Recentemente passei pelo cansativo processo de alterar todas as minhas senhas para algo mais seguro. Fiz o que geralmente é recomendado hoje em dia - criei 16 caracteres, incluindo símbolos, números, letras maiúsculas, minúsculas, etc., até que o produto final parecesse mais ou menos uma sequência aleatória de dados.
E então me deparei com o seguintequadrinhos xkcd, o que basicamente me diz que é melhor usar apenas algumas palavras consecutivas, pois isso terá 99% de segurança prática e, ao mesmo tempo, será mais fácil de lembrar.
Então, minha pergunta é: quão correta é essa história em quadrinhos?
Responder1
Sim e não. Tem havido muita discussão no Security.SE sobre o assunto. Vamos começar com uma citação deuma resposta de Jeff Goldberg:
O que os quadrinhos do XKCD não comunicam efetivamente é que a seleção de palavras deve ser (uniformemente) aleatória. Se você pedir aos humanos que escolham palavras aleatoriamente, terá uma forte tendência para substantivos concretos. Tais preconceitos podem e serão explorados.
Este aqui é provavelmente o ataque mais importante contra o esquema XKCD. Os humanos são terríveis em inventar qualquer coisa aleatória [carece de fontes]. "Eu amo meus cães e gatos maravilhosos"é certamente "longo" o suficiente, mas não é de forma alguma imprevisível.
(Além disso, Jeff também aponta que o esquema XKCD não é realmente original de Randall Munroe:
A ideia geral para senhas "semelhantes ao XKCD" remonta pelo menos aoS/Key senhas de uso únicodesde o início da década de 1980.
)
Oresposta mais votadanos lembra do fato de que precisamos saber contra o que estamos nos defendendo:
Um dos muitos motivos pelos quais não há conselhos consistentes sobre senhas é que tudo se resume a uma questão de modelagem de ameaças. Contra o que exatamente você está tentando se defender?
Por exemplo: você está tentando se proteger contra um invasor que tem como alvo específico você e conhece seu sistema de geração de senhas? Ou você é apenas um entre milhões de usuários em algum banco de dados vazado? Você está se defendendo contra quebra de senha baseada em GPU ou apenas contra um servidor web fraco? Você está em um host infectado por malware?
Acho que você deve presumir que o invasor conhece seu método exato de geração de senhas e está apenas atacando você. A história em quadrinhos xkcd assume em ambos os exemplos que todos os detalhes da geração são conhecidos.
Dê uma olhada nesta pequena lista. Se você se enquadra nesse perfil, então o esquema XKCD provavelmente é adequado para você:
1. A senha será utilizada em apenas um local.
2. Você se preocupa apenas em manter pessoas honestas e script kiddies fora de sua conta ou de seus dados.
3. Bem... realmente não existe um 3.
Para ser franco, a menos que você esteja disposto a usarDadospara gerar uma senha memorável, não se preocupe com o esquema XKCD para nada sério.Troy Hunt analisou isso há algum tempo. Como ele diz perto do final da postagem, o “melhor” conselho sobre senhas é usar senhas totalmente aleatórias e um gerenciador de senhas:
No total, estou monitorando cento e trinta contas. Muito poucas pessoas lerão isso e terão menos de 30 contas, mesmo que você não consiga pensar em todas elas agora (você consegue realmente se lembrar de todas as contas que já criou?) Seja honesto, adicione-as tudo e veja o que você consegue, mesmo aqueles que você não usa com frequência. E se você não tiver 30 contas agora, quanto tempo levará até que você tenha? Tendo passado recentemente pelo exercício de gerenciamento de senhas com meu pai, na casa dos 60 anos, e sem experiência em tecnologia, sei que, na pior das hipóteses, qualquer usuário on-line regular quase certamente terá mais contas do que consegue contar nos dedos das mãos e dos pés e, definitivamente, mais. do que eles podem aplicar sua memória.
Não tenho 130 contas, mas certamente tenho mais do que dedos das mãos e dos pés em meu gerenciador de senhas. Cada vez que altero a senha do meu computador de trabalho, levo cerca de três semanas de uso contínuo antes de poder memorizá-la. E essa é uma das talvez 2 a 4 senhas que eu digito manualmente! Tente aumentar isso para 30 a 100 contas e simplesmente não funciona.
Responder2
Quer senhas seguras - não apenas uma? Use um gerador e tenha suas senhas aleatórias tão longas e complicadas quanto possível - Edward Snowden afirma que a NSA pode tentar cerca de um bilhão de possibilidades por segundo, então é melhor você estar preparado :-) Em seguida, use um gerenciador de senhas para controlar todas as suas senhas. senhas.