites on-line são invadidos o tempo todo, então sua senha nunca é segura. No entanto, se você usar uma senha realmente forte, mesmo se a criptografia for muito fraca, levaria uma eternidade para um super computador quebrá-la! Se você tentou sua senha no site enquanto lê este post, nos informe nos comentários quanto tempo levaria para decifrá-lo. Aproveite!