Este artigo é uma versão traduzida e adaptada do artigo da
EFF.
Porque recordar muitas senhas diferentes é difícil, as pessoas muitas vezes reutilizam um pequeno número de senhas através de muitas contas diferentes, sites e serviços. Hoje, os usuários são constantemente convidados a criar novas senhas mas muitas pessoas acabam re-utilizando as mesmas dezenas ou mesmo centenas de vezes.
Reutilizar senhas é uma prática de segurança excepcionalmente ruim, porque se um intruso se apodera de uma senha, muitas vezes ele vai tentar usar essa senha em várias contas pertencentes à mesma pessoa. Se essa pessoa tiver a mesma senha reutilizada várias vezes, o atacante será capaz de acessar várias contas. Isso significa que uma determinada senha pode ser tão segura quanto o serviço menos seguro, onde ele foi usado.
Evitar a reutilização de senha é uma medida de segurança valiosa, mas você não será capaz de se lembrar de todas as suas senhas, se cada um é diferente. Felizmente, existem ferramentas de software para ajudar com isso, um gerenciador de senhas (também chamado de seguro de senha) é uma aplicação de software que ajuda a armazenar um grande número de senhas com segurança. Isto torna mais prático para evitar usar a mesma senha em vários contextos. O gerenciador de senhas protege todas as suas senhas com uma única senha master, assim você só tem que lembrar uma coisa. As pessoas que usam um gerenciador de senhas já não sabem realmente as senhas para as suas diferentes contas; o gerenciador de senhas pode lidar com todo o processo de criar e lembrar as senhas para elas.
Por exemplo, KeePassX é uma ferramenta open-source, gratuito que você mantenha em seu desktop. É importante notar que, se você estiver usando KeePassX, não vai salvar automaticamente as alterações. Isto significa que se ele falhar depois que você adicionou algumas senhas, você pode perdê-las para sempre. Você pode mudar isso nas configurações.
Usando um gerenciador de senhas também ajuda você a escolher senhas fortes que são difíceis para um atacante de adivinhar. Isso também é importante; muitas vezes os usuários de computador, escolher senhas curtas e simples que um invasor pode facilmente adivinhar, incluindo "password1", "12345", a data de nascimento, ou de um amigo, esposo, ou o nome do animal de estimação. Um gerenciador de senhas pode ajudá-lo a criar e usar uma senha aleatória, sem padrão ou uma estrutura que não será adivinhação. Por exemplo, um gerenciador de senhas é capaz de escolher senhas como "vAeJZ Q3p $ Kdkz / CRHzj0v7,!", Que um ser humano seria improvável que se lembre ou palpite. Não se preocupe;. O gerenciador de senhas pode lembre-se estes para você!
Sincronizando suas senhas entre diversos dispositivos
Você pode usar suas senhas em mais de um dispositivo, como o seu computador e seu smartphone. Muitos gerenciadores de senha têm um recurso de sincronização de senha embutida. Quando você sincroniza o seu arquivo de senhas, será atualizado em todos os seus dispositivos, de modo que se você adicionou uma nova conta no seu computador, você ainda será capaz de acessar a partir do seu telefone. Outros gerenciadores de senha irá oferecer para armazenar suas senhas "na nuvem", o que quer dizer, eles vão armazenar suas senhas criptografadas em um servidor remoto, e quando você precisa deles em um laptop ou celular, eles vão recuperar e decifrá-los para você automaticamente. Gerenciadores de senha como este são mais convenientes, mas o trade-off é que eles são um pouco mais vulneráveis a ataques. Se você acabou de manter suas senhas em seu computador, em seguida, alguém que possa assumir o seu computador pode ser capaz de obtê-los. Se você mantê-los na nuvem, o atacante pode direcionar essa também. Normalmente, não é um compromisso que você precisa se preocupar com a não ser que o atacante tem poderes legais sobre a empresa gerenciador de senhas ou é conhecido por empresas.
Escolhendo senhas fortes
Existem algumas senhas que precisam ser memorizadas e que precisam ser particularmente forte: aquela que criptografa todos os seus dados. Isso inclui, pelo menos, as senhas para o seu dispositivo, a criptografia como criptografia de disco completo, e a senha mestra para o seu gerenciador de senhas.
Senhas curtas de qualquer espécie, mesmo os totalmente aleatórios como nQ \ m = 8 * x ou s7e! & Nuy ou "gaG5 ^ BG, não são fortes o suficiente para o uso com criptografia hoje.
Existem várias maneiras de criar uma senha forte e memorável; o método mais simples e infalível é de Arnold Reinhold "Diceware."
O método de Reinhold envolve dados físicos rolantes para escolher aleatoriamente várias palavras de uma lista de palavras; em conjunto, estas palavras irá formar sua senha. Para criptografia de disco (e segura senha), nós recomendamos selecionar um mínimo de seis palavras.
Quando você usa um gerenciador de senhas, a segurança de suas senhas e sua senha mestra é tão forte quanto a segurança do computador onde o gerenciador de senhas é instalado e usado. Se o seu computador ou dispositivo está comprometido e spyware é instalado, o spyware pode assistir você digitar sua senha mestre e poderia roubar o conteúdo do cofre de senha. Por isso, ainda é muito importante para manter o seu computador e outros dispositivos limpo do software malicioso ao usar um gerenciador de senhas.
Uma palavra sobre Questões de Segurança
Esteja ciente das "questões de segurança" (como "O que é o nome de solteira da sua mãe?" Ou "Qual era o nome do seu primeiro animal de estimação?") Que os sites usam para confirmar a sua identidade, se você esquecer a senha. As respostas honestas para muitas questões de segurança são publicamente fatos descobertos que um determinado adversário pode facilmente encontrar e, portanto, ignorar sua senha inteiramente. Por exemplo, o candidato à vice-presidência dos EUA Sarah Palin teve sua conta Yahoo! hackeada desta maneira. Em vez disso, dar respostas fictícias que, como sua senha, ninguém sabe, mas você. Por exemplo, se a pergunta de senha pede-lhe o nome de seu animal de estimação, você pode ter postado fotos em sites de compartilhamento de fotos com legendas como "Aqui está uma foto do meu gato bonito, spot!" Em vez de usar "Spot" como a sua resposta de recuperação de senha , você pode escolher "Rumplestiltskin." não use as mesmas senhas ou respostas da pergunta de segurança para várias contas em diferentes sites ou serviços. Você deve armazenar suas respostas fictícias no seu cofre senha também.
Pense em locais onde pergunta de segurança é utilizado. Considere verificar suas configurações e alterar suas respostas.
Lembre-se de manter um backup de seu cofre senha! Se você perder a sua senha em segurança em um acidente (ou se você tiver seus dispositivos tirado de você), pode ser difícil de recuperar suas senhas. Programas seguros senha geralmente têm uma maneira de fazer um backup separado, ou você pode usar o programa de backup regular.
Normalmente você pode redefinir suas senhas, pedindo aos serviços para lhe enviar um e-mail de recuperação de senha para o seu endereço de e-mail registrado. Por essa razão, você pode querer memorizar a senha para esta conta de e-mail também. Se você fizer isso, então você vai ter uma forma de redefinição de senhas sem depender de seguro de senha.
Autenticação de múltiplos fatores e senhas de uso único
Muitos serviços e ferramentas de software permitem que você use a autenticação de dois fatores, também chamado de autenticação de dois passos ou em duas etapas. Aqui a idéia é que, a fim de efetuar o login, você precisa estar de posse de um determinado objeto físico: geralmente um telefone celular, mas, em algumas versões, um dispositivo especial chamado de token de segurança. Usando a autenticação de dois fatores garante que, mesmo se a sua senha para o serviço é hackeado ou roubado, o ladrão não será capaz de logar, a menos que eles também têm posse ou controle de um segundo dispositivo e os códigos especiais que só ele pode criar.
Normalmente, isso significa que um ladrão ou um hacker teria de controlar tanto o seu laptop e seu telefone antes que eles tenham pleno acesso às suas contas.
Porque isso só pode ser configurado com a cooperação do operador de serviço, não há nenhuma maneira de fazer isso por si mesmo se você estiver usando um serviço que não oferece isso.
A autenticação de dois fatores usando um telefone celular pode ser feito de duas maneiras: o serviço pode enviar-lhe uma mensagem de texto SMS para o seu telefone sempre que você tente fazer login (fornecendo um código de segurança extra que você precisa digitar), ou o seu telefone pode executar um aplicativo autenticador que gera códigos de segurança de dentro do próprio telefone. Isso vai ajudar a proteger a sua conta em situações em que um atacante tem a sua senha, mas não tem acesso físico ao seu telefone celular.
Alguns serviços, como o Google, também permitem que você gerar uma lista de senhas de uso único. Estas são destinadas a ser impressa ou escrita no papel e levado com você (embora em alguns casos, poderá ser possível memorizar um pequeno número deles). Cada uma dessas senhas funciona apenas uma vez, por isso, se um é roubado por spyware quando você entra nele, o ladrão não será capaz de usá-lo para qualquer coisa no futuro.
Se você ou sua organização executa sua própria infra-estrutura de comunicação, como a seus próprios servidores de e-mail, não há software disponível gratuitamente que pode ser usado para ativar a autenticação de dois fatores para acesso a seus sistemas. Pergunte a seus administradores de sistemas para procurar software oferecendo uma implementações do padrão aberto "Time-Based One-Time Passwords" ou RFC 6238.
As ameaças de dano físico ou Prisão
Finalmente, entendemos que há sempre uma maneira que os atacantes podem obter sua senha: Eles podem ameaçá-lo diretamente com danos físicos ou detenção. Se você tem medo esta pode ser uma possibilidade, considere maneiras em que você pode esconder a existência de dados ou dispositivo que você está, ao invés de confiança que você nunca vai entregar a senha de protecção de senha. Uma possibilidade é a de manter pelo menos uma conta que contém informações em grande parte sem importância, cuja senha você pode divulgar rapidamente.
Se você tem uma boa razão para acreditar que alguém pode ameaçá-lo para as suas senhas, é bom certificar-se de seus dispositivos são configurados para que ele não vai ser óbvio que a conta que você está revelando não é o "real". É a sua conta real mostrado na tela de login do seu computador, ou automaticamente exibida quando você abre um navegador? Se sim, você pode precisar reconfigurar as coisas para tornar a sua conta menos óbvia.
Em algumas jurisdições, como os Estados Unidos ou a Bélgica, você pode ser capaz de desafiar legalmente uma demanda para a sua senha. Em outras jurisdições, como o Reino Unido ou a Índia, as leis locais permitem ao governo para exigir a revelação. EFF tem informações detalhadas para quem viaja através das fronteiras dos Estados Unidos, que pretende proteger seus dados em seus dispositivos digitais em nossa privacidade Defendendo na guia de Fronteira dos EUA.
Por favor, note que a destruição intencional de provas ou de obstrução de uma investigação pode ser cobrado como um crime separado, muitas vezes com consequências muito graves. Em alguns casos, isso pode ser mais fácil para o governo para provar e permitir punições mais substancial do que o suposto crime originalmente sendo investigado.
