Joe Kissell
Novatec
Copyright © 2016 alt concepts inc. All rights reserved. First published in the English language under the title “Take Control of Your Passwords” by TidBITS Publishing Inc. Copyright © 2016 alt concepts inc. Todos os direitos reservados. Publicado originalmente em Inglês com o título “Take Control of Your Passwords” pela TidBITS Publishing Inc. © Novatec Editora Ltda. [2017]. Editor: Rubens Prates MP20160919 Tradução: BrodTec Revisão gramatical: Smirna Cavalheiro Editoração eletrônica: Carolina Kuwabata ISBN: 978-85-7522-539-4 Histórico de impressões: Janeiro/2017
Primeira edição
Novatec Editora Ltda. Rua Luís Antônio dos Santos 110 02460-000 – São Paulo, SP – Brasil Tel.: +55 11 2959-6529 E-mail: novatec@novatec.com.br Site: www.novatec.com.br Twitter: twitter.com/novateceditora Facebook: facebook.com/novatec LinkedIn: linkedin.com/in/novatec
Introdução
Pense em uma carta de baralho. Qualquer carta. Agora, memorize esta carta e pense em outra. Repita até que você tenha escolhido doze cartas, mas escolha-as de forma que a sua seleção inclua todos os quatro naipes e ao menos um Rei ou uma Rainha, sem repetições. Lembre-se da sua seleção, pois eu vou solicitá-la novamente amanhã... Estou brincando, obviamente. Porém, você já percebeu que quando mágicos pedem ajuda a um voluntário eles nunca fazem perguntas complexas? Ninguém espera que uma pessoa invente, sempre que solicitada, uma sequência sem sentido de letras e números e muito menos que ela se lembre dessa sequência indefinidamente. Entretanto, isto é o que sites, bancos e administradores de redes solicitam da gente quase diariamente. Deseja comprar algo online? Sem problemas, mas você precisa mais do que apenas um cartão de crédito, você precisa também de uma senha. Sincronize esses dados com a nuvem, assine aquele serviço gratuito, pague suas contas pela internet... sem problemas, mas primeiro você deve ter uma senha. “Certifique-se de que ela possui de 10 a 14 caracteres, contendo caracteres maiúsculos e minúsculos, além de no mínimo um dígito e um caractere especial, sem repetições de caracteres. Ah, e nem pense em utilizar uma palavra que possa ser encontrada em um dicionário ou em reutilizar uma senha de outro serviço.” Você está falando sério? Isso é loucura. Inventar novas senhas aleatórias e memorizá-las de forma segura não é uma tarefa possível para o cérebro humano.
Diante dessa dificuldade as pessoas normalmente procuram por atalhos. Assim, elas escolhem senhas fáceis, como o nome dos seus filhos ou um padrão de teclas do teclado. Mesmo que elas se deem ao trabalho de criar uma senha mais complexa, elas acabam a utilizando em todos os lugares, pois assim é necessário memorizar apenas uma senha em vez de dezenas.
14
Introdução
15
Como também sou humano, não culpo essas pessoas por utilizarem esses atalhos. Você pode até tentar criar senhas inteligentes e aleatórias nas primeiras vezes, mas uma vez que a sua lista de contas chegue na casa das dezenas, e depois na casa das centenas, não é possível continuar utilizando este método de criação de senhas. Falando como um tecnólogo que investiu muito tempo na pesquisa sobre a segurança de senhas, fico muito preocupado com as pessoas que fazem isso. Eu sei quão fácil é adivinhar, quebrar ou descobrir as senhas de outras pessoas, pois eu mesmo já fiz isso. Além disso, pessoas com capacidade muito maior que a minha e com mais recursos do que eu ficam o dia inteiro, todos os dias, fazendo isso. Entretanto, essas pessoas não fazem isso para pesquisar e estudar a segurança de senhas. Elas fazem isso para roubar dinheiro e segredos, causar danos e se exibir. De tempos em tempos leio sobre um novo caso onde milhões de senhas foram vazadas, hackeadas ou roubadas. Quando isso acontece, observo as senhas que as pessoas utilizam, que agora se tornaram públicas, e me decepciono ao constatar que milhares de pessoas acreditam que password é uma ótima senha! Eu entendo o motivo dessas pessoas escolherem este tipo de senha, pois sei que elas estão apenas tentando gerenciar um problema não gerenciável. Sinto pena delas, porque os seus problemas não acabam com a divulgação da senha do serviço que foi hackeado. Muitas dessas pessoas normalmente utilizam esta mesma senha em todos os demais serviços nos quais elas possuem contas. Isso faz com que elas tenham seu dinheiro ou identidade roubados, criando também a possibilidade de que outras pessoas leiam suas mensagens privadas e até mesmo possibilitando que enviem mensagens de ódio se passando pelas vítimas. Isto é assustador. Em 2006, escrevi o livro Take Control of Passwords in Mac OS X. Nele tentei explicar todas as maneiras pelas quais senhas são utilizadas em um Mac e também dar alguns conselhos sobre como gerenciá-las. Ofereci os melhores conselhos possíveis para a época com base nos fatos disponíveis. Porém, quando penso nos conselhos dados neste livro, fico preocupado, pois qualquer pessoa que leia e siga aquelas instruções, hoje poderá estar vivendo com uma falsa sensação de segurança, visto que as ferramentas de adivinhação de senha e de quebra de criptografia evoluíram muito nos últimos anos (e
16
Aprendendo a proteger suas senhas
continuarão evoluindo). O que era considerado seguro alguns anos atrás pode ser ridiculamente inseguro hoje. A boa notícia é que os aplicativos e técnicas disponíveis para os mocinhos também evoluíram. Mesmo que eu não consiga solucionar todos os problemas de senhas do mundo, com uma combinação de tecnologia e bom senso eu consigo ajudar a solucionar cerca de 98% dos seus problemas com senhas. Neste livro, o meu objetivo é definir uma estratégia simples que o manterá seguro, na medida do possível, com o menor esforço possível. Admito que em alguns momentos será necessário pesar os custos e benefícios entre mais segurança e mais conveniência, tendo que escolher qual deles é mais importante: instalar uma fechadura adicional na sua porta ou arriscar tê-la arrombada, pois seu bairro se tornou mais perigoso. Entretanto, você se surpreenderá ao descobrir que, em diversas situações, é possível aumentar significativamente a segurança sem nenhum esforço adicional. Você se lembra de quando falei que criar e memorizar senhas aleatórias não é uma tarefa feita para o nosso cérebro? Isso é verdade, mas eu aposto que cada pessoa lendo este livro possui um computador, um smartphone ou tablet e esses dispositivos são fantásticos para criar e memorizar senhas, mas apenas se você utilizar os aplicativos certos, da maneira correta e no momento certo (sim, também vou falar dos momentos nos quais os seus dispositivos não conseguem ajudá-lo. Porém, não se preocupe, para tudo existe uma solução). Se toda essa conversa sobre hackers e roubo de identidade soa assustadora, peço desculpas, pois não quero assustá-lo. Não muito. No entanto, quero que você conheça as ameaças de forma que isso o motive a adotar práticas mais seguras com relação à utilização de senhas. Isso não vai demorar, não vai ser caro e não vai ser difícil. Uma vez que você tenha adotado essas práticas, poderá ficar tranquilo novamente, assim como eu. Na verdade, o objetivo deste livro é deixá-lo relaxado e confiante, sabendo que suas senhas são fortes e sabendo que é possível criá-las e utilizá-las sempre que necessário. Este livro não é uma nova versão do livro Take Control of Passwords in Mac OS X, mesmo que eu tenha reutilizado algumas seções que ainda são úteis. Em vez disso, neste livro eu analiso o problema das senhas de forma abrangente e sem focar em apenas uma plataforma. Assim, se você utiliza Mac, PC, iOS, Android ou qualquer outra plataforma (ou até mesmo uma combinação de plataformas), esta obra o auxiliará a gerenciar as suas senhas.
Introdução
17
Ao final deste livro, espero que você entenda plenamente as vulnerabilidades e ameaças associadas às senhas e espero que entenda também como minimizar os riscos e como utilizar senhas de maneira segura, mas sem perder sua sanidade. Ninguém pode garantir segurança total, mas com os conselhos presentes aqui, posso garantir que chegaremos bem próximo disso. Antes de iniciarmos, dê uma olhada no quadrinho que os nossos amigos Nitrozac e Snaggy, da Joy of Tech, fizeram para nós... com vocês, o Joe Tecnológico!
Disponibilizado por Joy of Tech. Publicado com permissão. Todos os direitos reservados. Veja em https://www.takecontrolbooks.com/blog/joe-of-tech-on-passwords.
capítulo 1
Senhas: uma revisão rápida
Recomendo que você leia este livro de forma linear, pois cada capítulo utiliza o que já foi tratado anteriormente. De qualquer forma, não deixe de ler o Capítulo 4 – Utilize a estratégia de senhas do Joe, pois utilizar apenas uma parte da minha estratégia (como apenas um gerenciador de senhas) pode abrir brechas de segurança.
Oriente-se: • Entenda o que há de errado com as senhas e com a forma como as pessoas as utilizam. Leia o Capítulo 2 – Entenda os problemas das senhas. • Descubra os detalhes que tornam uma senha segura e entenda o motivo disso não ser a única coisa com a qual você deve se preocupar. Leia o Capítulo 3 – Aprenda sobre a segurança de senhas.
Monte a sua caixa de ferramentas: • Aprenda sobre a minha estratégia de três pontos e o que fazer em situações nas quais você não pode a utilizar. Leia o Capítulo 4 – Utilize a estratégia de senhas do Joe. • Arme-se com um bom aplicativo para criação, memorização e utilização de senhas aleatórias. Leia o Capítulo 5 – Escolha um gerenciador de senhas.
18
Capítulo 1 ■ Senhas: uma revisão rápida
19
Não deixe pontas soltas e corrija problemas existentes: • Certifique-se de que as suas senhas não cairão em mãos erradas e ao mesmo tempo as mantenha disponíveis para utilização quando necessário. Leia o Capítulo 6 – Mantenha suas senhas seguras. • Apague todas aquelas senhas inseguras que você criou antes de ler este livro. Leia o Capítulo 7 – Faça a auditoria de suas senhas.
Lide com casos especiais: • Lide com sistemas que utilizam uma senha em conjunto com algum método de autenticação adicional. Leia o Apêndice A – Utilize autenticação de dois fatores. • Leia dicas sobre como aumentar a segurança das senhas de pessoas que não estão dispostas a seguir a minha estratégia ou de pessoas que não possuem o conhecimento necessário para isso. Leia o Apêndice B – Ajude o seu tio com as senhas dele. • Aprenda a matemática por trás do cálculo da entropia de uma senha. Leia o Apêndice C – Calcule a força de uma senha. • Ensine sobre a segurança de senhas. Leia o Apêndice D – Ensinando com este livro.