O propósito deste artigo não é o estimulo dos(as) leitores(as), mas sim alertar para um assunto sobejamente importante no mundo da tecnologia: “a minha palavra-passe pessoal“. Para isso, são apresentadas abaixo um conjunto de palavras-passe bastante utilizadas e conhecidas, pérolas recolhidas durante um longo trabalho na área da segurança.
Este tipo de palavras-passe são fraquíssimas, e um sujeito com intenções maliciosas consegue uma colisão, via dicionário de palavras, em poucos segundos comprometendo assim a privacidade do utilizador.
| qwe | 123 | qwerty |
| password | portugal | !qwerty123 |
| password1 | 123456789 | superman |
| amor | abc123 | 123456 |
| 111111 | 1234 | !qwerty |
| 000000 | segredo | ola |
| benfica | asd | eusebio |
| asd123 | sporting | fcporto |
| 666666 | 696969 | lol |
| 12345 | qwerty123 | fodase |
| aninhas | benfica1 | borboleta |
| piscina69 | estrelinha | carlos |
| catarina | carpediem | casanova |
| felicidade | sunshine | briosa |
| ana | filipe | pedro&ana |
| joana1988 | beatriz | brunoscp1985 |
| rodrigo | salvador | sandra |
| tiaguinho | filho |
Esta é uma listagem de palavras-passe fracas. Se a vossa palavra-passe for de encontro com estes padrões é necessário reforçá-la. Para isso, existem dois métodos por onde começar:
- Utilização de um programa que faça a gestão das nossas palavras-passe, e.g., Keepass; ou
- Construção de uma palavra-passe forte através de uma frase.
1. Uma excelente peça de software para gerir palavras-passe é o Keepass (http://keepass.info). É possível organizá-las por separadores, e gerar palavras-passe fortes e aleatórias, como por exemplo, P83W~9r]g9rd%l*&]T3CBk|g{ ou }b`\M.{(R`J:xv4Pul+(CPoiF .
2. Visto que o método acima não permite “padronizar a palavra-passe na nossa mente“, existem algumas técnicas que o permitem fazer, uma delas é atraves da decomposição de uma frase.
- Começamos por escolher uma frase com algum significado e memorizável, e.g., “Eu sou um dos últimos tristes trigres!“.
- Em seguida, juntam-se as primeiras letras de cada palavra da frase: Esudútt, e;
- Aumentar a complexidade da mesma misturando alguns simbolos, pontuação, etc. Veremos que irá reforçar bastante a sua complexidade. Por exemplo: !!Esudútt,!!Esudútt9 .
Não corresponde a uma palavra-passe tão forte como as indicadas no ponto 1., mas é evidente que é bastante mais forte do que as palavras-passe mencionadas na listagem acima. Torna-se fácil de decorar, visto que não parecendo à primeira vista, elas seguem um padrão, e apenas o detentor da palavra-passe sabe esse padrão. Mais, a palavra-passe exemplo dada acima possui carateres especiais, uma letra capitalizada e valores numéricos.
Utilizando, por exemplo, a página web https://howsecureismypassword.net é possível produzir uma comparação da força de diferentes palavras-passe.
abc123 – Your password would be cracked almost Instantly.
!qwerty123 – It would take a desktop PC about 344 days.
aninhas – It would take a desktop PC about 2 seconds.
benfica – Your password would be cracked almost Instantly.
!!Esudútt,!!Esudútt9 – 29 octillion years to crack your password.
Via brute-force, são necessários 29 octilões de anos (que palavra difícil) para crackar a palavra-passe construída através da frase. Repare-se na importância do uso destes tipos de mecanismos para o reforço da nossa senha pessoal, usada com enorme frequência na conta de e-mail, do banco, etc,. Siga uma política saudável e segura na geração das suas palavras-passe e use diferentes palavras-passe para serviços com menos importância/impacto no seu quotidiano.
Pedro Tavares is a professional in the field of information security working as an Ethical Hacker/Pentester, Malware Researcher and also a Security Evangelist. He is also a founding member at CSIRT.UBI and Editor-in-Chief of the security computer blog seguranca-informatica.pt.
In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, exploitation, hacking, IoT and security in Active Directory networks. He is also Freelance Writer (Infosec. Resources Institute and Cyber Defense Magazine) and developer of the 0xSI_f33d – a feed that compiles phishing and malware campaigns targeting Portuguese citizens.
Read more here.