Senhas fracas são uma grande falha na segurança do computador devido à falta de "entropia" ou aleatoriedade. Por exemplo, quantas vezes você usou o nome de um animal de estimação ou parente ou rua em uma senha, ou talvez o número "1"? Não é muito aleatório, não é? 😃 Pior ainda, se as senhas forem reutilizadas entre os serviços, isso aumenta seu risco de segurança. Isso não é teórico, isso já aconteceu.
O fato é que os humanos são terríveis em lembrar combinações aleatórias de letras e números, mas somos ótimos em lembrar frases de palavras. É aí que entra o Diceware. Uma das melhores maneiras de criar uma senha aleatória, mas memorável, é usar "Diceware". Isso envolve literalmente jogar dados e combinar os números resultantes com uma lista contendo várias palavras, cada uma identificada por um número de cinco dígitos e sendo relativa a um idioma.
No contexto de um computador podemos definimos uma passphrase como sendo um monte de palavras e caracteres que você digita para que ele saiba com certeza que aquela pessoa que digitou a cadeia de caracteres é realmente você. A maioria dos programas de segurança permite que você insira uma passphrase em vez de apenas uma senha curta para proteção adicional contra invasores. Alguns programas também usam sua passphrase para formar uma chave criptográfica para criptografar seus dados. Aqui vão alguns tópicos sobre esse assunto:
- Como muitos sites permitem que você redefina sua senha apenas com verificação de e-mail, proteger seu login ou conta de e-mail é fundamental.
- As versões mais recentes de sistemas operacionais populares, incluindo Windows, MacOS e Linux, permitem que você use passphrase mais longas para identificação de login.
- Programas populares de gerenciador de senhas exigem uma senha mestra ou passphrase para proteger os dados que armazenam.
- Moedas digitais, como BTC, usam passphrases para proteger suas moedas contra apropriação indébita.
- O popular programa de criptografia PGP de Phil Zimmermann exige que você crie uma passphrase que você insere sempre que assinar ou descriptografar mensagens. O mesmo acontece com a versão de código aberto, GnuPG.
- Passphrases são usadas com programas de criptografia de disco, como PGPdisk e FileVault da Apple. Muitas organizações exigem criptografia de disco em laptops para atender aos requisitos regulamentares de proteção de informações confidenciais.
- Usar uma passphrase curta como resposta a uma "pergunta de segurança" obrigatória (como "Em que cidade você nasceu?") protege você contra tentativas de descobrir sua resposta pesquisando seus dados online.
Passphrases diferem das senhas apenas no comprimento. As senhas são geralmente curtas, de seis a doze caracteres. Senhas curtas podem ser quebradas se os bancos de dados que as organizações usam para armazenar dados de validação forem roubados, o que acontece com muita frequência. As Passphrases geralmente são muito mais longas – normalmente de 25 a 64 caracteres (incluindo espaços). Seu maior comprimento torna as passphrases mais seguras.
Why use Passphrases?
A palavra "passphrase" é usada para transmitir a ideia de que uma senha, que é uma única palavra, é muito curta para protegê-lo e que usar uma frase mais longa é muito melhor. O comprimento aumentado pode permitir um número maior de possibilidades em geral, mesmo se você usar uma passphrase feita de palavras aleatórias para ajudá-lo a se lembrar dela. Passphrases feitas de palavras escolhidas aleatoriamente podem ser fáceis de lembrar e difíceis para outra pessoa adivinhar, que é o que queremos.
Os computadores agora são rápidos o suficiente para adivinhar rapidamente senhas com menos de dez ou mais caracteres - e às vezes um pouco mais. Isso significa que senhas curtas de qualquer tipo, mesmo as totalmente aleatórias como nQ\m=8*x ou !s7e&nUY ou gaG5^bG, podem ser muito fracas, especialmente para configurações em que um invasor pode tentar rapidamente um número ilimitado de tentativas. Isso não é necessariamente verdade para uma conta online, onde a velocidade e a quantidade de palpites serão limitadas, mas pode ser verdade em outros casos (por exemplo, se alguém pegar seu dispositivo e estiver tentando decifrar sua senha de criptografia).
How to choose a good Passphrase?
Escolher uma boa passphrase é uma das coisas mais importantes que você pode fazer para preservar a privacidade dos dados do computador e das mensagens de e-mail. Uma passphrase deve ser:
- Conhecido apenas por você.
- Longo o suficiente para ser seguro.
- Difícil de adivinhar – mesmo por alguém que o conhece bem.
- Fácil para você lembrar.
- Fácil para você digitar com precisão.
When to use a Passphrase
Sua passphrase é especialmente adequada quando usada diretamente para criptografar informações, como para criptografia de disco completo em seu laptop ou dispositivo móvel. O grande número de possibilidades torna muito mais difícil para alguém quebrar, mesmo que pegue seu dispositivo e use hardware de quebra de criptografia. Outro ótimo uso é a ideia de passphrases para uma chave de criptografia (como sua chave PGP ou SSH) ou, especialmente, para desbloquear um aplicativo de gerenciador de senhas ou cofre de senhas.
Ela deve ser usada apenas para uma única finalidade e, especialmente, não deve ser usada para mais de uma conta online. Às vezes, bancos de dados de senhas ou sites são comprometidos. Se você reutilizar uma passphrase e ela acabar vazando em uma violação de dados ou descoberta de outra forma, ela poderá ser usada para tentar acessar suas outras contas.
Diceware é uma técnica que usa dados para produzir texto aleatório para senhas e outros usos. O método Diceware fornece uma maneira fácil de criar uma senha forte e fácil de lembrar.
O nível de imprevisibilidade de uma senha do Diceware pode ser facilmente calculado: cada palavra adiciona 12,9 bits de entropia à senha (ou seja, log2(6)^5 bits). Originalmente, em 1995, o criador do Diceware, Arnold Reinhold, considerou cinco palavras (64,6 bits) o comprimento mínimo necessário para usuários comuns. No entanto, em 2014 Reinhold passou a recomendar o uso de pelo menos seis palavras (77,5 bits).
Esse nível de imprevisibilidade pressupõe que um invasor em potencial saiba três coisas: que o Diceware foi usado para gerar a senha, a lista de palavras específica usada e exatamente quantas palavras compõem a senha. Se o invasor tiver menos informações, a entropia pode ser maior que 12,9 bits por palavra.
Para usar a lista Diceware, você precisará de um ou mais dados comuns de seis lados. Os dados vêm com muitos jogos de tabuleiro e são vendidos separadamente em lojas de brinquedos, passatempos e mágicas, bem como online. Não use um programa de computador ou gerador de dados eletrônicos. Não há uma maneira fácil de ter certeza de que eles são aleatórios o suficiente.
1 - Baixe a wordlist do diveware para o idioma a sua escolha. 2 - Decida quantas palavras você quer em sua passphrase. Uma passphrase de cinco palavras fornece um nível de segurança muito maior do que as senhas simples que a maioria das pessoas usa. Recomendamos um mínimo de seis palavras para uso com GPG, segurança wireless e programas de criptografia de arquivos. Uma passphrase de sete, oito ou nove palavras é recomendada para usos de alto valor, como criptografia de disco inteiro, BTC e similares. 3 - Agora jogue os dados e anote os resultados em um pedaço de papel. Escreva os números em grupos de cinco. Repita o movimento anotando esse grupo de cinco dígitos o quanto de palavras você quiser em sua passphrase. Você pode rolar um dado cinco vezes ou rolar cinco dados uma vez, ou qualquer combinação entre eles. Se você rolar vários dados ao mesmo tempo, leia os dados da esquerda para a direita. 4 - Procure cada número de cinco dígitos na lista Diceware e encontre a palavra ao lado dele. 5 - Quando terminar, as palavras que você encontrou são sua nova senha. Memorize-os e, em seguida, destrua o pedaço de papel ou guarde-o em um local realmente seguro. Isso é tudo o que há para isso!
Uma lista de palavras Diceware é qualquer lista de 6^5=7776 palavras únicas, de preferência aquelas que o usuário achará fáceis de soletrar e lembrar. O conteúdo da lista de palavras não precisa ser protegido ou ocultado de forma alguma, pois a segurança de uma passphrase do Diceware está no número de palavras selecionadas e no número de palavras de onde cada palavra selecionada pode ser extraída.
Algumas dicas
- Para máxima segurança, certifique-se de estar sozinho e feche as cortinas. Escreva em uma superfície dura – não em um bloco de papel. Depois de memorizar sua passphrase, queime suas anotações, pulverize as cinzas e jogue-as no vaso sanitário.
- Se você estiver usando uma passphrase para criptografia de arquivos, recomendamos que mantenha uma cópia anotada em um local seguro. Se você não fizer isso e esquecer sua passphrase, seus arquivos serão perdidos para sempre.
- Recomendamos que você use a passphrase exatamente como gerada. Se você quiser uma passphrase mais forte, selecione uma palavra adicional usando o método diceware.
- Como algumas palavras na lista de diceware têm dois caracteres ou menos, é possível obter uma passphrase muito curta. Se a sua passphrase, incluindo os espaços entre as palavras, tiver menos de 19 caracteres, recomendamos que você comece de novo e crie uma nova passphrase.
- Para segurança extra sem adicionar outra palavra, insira um caractere especial ou dígito escolhido aleatoriamente em sua senha.
Há muitas recomendações diferentes disponíveis na Internet sobre como escolher uma passphrase. Alguns são bons, alguns são ruins, mas quase todos exigem que o usuário julgue o que será difícil para outra pessoa adivinhar. Alguns não dão orientação sobre como fazer isso, outros fazem cálculos matemáticos complexos. Por outro lado, o método Diceware de gerar passphrase é:
- Fácil de aprender e usar.
- Muito seguro.
- Totalmente prescritivo – dizemos exatamente o que fazer em cada etapa do processo.
- Grátis – não é necessário nenhum software ou hardware de computador, apenas a lista de palavras Diceware e alguns dados comuns.
A natureza prescritiva do Diceware é muito importante para novos usuários de criptografia.
How often should I change my passphrase?
Você deve alterar sua passphrase sempre que alterar sua chave de criptografia ou achar que ela pode ter sido comprometida. Há pouca vantagem em alterá-lo com mais frequência.
Should I write down my passphrase?
Esta é uma pergunta muito importante. Muitos conselhos dizem que nunca anote sua passphrase em nenhuma circunstância. Discordo totalmente, assim como outros especialistas em segurança. A maioria das pessoas tem mais medo de esquecer sua própria passphrase do que de roubá-la. Como resultado, eles tendem a escolher passphrases muito fracas.
Além disso, muitas pessoas precisam de dezenas de passphrases ou frases secretas para diferentes programas e sites. Lembrar de todos eles pode ser difícil, principalmente aqueles que são usados com pouca frequência. Para a maioria das pessoas, é melhor escolher passphrases fortes, anotá-las e mantê-las em um local muito seguro.