Nova recomendação para passwords

[joker_josue]

O National Institute of Standards and Technology (NIST) dos Estados Unidos, costuma regularmente fazer guias de recomendação de passwords.

Até recentemente a recomendação tem sido a combinação de caracteres, números e símbolos, para se conseguir garantir uma maior segurança na password. Mas, no seu mais recente guia, a recomendação passa por usar uma password composta por diversas palavras.

As novas práticas apontam para a criação de palavras-passe mais longas, mas que sejam mais fáceis de lembrar. Os especialistas referem uma password composta por diversas palavras, que para o utilizador façam sentido e que sejam facilmente decoráveis. Por exemplo “LeiatodasasnovidadessobretecnologianoSAPOTEK” é uma palavra-passe, que seguindo estes novos critérios, torna-se mais difícil de adivinhar, mas ainda assim fácil de decorar, dispensando o registo num papel ou reutilização da mesma.

O que voces acha?
Acham que faz sentido continuar a usar esse modelo de combinação meio que aleatório, ou passar a usar frases fáceis de lembrar e mais longas?



Para quem quiser ver o guia: https://pages.nist.gov/800-63-4/sp800-63b.html

[guid8]

acho melhor usar um gerenciador de passwords
existem muitos na internet

https://keepass.info/
https://www.lastpass.com/pt
https://bitwarden.com/

[joker_josue]

acho melhor usar um gerenciador de passwords
existem muitos na internet

Nada contra os gerenciadores de passwords. Mas, por mais confiáveis que essas ferramentas possam ser, continuam a ser uma forma de ficar dependente de "terceiros" nesta questão.

Sabem, isso faz-me lembrar dos números de telefone. Hoje em dia, cada vez menos memorizamos números de telefone, porque temos nos nossos telemóveis os números de todas as pessoas que conhecemos, sejam elas mais próximas ou não. Até ao dia, em que precisamos ligar para alguém e não temos disponível essa lista...

Nas passwords é um pouco a mesma coisa. Essas ferramentas são uteis até ao dia que por algum motivo não conseguimos aceder a elas.



EDIT: Qualquer das formas, o ponto aqui em questão, não é o facto de se usar ou não essas ferramentas. Mas, sim a forma de construir passwords, que segundo consta, essa aleatoriedade de caracteres já não será assim tão eficiente como era espectável.

[Forsyth Jones]

acho melhor usar um gerenciador de passwords
existem muitos na internet

https://keepass.info/
https://www.lastpass.com/pt
https://bitwarden.com/

Da sua lista eu só deixaria de fora o lastpass que já teve mais de 1 vazamento. ALém de ser closed-source.

Sem contar que dá pra usar o Keepass (com suas versões alternativas, mas sempre de código aberto) em todos os seus dispositivos.

Nada contra os gerenciadores de passwords. Mas, por mais confiáveis que essas ferramentas possam ser, continuam a ser uma forma de ficar dependente de "terceiros" nesta questão.

Sabem, isso faz-me lembrar dos números de telefone. Hoje em dia, cada vez menos memorizamos números de telefone, porque temos nos nossos telemóveis os números de todas as pessoas que conhecemos, sejam elas mais próximas ou não. Até ao dia, em que precisamos ligar para alguém e não temos disponível essa lista...

Nas passwords é um pouco a mesma coisa. Essas ferramentas são uteis até ao dia que por algum motivo não conseguimos aceder a elas.



EDIT: Qualquer das formas, o ponto aqui em questão, não é o facto de se usar ou não essas ferramentas. Mas, sim a forma de construir passwords, que segundo consta, essa aleatoriedade de caracteres já não será assim tão eficiente como era espectável.

Gerenciadores de senhas offline como o Keepass ou keepassxc são offline e open-source, essas ferramentas funcionam localmente, você pode criar seu banco de dados em um computador offline e alimentar suas senhas nele se quiser. não tem necessidade de conexão com a internet.

O arquivo do banco de dados que é protegido por sua senha mestre fica salvo localmente no computador, sob seu total controle, você pode exportar em outros lugares como na nuvem se quiser para acessar de outros dispositivos.

No caso do keepass o usuário não depende de nenhum serviço externo ou nuvem, mas sim do software inslatado no próprio dispositivo, semelhante as carteiras locais do Bitcoin. Você não fica dependente de um único software, pois existem vários outros aplicativos baseados em keepass que pode abrir esse banco de dados mediante sua senha-mestre.

Sem contar que a dependência de "terceiros" é mitigada pela possibilidade de tanto backups locais quanto em nuvem, lembrando que o arquivo database é criptografado por sua senha mestre, então desde que seja uma senha ou passphrase segura, você está seguro.

Mesmo que o keepass pare o seu desenvolvimento e seja abandonado, você continuaria tendo diversas formas de acessar seu banco de dados de senhas ou usar outras instâncias baseados no keepass.

Sobre o uso de passphrases em vez de senhas, isso pode ser interessante desde que seja uma frase totalmente aleatória e que não tenha relação com você, é interessante usar essas passphrases como uma senha-mestra para usar em gerenciador de senhas, já que os gerenciadores geram todas as senhas complexas pra você, sem a necessidade de ficar memorizando todas as suas senhas.

[joker_josue]

Gerenciadores de senhas offline como o Keepass ou keepassxc são offline e open-source, essas ferramentas funcionam localmente, você pode criar seu banco de dados em um computador offline e alimentar suas senhas nele se quiser. não tem necessidade de conexão com a internet.

Depende de um software! A menos que tenha conhecimento de programação, caso ocorra algum erro com o software, não tem forma de recuperar.

Claro, que como disse, não sou contra quem usa esses sistemas. Reconheço que são uteis. Agora, como qualquer ferramenta tem de saber usar, e a probabilidade de dar problema é baixa.

Sobre o uso de passphrases em vez de senhas, isso pode ser interessante desde que seja uma frase totalmente aleatória e que não tenha relação com você, é interessante usar essas passphrases como uma senha-mestra para usar em gerenciador de senhas, já que os gerenciadores geram todas as senhas complexas pra você, sem a necessidade de ficar memorizando todas as suas senhas.

Como qualquer password, a pessoa deve usar algo que não seja claramente associado a si.
Essa segurança, seja frases ou caracteres aleatórios, vai sempre depender do utilizador. Tudo depende de como ele faz isso de modo a garantir segurança.

[bitmover]

Gerenciadores de senhas offline como o Keepass ou keepassxc são offline e open-source, essas ferramentas funcionam localmente, você pode criar seu banco de dados em um computador offline e alimentar suas senhas nele se quiser. não tem necessidade de conexão com a internet.

Depende de um software! A menos que tenha conhecimento de programação, caso ocorra algum erro com o software, não tem forma de recuperar.

Claro, que como disse, não sou contra quem usa esses sistemas. Reconheço que são uteis. Agora, como qualquer ferramenta tem de saber usar, e a probabilidade de dar problema é baixa.

Gerenciadores de password são a melhor opção.

 Não existe dica para gerar um bom password.

Passwords devem ser gerados por maquina, com total aleatoriedade, e um diferente para cada serviço. Daí, se algum passsword vazar, você não tem as outras contas comprometidas.

Todo bom gerenciador permite que você faça um backup. É a melhor opção. Existem vários bons.

Além dos falados, eu uso o protonpass.

[joker_josue]

Não existe dica para gerar um bom password.

Os gerenciadores de passwords, usam essas dicas/recomendações, para ter o sistema de criação de passwords.

A diferença da maquina para o humano é a aleatoriedade. A maquina consegue ser mais aleatória do que os humanos, na criação de passwords.

[alegotardo]

Nada contra os gerenciadores de passwords. Mas, por mais confiáveis que essas ferramentas possam ser, continuam a ser uma forma de ficar dependente de "terceiros" nesta questão.

Eu gostaria de explorar melhor esse seu receio contra os gerenciadores de senha.

Quando você diz ficar dependente de terceiros você se refere à segurança ou disponibilidade?

Quanto à segurança, depende muito do fornecedor, pois o LastPass por exemplo já teve sua reputação bem manchada, mas quando falamos do Bitwarden que é opensource, ele continua inabalável... e eu confio quase todas as minha senhas à ele, menos as de banco por uma questão bem pessoal.

Se o problema for disponibilidade, saiba que é possível gerar um backup offline e guardá-lo em um pendrive, por exemplo.
Mesmo que o serviço saio do ar pra sempre, suas senhas estão protegidas.

Atualmente eu tenho mais de uma centena de contas e senhas, todas elas de alta segurança: longas, com letras, números, caracteres especiais e oque mais for possível (depende do site/aplicativo permitirem), nenhuma é igual à outra e certamente eu não conseguiria gravar todas elas de cabeça.
Hoje quando recebo uma notificação de que meus dados foram vazadas em algum site, durmo tranquilo porque sei que o meliante não terá acesso à outra conta minha que eventualmente compartilharia o mesmo e-mail e senha.

Enfim, cada um com suas preferências, eu só queria mesmo expor a segurança que eu consegui obter hoje com minhas contas digitais no uso de um gerenciador de senhas e entender mesmo qual era esse seu receio sobre ficar dependente de um terceiro.

[joker_josue]

Enfim, cada um com suas preferências, eu só queria mesmo expor a segurança que eu consegui obter hoje com minhas contas digitais no uso de um gerenciador de senhas e entender mesmo qual era esse seu receio sobre ficar dependente de um terceiro.

Eu não tenho propriamente receio nenhum. Quando digo terceiro, é você ficar meio que depende de algo para cuidar de si.

Se você não cozinha... depende do restaurante.
Se você não lava a roupa... depende da lavandaria.
Se você não conduz... depende do Uber.

Isto é mau? Não, não existe problema nenhum em tudo isto. Mas, estamos a tornar-nos numa sociedade que depende de outro para todo. E se o outro falha, como vai ser? Repito, não existe problema em depender de outros para algo, até pode ser saudável, para estabelecer relações sociais. Isso, não invalidade ter de saber fazer as coisas.

Na minha "pequena" experiencia informática, já vi muita coisa mudar. Apesar de hoje as coisas serem diferentes, as vezes as coisas mudam.
Já vi muito programa falhar, ser descontinuado, entre muito outras coisas.

Podes ter backup, mas o backup só abre com o programa. E se o programa falhar? Lá está, pouco provável hoje em dia. Mas, não deixas de ficar depende de terceiros. Ao dizer isto, não estou a dizer que tenho receio, achar que é inseguro ou mau utilizar.

No final, talvez uma ideia um pouco mais old school. 

[bitmover]

Não existe dica para gerar um bom password.

Os gerenciadores de passwords, usam essas dicas/recomendações, para ter o sistema de criação de passwords.

A diferença da maquina para o humano é a aleatoriedade. A maquina consegue ser mais aleatória do que os humanos, na criação de passwords.

Senhas é uma questão de aleatoriedade e variação de caracteres. Também uma questão de facilidade e conveniência na hora de logar.

Não adianta você criar da sua cabeça uma senha super complexa e não consegui logar no serviço quando você precisa. No final, voce acabará gerando senhas fracas e que pode memorizar por uma simples questão prática.

O password manager resolve isso, pois ele preenche automaticamente pra voce e gera uma senha forte (você nem precisa saber qual a senha)

Se você não cozinha... depende do restaurante.
Se você não lava a roupa... depende da lavandaria.
Se você não conduz... depende do Uber.

Você sempre vai depender de alguma coisa. Se voce criar uma senha muito complexa na sua cabeça, vc vai depender do seu papelzinho que anotou e ele pode pegar fogo ou ser perdido etc.
A unica forma de não depender de nada é usar a mesma senha pra tudo, mas isso é inseguro demais e nao deve ser feito por mil motivos.

Se voce gravar no browser, esta "confiando" no browser, que é muito mais inseguro do que o gerenciador de senhas principalmente pq ele não gera senhas (ou entao ele é um proprio gerenciador de senhas, como o firefox)

O gerenciador de passwords tem soluções pra isso tudo e muito mais, como sistemas de backup e recuperação, geração automatica, etc...

[TryNinja]

Existem gerenciadores de senha que geram essas senhas constituidas de palavras. A questão é que hoje em dia todo site pede um usuário e senha, então ou você reutiliza a mesma senha para todos os sites ou vai ter que decorar 200 senhas para tudo o que usa online. É humanamente impossível.

Exemplo, gerei agora com o bitwarden: prompter-vitalize-showpiece-skincare

Fica tipo uma seed.

[alegotardo]

Se você não cozinha... depende do restaurante.
Se você não lava a roupa... depende da lavandaria.
Se você não conduz... depende do Uber.

Bacana pensar assim, pois um dos meus primeiros projetos de desenvolvimento, quando eu ainda estava na faculdade foi um password-manager auto-criado.

Com os primeiros ensinamentos de Java-Spring eu criei um programinha bem basicão para armazenar as incríveis 3 senhas que eu tinha na época
Para entrar no sistema era preciso clicar em um teclado numérico para entrar com a "senha mestre" e depois na segunda tela clicar no botão que iria copiar a senha para a área de transferência. Na minha cabeça, isso estaria me deixando super protegido porque nenhum keylloger da faculdade conseguiria roubar minha senha mais, porém ela ficava eternamente salva na área de transferência do Windows daqueles PCs que todo mundo usava

Mas, por mais que eu goste fazer as coisas por conta própria, não dá pra ficar reinventando a roda, é preciso saber utilizar aquilo que é produtivo para nosso dia-a-dia.

[joker_josue]

Mas, por mais que eu goste fazer as coisas por conta própria, não dá pra ficar reinventando a roda, é preciso saber utilizar aquilo que é produtivo para nosso dia-a-dia.

Isso é verdade, as vezes temos mesmo de aprender a usar aquilo que é mais eficiente.
Já agora digam-me uma coisa: Ao usar esses gestores, se querem entrar num site a partir de um PC que não tem o gestor instalado, como fazem?


Qualquer das formas, conforme indicado no OP, passwords com caracteres aleatórios estão a ficar mais inseguros do que conjunto de palavras (seeds). Vocês acham o mesmo?

[TryNinja]

Qualquer das formas, conforme indicado no OP, passwords com caracteres aleatórios estão a ficar mais inseguros do que conjunto de palavras (seeds). Vocês acham o mesmo?

Não acredito que estejam. O link do OP só considera pessoas que tentam decorar as senhas na cabeça e ficar reutilizando ela para todos os sites. Isso sim é inseguro.

Se for pra decorar uma só senha e ficar usando ela pra tudo, aí faz sentido pensar em uma senha grande estilo palavras/seed, pois a relação memorização/segurança vai ser melhor. Caso contrário, senhas de 16+ caracteres aleatorios e únicas para cada site nunca vão ser facilmente hackeaveis.