Pesquisadores de segurança agora estão dizendo que o comprimento, a força e a complexidade das senhas são irrelevantes.
Há anos, os sites de tecnologia têm distribuído as mesmas dicas de senha, incluindo o uso senhas longas e complexas. A vergonha é que todos esses conselhos ao longo de muitos anos tiveram pouco ou nenhum efeito sobre como o usuário doméstico médio escolhe suas senhas. No que só pode ser descrito como uma reviravolta completa, o consenso atual entre os pesquisadores de segurança é que, no mundo real, o quão forte, longa ou complexa é uma senha quase sempre nunca importa.
Completo divulgação: Partes deste artigo são baseadas nesta Artigo do blog Malwarebytes
O tipo mais comum de ataque de senha é o preenchimento de credenciais, que usa senhas roubadas em violações de dados. Funciona porque é muito comum as pessoas reutilizarem a mesma senha em dois lugares e não é afetado pela força da senha. O próximo ataque mais comum é a pulverização de senhas, em que os criminosos usam listas curtas de senhas muito simples no maior número possível de computadores. Em ambas as situações, uma senha risivelmente simples, mas exclusiva, é boa o suficiente para derrotar o ataque.
Existem tipos raros de ataque – adivinhação de senha offline – em que uma senha forte pode ajudar, mas a desvantagem é que senhas fortes são muito mais difíceis de lembrar pelas pessoas, o que as leva a usar a mesma senha para tudo, o que as torna muito mais vulneráveis ao preenchimento de credenciais ~ <source>
É claro que os gerenciadores de senhas representam uma solução válida, mas a realidade é que, apesar de todos os anos de análises e recomendações favoráveis, a maioria dos usuários domésticos comuns ainda não os usa. Então, qual é a resposta?
Autenticação de dois fatores (2FA)
Vou começar citando um trecho de um artigo de 2019 escrito por Alex Weinert da Microsoft, que diz… “ Com base em nossos estudos, sua conta tem 99,9% menos probabilidade de ser comprometida se você usar MFA“.
Alex chama isso de MFA (autenticação multifator) e o Google chama isso de 2SV (verificação em duas etapas), mas todos significam exatamente a mesma coisa-provar sua identidade por mais de um meio.
É sempre necessária uma senha, é claro, além de um meio secundário de identificação, que é geralmente na forma de um código exclusivo de 6 dígitos enviado para o seu telefone. Agora, quando recomendei o 2FA no passado, quase sempre recebi um comentário de alguém que é cético quanto a fornecer seu número de celular e não posso dizer que os culpo. No entanto, configurei o 2FA (através do número do meu celular) em várias contas há algum tempo e NUNCA recebi nenhum tipo de spam ou mensagens/chamadas indesejadas. A única vez que ouço essas contas é quando entro e o 2FA entra em ação.
Meu celular está sempre em minha posse e o acesso é protegido, por isso é, na minha opinião, um recurso extremamente método seguro de garantir que minhas contas não possam ser acessadas por mais ninguém. Sempre relutei em usar o telefone ou meu iPad para transações financeiras, mas com o 2FA instalado, não tenho esses escrúpulos. Se eu fizer um pagamento através do PayPal, por exemplo, serei solicitado a prosseguir inserindo um código de verificação. Fico feliz em obedecer, sabendo que, independentemente de quão segura seja a conexão, somente eu posso receber e inserir esse código.
CONCLUSÃO:
Aparentemente, 4 de maio foi o Dia Mundial da Senha, algo que eu não sabia. No entanto, se você não fizer mais nada este ano, considere configurar o 2FA no maior número possível de contas e o mais rápido possível. 2FA, MFA, 2SV, como queiram chamá-lo, é absolutamente o melhor método para proteger suas contas, muito mais eficaz do que apenas uma senha, independentemente de sua força ou complexidade.
Algumas contas oferecem 2FA como opcional, outros não, mas na minha humilde opinião, 2FA deve ser um requisito obrigatório para todas as contas online.
—
