Se você não sabia, hoje é o Dia Mundial da Senha.
Agora, alguns especialistas hoje podem dizer que as senhas estão desatualizadas e que você precisa migrar para novas contas para ganhar contas. Ainda não chegamos lá.
1. O complexo não quer ser seguro
Você usa a senha há muito tempo em um nível de complexidade quase inexplicável. Podem ser recursos ainda mais especiais do que o normal. Mas, como exploraremos mais tarde, complexo não significa mais seguro.
Uma regra típica é que senhas mais longas são mais seguras do que senhas mais curtas e complexas. A quebra de senhas no mundo de hoje, mesmo que seja por força bruta, exige que o computador combine senhas e comportamentos comuns para adivinhar a senha.
Quanto mais longa a senha, mais combinações haverá para adivinhar. Quanto mais combinações, mais longas elas ficam, crescem exponencialmente desde que você não use a letra ‘a’ repetida 12 vezes.
Como Direção NIST explica;
“Seriam necessárias até 26 tentativas de um caracter desconhecido feito de letras minúsculas para mais de 26. Adicionar um segundo caractere aumenta esse número para 26 ou 26 vezes, ou seja, 676 tentativas. Uma senha de oitenta caracteres exigiria cerca de 200 bilhões de tentativas.“
O comprimento recomendado da senha em 2016 é de pelo menos 15 caracteres.
2. Vincule palavras aleatórias
Uma das melhores maneiras de criar uma senha segura é agrupar uma cadeia de palavras aleatórias. Isso não apenas torna sua senha memorável, mas também forte o suficiente por um longo tempo.
Por exemplo, o governo NIST usa o exemplo de um “cassete de lavagem para bebês”, que tem 18 caracteres, o que significa que excederá 29.479.510.200.013.918.864.408.576 suposições se forem feitas em caracteres minúsculos regulares.
Adicione alguns capítulos e caracteres especiais, o que acaba sendo um número maior.
Pegue algumas páginas aleatórias do dicionário, escolha algumas e conecte-se. Boom, agora você tem seu próximo ingresso.
3. Os personagens principais nem sempre estão seguros
Recursos especiais adicionam um nível extra de complexidade a um ticket, especialmente se um humano estiver tentando adivinhar. Mas eles podem criar padrões previsíveis.
Por exemplo, muitos substituem caracteres regulares por caracteres especiais de forma reconhecível. Por exemplo, substitua a letra ‘S’ por ‘$’ ou ‘A’ por ‘@’. Isto é especialmente verdadeiro quando se trata de propósito.
A inclusão de caracteres especiais aumenta o número de combinações possíveis, mas não os coloca nos locais especificados.
4. Mudanças forçadas de senha devido ao cansaço
A senha da sua organização muda a cada 90 dias. Mas pode levar o desenvolvedor a um comportamento. Somos criaturas simples e queremos ser fáceis. Por este motivo, quando solicitado a alterar a senha, é necessário alterá-la o menos possível.
Pode ser tão simples quanto alterar a combinação de números no final ou escolher a próxima de uma série de palavras, como mudar de ‘Segunda-feira1234’ para ‘Terça-feira1234’. Isso significa que mesmo que a primeira senha tenha sido exposta em uma violação de dados e sua senha tenha sido alterada para uma segunda, isso dá ao invasor uma boa estimativa sobre o que pode estar na segunda combinação.
Por este motivo, cada senha deve ser única.
Uma dica importante para organizações que vêm diretamente do NIST: não force a troca de senhas, a menos que se trate de uma violação. Frustra os ministros e faz com que escolham articulações mais fracas.
5. Sempre use um autenticador
Sempre que possível, configure a autenticação multifator para suas contas. Os autenticadores ajudam a proteger as contas, fornecendo um segundo método de verificação.
Mesmo que alguém tenha sua combinação exata de nome de usuário e senha, essa camada extra de segurança pode impedi-lo. Isto é especialmente verdadeiro para ataques de gancho. Um invasor pode roubar suas senhas com algumas páginas falsas e falsas, mas não pode usá-las sem um método de autenticação escolhido.
A autenticação ocorre de várias maneiras. Pode ser um código ou link enviado para o seu dispositivo móvel, pode ser uma informação de segurança física, como o YubiKey, que deve estar presente no login, pode ser um fator biométrico, como uma leitura facial ou impressão digital, e pode ser para aprovar o login por crédito. aplicativo autenticador
Portanto, sempre que possível, use a autenticação multifator para manter suas contas o mais seguras possível.
Nossas principais dicas
Por fim, aqui estão algumas dicas para criar uma senha segura e manter sua conta protegida;
- Use pelo menos 15 caracteres
- Use uma combinação aleatória de palavras
- Não use caracteres especiais para prever caminhos
- Sempre use uma senha exclusiva se for forçado a alterá-la
- Use autenticação sempre que possível
- Os gerenciadores de senhas são as melhores ferramentas para gerenciar e gerenciar senhas com segurança. Eles podem sugerir novas senhas usando as orientações mais recentes e armazená-las e preenchê-las automaticamente para mantê-lo seguro.
- Os gerenciadores de senhas não criam apenas um site. Muitos gerenciadores de senhas obscuras oferecem monitoramento da web para verificar violações e documentos expostos. Você também pode verificar suas credenciais usando o serviço Eu sou mais áspero.
- Ele ouve seus documentos. Exclua todas as contas que você já está usando. Não só os seus documentos podem ser expostos, mas as empresas com as quais você se inscreveu podem vender ou repassar suas informações a terceiros, colocando-os em maior risco de exposição.
- Confira com o guia mais recente NIST.
Conselhos de especialistas:
Como é o Dia Mundial da Senha, especialistas do setor forneceram conselhos importantes para ajudar empresas e pessoas a se manterem seguras, e reuni alguns dos melhores conselhos de especialistas para ajudar suas contas.
Adrian Podkaminer, chefe de segurança da G2A.COM diz:
“À medida que o Dia Mundial da Senha se aproxima, é um lembrete oportuno de que na economia digital de hoje, onde jogos, comércio e pagamentos são feitos on-line, proteger sua identidade digital é fundamental para a segurança. Relatórios recentes da indústria mostram que credenciais suspeitas e outros ataques de identidade permanecem entre as rotas mais comuns para comprometimento de contas e incidentes de segurança mais amplos.
Senhas fracas ou comprometidas ainda são um dos principais vetores de ataque, mas o cenário de ameaças também evoluiu por meio de phishing e engenharia social alimentados por IA. Os agentes de ameaças utilizam cada vez mais a IA generativa para dimensionar campanhas, visando os ativistas, utilizando táticas mais persuasivas e criando comunicações fraudulentas que são mais difíceis de distinguir das legítimas. A IA não muda fundamentalmente a forma como os tickets são quebrados; torna mais eficaz roubá-los por meio de engano.
Os atores de ameaças estão usando cada vez mais IA generativa para dimensionar campanhas de coleta de credenciais
Para usuários de fóruns digitais e plataformas de jogos de azar como G2A.COM, isso significa apenas mover a senha acima. Usar uma senha exclusiva para cada serviço, fornecer credenciais a um agente confiável desconhecido, usar autenticação multifator e ficar atento a links de login inesperados, solicitações ou ofertas que pareçam boas demais pode reduzir significativamente o risco. Quando disponíveis, os métodos de autenticação resistentes ao phishing fornecem uma camada de proteção ainda mais forte.
Na G2A seguimos os princípios “No Trust” com detecção de fraudes em tempo real, controladores de pagamento seguros, verificação de fornecedores e controles de risco de mercado. A cibersegurança é uma responsabilidade partilhada e um processo contínuo, não um objetivo estático. O Dia Mundial da Senha é um lembrete útil de que tanto as plataformas quanto os usuários precisam fortalecer a forma como protegem suas contas digitais e identidade.”
Steven Furnell, membro sênior do IEEE e professor de segurança cibernética na Universidade de Nottingham, diz:
“A recomendação do NCSC de usar chaves de acesso sempre que for útil” é boa do ponto de vista de segurança e usabilidade. As chaves de acesso são projetadas especificamente para superar nossos principais problemas com senhas.
No entanto, o sistema “suportado em qualquer lugar” é um desafio potencial porque muitos usuários não conseguem seguir o guia de maneira uniforme ou consistente em todos os serviços que utilizam. Muitos sites e serviços ainda não oferecem suporte para senha, então os usuários terão uma experiência de login mista.
Ainda é o plano certo, mas mesmo que as chaves de acesso sejam boas, você tem que reconhecer que este será um jogo longo, em vez de apertar interruptores.
Por melhores que sejam as chaves de acesso, é importante reconhecer que este será um jogo longo, e não uma reviravolta.
Onde as senhas ainda estão em uso, é muito fácil encontrar sites que não oferecem suporte ao usuário de duas maneiras significativas e fundamentais, solicitando-lhes que criem novas senhas e fornecendo pouca ou nenhuma orientação tangível sobre como fazê-lo com segurança e/ou permitindo-lhes fazer escolhas que geralmente são consideradas fracas.
Embora alguns argumentem que é responsabilidade do usuário proteger-se adequadamente, é necessário saber como fazê-lo. Onde eles deveriam obter esse conhecimento se o site não o oferece? Por que um usuário suspeitaria de um problema se o site permitisse que ele escolhesse uma senha ruim sem reclamar?
Neste Dia Mundial das Senhas, a mensagem principal não deve ser para os usuários, que muitas vezes não têm escolha a não ser usar senhas de qualquer maneira, mas para sites e provedores que fazem isso.”
Stuart Sharp, vice-presidente de produto da OneLogin diz:
“A senha mais eficaz pode ser nenhuma senha. O Dia Mundial da Senha começou a parecer irônico porque a maioria das pessoas já sabe que as senhas são problemáticas. Passamos anos usando senhas mais longas, rejeitando-as, alternando-as regularmente e adicionando mais camadas de autenticação no topo, mas o fato é que as senhas ainda criam atrito para os usuários e oportunidades para os invasores. Estamos todos lá que as escrevemos, as pessoas do compromisso, o processo de compromisso, eles são absolutamente, As senhas parecem efetivamente pesadas para o administrador. Há anos, as organizações têm se movido à autenticação biométrica e, mais recentemente, às chaves de acesso.
Não sei se a senha pode ser muito eficaz
As chaves de acesso são importantes porque melhoram a segurança e, ao mesmo tempo, tornam a autenticação mais natural para os usuários. Em vez de ter que lembrar senhas complicadas, as chaves de acesso permitem que a autenticação seja vinculada ao dispositivo do usuário ou a sinais biométricos específicos, como impressões digitais, reconhecimento facial ou autenticação baseada em documentos. Com as chaves de acesso, finalmente começamos a ver a autenticação se mover para onde ela está – um processo contínuo que não interrompe seu fluxo toda vez que o aplicativo é usado.
Ele havia dito que os ingressos não passariam da noite para o dia. A maioria das empresas ainda opera através de uma combinação de sistemas legados e competências vazias, pelo que a transição completa para chaves de acesso acontecerá gradualmente – mas acontecerá. De muitas maneiras, as senhas estão começando a parecer um conjunto de chaves físicas que temos que carregar consigo – assim como as chaves físicas, você precisa de uma chave diferente para cada serviço digital que usa. Eles estão conosco há uma década, então são aceitos como normais, mas isso não os torna adequados à forma como trabalhamos hoje. O Dia Mundial da Senha tem como objetivo aumentar a conscientização sobre boas práticas de saúde e segurança de senhas, mas à medida que a segurança se torna um processo fluido, integrado e em segundo plano, a necessidade de conscientização diminuirá – porque a segurança será simplesmente incorporada em qualquer processo que usarmos.
No próximo ano, em vez de lembrar às pessoas que devem gerir melhor os bilhetes, deveríamos celebrar o futuro sem eles.”
Siga o TechRadar no Google Notícias e adicione-nos para encomendar a primavera para receber nossas notícias, análises e opiniões de especialistas em seu feed.
