CERT.br

Centro de Estudos, Resposta e Tratamento de
Incidentes de Segurança no Brasil

Cartilha de Segurança para Internet

Ir para o conteúdo

8. Contas e senhas

[Contas e senhas]

Uma conta de usuário, também chamada de "nome de usuário", "nome de login" e username, corresponde à identificação única de um usuário em um computador ou serviço. Por meio das contas de usuário é possível que um mesmo computador ou serviço seja compartilhado por diversas pessoas, pois permite, por exemplo, identificar unicamente cada usuário, separar as configurações específicas de cada um e controlar as permissões de acesso.

A sua conta de usuário é de conhecimento geral e é o que permite a sua identificação. Ela é, muitas vezes, derivada do seu próprio nome, mas pode ser qualquer sequência de caracteres que permita que você seja identificado unicamente, como o seu endereço de e-mail. Para garantir que ela seja usada apenas por você, e por mais ninguém, é que existem os mecanismos de autenticação.

Existem três grupos básicos de mecanismos de autenticação, que se utilizam de: aquilo que você é (informações biométricas, como a sua impressão digital, a palma da sua mão, a sua voz e o seu olho), aquilo que apenas você possui (como seu cartão de senhas bancárias e um token gerador de senhas) e, finalmente, aquilo que apenas você sabe (como perguntas de segurança e suas senhas).

Uma senha, ou password, serve para autenticar uma conta, ou seja, é usada no processo de verificação da sua identidade, assegurando que você é realmente quem diz ser e que possui o direito de acessar o recurso em questão. É um dos principais mecanismos de autenticação usados na Internet devido, principalmente, a simplicidade que possui.

Se uma outra pessoa souber a sua conta de usuário e tiver acesso à sua senha ela poderá usá-las para se passar por você na Internet e realizar ações em seu nome, como:

  • acessar a sua conta de correio eletrônico e ler seus e-mails, enviar mensagens de spam e/ou contendo phishing e códigos maliciosos, furtar sua lista de contatos e pedir o reenvio de senhas de outras contas para este endereço de e-mail (e assim conseguir acesso a elas);
  • acessar o seu computador e obter informações sensíveis nele armazenadas, como senhas e números de cartões de crédito;
  • utilizar o seu computador para esconder a real identidade desta pessoa (o invasor) e, então, desferir ataques contra computadores de terceiros;
  • acessar sites e alterar as configurações feitas por você, de forma a tornar públicas informações que deveriam ser privadas;
  • acessar a sua rede social e usar a confiança que as pessoas da sua rede de relacionamento depositam em você para obter informações sensíveis ou para o envio de boatos, mensagens de spam e/ou códigos maliciosos.

8.1. Uso seguro de contas e senhas

Algumas das formas como a sua senha pode ser descoberta são:

  • ao ser usada em computadores infectados. Muitos códigos maliciosos, ao infectar um computador, armazenam as teclas digitadas (inclusive senhas), espionam o teclado pela webcam (caso você possua uma e ela esteja apontada para o teclado) e gravam a posição da tela onde o mouse foi clicado (mais detalhes na Seção 4.4 do Capítulo Códigos Maliciosos (Malware));
  • ao ser usada em sites falsos. Ao digitar a sua senha em um site falso, achando que está no site verdadeiro, um atacante pode armazená-la e, posteriormente, usá-la para acessar o site verdadeiro e realizar operações em seu nome (mais detalhes na Seção 2.3 do Capítulo Golpes na Internet);
  • por meio de tentativas de adivinhação (mais detalhes na Seção 3.5 do Capítulo Ataques na Internet);
  • ao ser capturada enquanto trafega na rede, sem estar criptografada (mais detalhes na Seção 3.4 do Capítulo Ataques na Internet);
  • por meio do acesso ao arquivo onde a senha foi armazenada caso ela não tenha sido gravada de forma criptografada (mais detalhes no Capítulo Criptografia);
  • com o uso de técnicas de engenharia social, como forma a persuadi-lo a entregá-la voluntariamente;
  • pela observação da movimentação dos seus dedos no teclado ou dos cliques do mouse em teclados virtuais.

Cuidados a serem tomados ao usar suas contas e senhas:

  • certifique-se de não estar sendo observado ao digitar as suas senhas;
  • não forneça as suas senhas para outra pessoa, em hipótese alguma;
  • certifique-se de fechar a sua sessão ao acessar sites que requeiram o uso de senhas. Use a opção de sair (logout), pois isto evita que suas informações sejam mantidas no navegador;
  • elabore boas senhas, conforme descrito na Seção 8.2;
  • altere as suas senhas sempre que julgar necessário, conforme descrito na Seção 8.3;
  • não use a mesma senha para todos os serviços que acessa (dicas de gerenciamento de senhas são fornecidas na Seção 8.4);
  • ao usar perguntas de segurança para facilitar a recuperação de senhas, evite escolher questões cujas respostas possam ser facilmente adivinhadas (mais detalhes na Seção 8.5);
  • certifique-se de utilizar serviços criptografados quando o acesso a um site envolver o fornecimento de senha (mais detalhes na Seção 10.1 do Capítulo Uso seguro da Internet);
  • procure manter sua privacidade, reduzindo a quantidade de informações que possam ser coletadas sobre você, pois elas podem ser usadas para adivinhar a sua senha, caso você não tenha sido cuidadoso ao elaborá-la (mais detalhes no Capítulo Privacidade);
  • mantenha a segurança do seu computador (mais detalhes no Capítulo Segurança de computadores);
  • seja cuidadoso ao usar a sua senha em computadores potencialmente infectados ou comprometidos. Procure, sempre que possível, utilizar opções de navegação anônima (mais detalhes na Seção 12.3 do Capítulo Segurança de computadores).

8.2. Elaboração de senhas

Uma senha boa, bem elaborada, é aquela que é difícil de ser descoberta (forte) e fácil de ser lembrada. Não convém que você crie uma senha forte se, quando for usá-la, não conseguir recordá-la. Também não convém que você crie uma senha fácil de ser lembrada se ela puder ser facilmente descoberta por um atacante.

Alguns elementos que você não deve usar na elaboração de suas senhas são:

Qualquer tipo de dado pessoal: evite nomes, sobrenomes, contas de usuário, números de documentos, placas de carros, números de telefones e datas1 (estes dados podem ser facilmente obtidos e usados por pessoas que queiram tentar se autenticar como você).
Sequências de teclado: evite senhas associadas à proximidade entre os caracteres no teclado, como "1qaz2wsx" e "QwerTAsdfG", pois são bastante conhecidas e podem ser facilmente observadas ao serem digitadas.
Palavras que façam parte de listas: evite palavras presentes em listas publicamente conhecidas, como nomes de músicas, times de futebol, personagens de filmes, dicionários de diferentes idiomas, etc. Existem programas que tentam descobrir senhas combinando e testando estas palavras e que, portanto, não devem ser usadas (mais detalhes na Seção 3.5 do Capítulo Ataques na Internet).

Alguns elementos que você deve usar na elaboração de suas senhas são:

Números aleatórios: quanto mais ao acaso forem os números usados melhor, principalmente em sistemas que aceitem exclusivamente caracteres numéricos.
Grande quantidade de caracteres: quanto mais longa for a senha mais difícil será descobri-la. Apesar de senhas longas parecerem, a princípio, difíceis de serem digitadas, com o uso frequente elas acabam sendo digitadas facilmente.
Diferentes tipos de caracteres: quanto mais "bagunçada" for a senha mais difícil será descobri-la. Procure misturar caracteres, como números, sinais de pontuação e letras maiúsculas e minúsculas. O uso de sinais de pontuação pode dificultar bastante que a senha seja descoberta, sem necessariamente torná-la difícil de ser lembrada.

Algumas dicas2 práticas que você pode usar na elaboração de boas senhas são:

Selecione caracteres de uma frase: baseie-se em uma frase e selecione a primeira, a segunda ou a última letra de cada palavra. Exemplo: com a frase "O Cravo brigou com a Rosa debaixo de uma sacada" você pode gerar a senha "?OCbcaRddus" (o sinal de interrogação foi colocado no início para acrescentar um símbolo à senha).
Utilize uma frase longa: escolha uma frase longa, que faça sentido para você, que seja fácil de ser memorizada e que, se possível, tenha diferentes tipos de caracteres. Evite citações comuns (como ditados populares) e frases que possam ser diretamente ligadas à você (como o refrão de sua música preferida). Exemplo: se quando criança você sonhava em ser astronauta, pode usar como senha "1 dia ainda verei os aneis de Saturno!!!".
Faça substituições de caracteres: invente um padrão de substituição baseado, por exemplo, na semelhança visual ("w" e "vv") ou de fonética ("ca" e "k") entre os caracteres. Crie o seu próprio padrão pois algumas trocas já são bastante óbvias. Exemplo: duplicando as letras "s" e "r", substituindo "o" por "0" (número zero) e usando a frase "Sol, astro-rei do Sistema Solar" você pode gerar a senha "SS0l, asstrr0-rrei d0 SSisstema SS0larr".

Existem serviços que permitem que você teste a complexidade de uma senha e que, de acordo com critérios, podem classificá-la como sendo, por exemplo, "muito fraca", "fraca", "forte" ou "muito forte". Ao usar estes serviços é importante ter em mente que, mesmo que uma senha tenha sido classificada como "muito forte", pode ser que ela não seja uma boa senha caso contenha dados pessoais que não são de conhecimento do serviço, mas que podem ser de conhecimento de um atacante.

Apenas você é capaz de definir se a senha elaborada é realmente boa!

[1] Qualquer data que possa estar relacionada a você, como a data de seu aniversário ou de seus familiares. voltar
[2] As senhas e os padrões usados para ilustrar as dicas, tanto nesta como nas versões anteriores da Cartilha, não devem ser usados pois já são de conhecimento público. Você deve adaptar estas dicas e criar suas próprias senhas e padrões. voltar

8.3. Alteração de senhas

Você deve alterar a sua senha imediatamente sempre que desconfiar que ela pode ter sido descoberta ou que o computador no qual você a utilizou pode ter sido invadido ou infectado.

Algumas situações onde você deve alterar rapidamente a sua senha são:

  • se um computador onde a senha esteja armazenada tenha sido furtado ou perdido;
  • se usar um padrão para a formação de senhas e desconfiar que uma delas tenha sido descoberta. Neste caso, tanto o padrão como todas as senhas elaboradas com ele devem ser trocadas pois, com base na senha descoberta, um atacante pode conseguir inferir as demais;
  • se utilizar uma mesma senha em mais de um lugar e desconfiar que ela tenha sido descoberta em algum deles. Neste caso, esta senha deve ser alterada em todos os lugares nos quais é usada;
  • ao adquirir equipamentos acessíveis via rede, como roteadores Wi-Fi, dispositivos bluetooth e modems ADSL (Asymmetric Digital Subscriber Line). Muitos destes equipamentos são configurados de fábrica com senha padrão, facilmente obtida em listas na Internet, e por isto, sempre que possível, deve ser alterada (mais detalhes no Capítulo Segurança de redes).

Nos demais casos é importante que a sua senha seja alterada regularmente, como forma de assegurar a confidencialidade. Não há como definir, entretanto, um período ideal para que a troca seja feita, pois depende diretamente de quão boa ela é e de quanto você a expõe (você a usa em computadores de terceiros? Você a usa para acessar outros sites? Você mantém seu computador atualizado?).

Não convém que você troque a senha em períodos muito curtos (menos de um mês, por exemplo) se, para conseguir se recordar, precisará elaborar uma senha fraca ou anotá-la em um papel e colá-lo no monitor do seu computador. Períodos muito longos (mais de um ano, por exemplo) também não são desejáveis pois, caso ela tenha sido descoberta, os danos causados podem ser muito grandes.

8.4. Gerenciamento de contas e senhas

Você já pensou em quantas contas e senhas diferentes precisa memorizar e combinar para acessar todos os serviços que utiliza e que exigem autenticação? Atualmente, confiar apenas na memorização pode ser algo bastante arriscado.

Para resolver este problema muitos usuários acabam usando técnicas que podem ser bastante perigosas e que, sempre que possível, devem ser evitadas. Algumas destas técnicas e os cuidados que você deve tomar caso, mesmo ciente dos riscos, opte por usá-las são:

Reutilizar as senhas: usar a mesma senha para acessar diferentes contas pode ser bastante arriscado, pois basta ao atacante conseguir a senha de uma conta para conseguir acessar as demais contas onde esta mesma senha foi usada.
  • procure não usar a mesma senha para assuntos pessoais e profissionais;
  • jamais reutilize senhas que envolvam o acesso a dados sensíveis, como as usadas em Internet Banking ou e-mail.
Usar opções como "Lembre-se de mim" e "Continuar conectado": o uso destas opções faz com que informações da sua conta de usuário sejam salvas em cookies que podem ser indevidamente coletados e permitam que outras pessoas se autentiquem como você.
  • use estas opções somente nos sites nos quais o risco envolvido é bastante baixo;
  • jamais as utilize em computadores de terceiros.
Salvar as senhas no navegador Web: esta prática é bastante arriscada, pois caso as senhas não estejam criptografadas com uma chave mestra, elas podem ser acessadas por códigos maliciosos, atacantes ou outras pessoas que venham a ter acesso ao computador.
  • assegure-se de configurar uma chave mestra;
  • seja bastante cuidadoso ao elaborar sua chave mestra, pois a segurança das demais senhas depende diretamente da segurança dela;
  • não esqueça sua chave mestra.

Para não ter que recorrer a estas técnicas ou correr o risco de esquecer suas contas/senhas ou, pior ainda, ter que apelar para o uso de senhas fracas, você pode buscar o auxílio de algumas das formas de gerenciamento disponíveis.

Uma forma bastante simples de gerenciamento é listar suas contas/senhas em um papel e guardá-lo em um local seguro (como uma gaveta trancada). Neste caso, a segurança depende diretamente da dificuldade de acesso ao local escolhido para guardar este papel (de nada adianta colá-lo no monitor, deixá-lo embaixo do teclado ou sobre a mesa). Veja que é preferível usar este método a optar pelo uso de senhas fracas pois, geralmente, é mais fácil garantir que ninguém terá acesso físico ao local onde o papel está guardado do que evitar que uma senha fraca seja descoberta na Internet.

Caso você considere este método pouco prático, pode optar por outras formas de gerenciamento como as apresentadas a seguir, juntamente com alguns cuidados básicos que você deve ter ao usá-las:

Criar grupos de senhas, de acordo com o risco envolvido: você pode criar senhas únicas e bastante fortes e usá-las onde haja recursos valiosos envolvidos (por exemplo, para acesso a Internet Banking ou e-mail). Outras senhas únicas, porém um pouco mais simples, para casos nos quais o valor do recurso protegido é inferior (por exemplo, sites de comércio eletrônico, desde que suas informações de pagamento, como número de cartão de crédito, não sejam armazenadas para uso posterior) e outras simples e reutilizadas para acessos sem risco (como o cadastro para baixar um determinado arquivo).
  • reutilize senhas apenas em casos nos quais o risco envolvido é bastante baixo.
Usar um programa gerenciador de contas/senhas: programas, como 1Password3 e KeePass4, permitem armazenar grandes quantidades de contas/senhas em um único arquivo, acessível por meio de uma chave mestra.
  • seja bastante cuidadoso ao elaborar sua chave mestra, pois a segurança das demais senhas depende diretamente da segurança dela;
  • não esqueça sua chave mestra (sem ela, não há como você acessar os arquivos que foram criptografados, ou seja, todas as suas contas/senhas podem ser perdidas);
  • assegure-se de obter o programa gerenciador de senhas de uma fonte confiável e de sempre mantê-lo atualizado;
  • evite depender do programa gerenciador de senhas para acessar a conta do e-mail de recuperação (mais detalhes na Seção 8.5).
Gravar em um arquivo criptografado: você pode manter um arquivo criptografado em seu computador e utilizá-lo para cadastrar manualmente todas as suas contas e senhas.
  • assegure-se de manter o arquivo sempre criptografado;
  • assegure-se de manter o arquivo atualizado (sempre que alterar uma senha que esteja cadastrada no arquivo, você deve lembrar de atualizá-lo);
  • faça backup do arquivo de senhas, para evitar perdê-lo caso haja problemas em seu computador.

8.5. Recuperação de senhas

Mesmo que você tenha tomado cuidados para elaborar a sua senha e utilizado mecanismos de gerenciamento, podem ocorrer casos, por inúmeros motivos, de você perdê-la. Para restabelecer o acesso perdido, alguns sistemas disponibilizam recursos como:

  • permitir que você responda a uma pergunta de segurança previamente determinada por você;
  • enviar a senha, atual ou uma nova, para o e-mail de recuperação previamente definido por você;
  • confirmar suas informações cadastrais, como data de aniversário, país de origem, nome da mãe, números de documentos, etc;
  • apresentar uma dica de segurança previamente cadastrada por você;
  • enviar por mensagem de texto para um número de celular previamente cadastrado por você.

Todos estes recursos podem ser muito úteis, desde que cuidadosamente utilizados, pois assim como podem permitir que você recupere um acesso, também podem ser usados por atacantes que queiram se apossar da sua conta. Alguns cuidados que você deve tomar ao usá-los são:

  • cadastre uma dica de segurança que seja vaga o suficiente para que ninguém mais consiga descobri-la e clara o bastante para que você consiga entendê-la. Exemplo: se sua senha for "SS0l, asstrr0-rrei d0 SSisstema SS0larr"5, pode cadastrar a dica "Uma das notas musicais", o que o fará se lembrar da palavra "Sol" e se recordar da senha;
  • seja cuidadoso com as informações que você disponibiliza em blogs e redes sociais, pois podem ser usadas por atacantes para tentar confirmar os seus dados cadastrais, descobrir dicas e responder perguntas de segurança (mais detalhes no Capítulo Privacidade);
  • evite cadastrar perguntas de segurança que possam ser facilmente descobertas, como o nome do seu cachorro ou da sua mãe. Procure criar suas próprias perguntas e, de preferência, com respostas falsas. Exemplo: caso você tenha medo de altura, pode criar a pergunta "Qual seu esporte favorito?" e colocar como resposta "paraquedismo" ou "alpinismo";
  • ao receber senhas por e-mail procure alterá-las o mais rápido possível. Muitos sistemas enviam as senhas em texto claro, ou seja, sem nenhum tipo de criptografia e elas podem ser obtidas caso alguém tenha acesso à sua conta de e-mail ou utilize programas para interceptação de tráfego (mais detalhes na Seção 3.4 do Capítulo Ataques na Internet);
  • procure cadastrar um e-mail de recuperação que você acesse regularmente, para não esquecer a senha desta conta também;
  • procure não depender de programas gerenciadores de senhas para acessar o e-mail de recuperação (caso você esqueça sua chave mestra ou, por algum outro motivo, não tenha mais acesso às suas senhas, o acesso ao e-mail de recuperação pode ser a única forma de restabelecer os acessos perdidos);
  • preste muita atenção ao cadastrar o e-mail de recuperação para não digitar um endereço que seja inválido ou pertencente a outra pessoa. Para evitar isto, muitos sites enviam uma mensagem de confirmação assim que o cadastro é realizado. Tenha certeza de recebê-la e de que as eventuais instruções de verificação tenham sido executadas.
[5] Esta senha foi sugerida na Seção 8.2. voltar

Licença Creative Commons CERT.br Cartilha de Segurança para Internet - CERT.br - $Date: 2012/06/03 01:41:42 $

Site acessível via IPv6 CSS Válido Desenvolvido em HTML 5