× Nota: Algumas funcionalidades só são visiveis após o Login
Como criar e Utilizar Palavras-Chave
Autor: David Penedo   (fonte: www.cert.pt)

O que é uma palavra chave

Palavra chave ou senha é um conjunto de caracteres que se destina a validar a identidade de um utilizador perante um serviço ou comunidade. As palavras chave estão sempre associadas a um utilizador, formando assim um par (utilizador, palavra chave) que normalmente se designa por credenciais. A verificação da palavra chave do utilizador é condição essencial para autorizar a utilização do serviço. A palavra chave é normalmente pessoal e intransmissível.

O cidadão comum está habituado a utilizar palavras chave no seu dia-a-dia. Exemplos disto mesmo são a utilização do cartão multibanco ou do telemóvel, serviços que solicitam a identificação do proprietário mediante a introdução de uma palavra passe de 4 algarismos (PIN).

Com o advento da Internet, este conceito da identificação do utilizador através da apresentação de palavras chave ganhou outra dimensão. De facto são poucos os serviços disponibilizados na maior rede de computadores mundial que não exige o registo de utilizadores e respectivas palavras passe. De  e o correio electrónico até ao serviço de banca directa (homebanking), para segurança do utilizador é solicitada a identificação prévia mediante apresentação de palavra passe.

Criar palavras chave robustas

O formato das palavras passe é normalmente condicionado pelo mecanismo de verificação da identidade, normalmente denominado mecanismo de autenticação. Tomando o exemplo já apresentado, o serviço multibanco solicita ao utilizador uma palavra passe com 4 algarismos. Outros sistemas requerem palavras passe mais complexas, exigindo a utilização simultânea de caracteres numéricos e alfanuméricos,maiúsculas e minúsculas ou mesmo caracteres especiais. No entanto a maior parte  destes sistemas de autenticação, permitem um formato de palavra passe mais ou menos livre.

Quando solicitado a criar uma palavra passe, o utilizador deverá ler com atenção as regras de formulação dessa mesma palavras passe.

As palavras passe devem ser tão mais complexas quanto a criticidade ou o valor do serviço a que se destina. Como exemplo, a robustez da chave usada para utilização do serviço de banca directa deve ser maior do que aquela usada para acesso ao correio electrónico.

Outro cuidado a ter na formulação de palavras passe é o de não  tilizar elementos que de alguma forma lhe estejam associados e que sejam conhecidos por mais pessoas que não o próprio. Exemplos de elementos a não utilizar são a data de nascimento, qualquer parte do nome e apelidos, morada, números de identidade e contribuinte, etc. É relativamente fácil obter esta informação a respeito de qualquer pessoa e depois experimentar como palavra passe.

Sempre que possível, deverá utilizar o comprimento máximo de palavra passe admissível pelo sistema de autenticação, desta forma aumentando a robustez contra alguns tipos de ataque bem conhecidos.

Outra forma de aumentar a robustez de uma palavra passe combinar, de forma não sequencial, letras, números e símbolos.

Finalmente, deve ser de todo evitada a utilização de palavras encontradas em dicionários, quer de língua portuguesa, quer estrangeira.

Formular uma palavra passe robusta requer alguma imaginação. Por um lado esta deve ser facilmente memorável, por outro deve ser difícil de adivinhar por outros. Existem, no entanto, algumas dicas que o podem ajudar a criar uma palavra passe com alguma robustez. Sugerimos a seguinte metodologia:

  1. Identificar uma frase que seja fácil de lembrar
    Exemplo: “criar palavra chave forte em três passos para melhorar a segurança”;
  2. Utilizar a primeira letra de cada palavra
    Exemplo: “CPCFETPPMAS”
  3. Substituir algumas letras maiúsculas por minúsculas, substituir letras por números e símbolos
    Exemplo: “cPcFe3ppm@s”.

Alguns cuidados a ter na utilização de palavras chave

Ter uma boa palavra passe não chega, é preciso utiliza-la com alguns cuidados, principalmente quando o fazemos na Internet. Podemos separar a lista de cuidados em duas: cuidados de a ter com o manuseamento de palavras passe em geral e cuidados específicos quando usamos a Internet.

Cuidados gerais

  1. Não guardar nenhum registo ou auxiliar de memória para as suas palavras passe.
  2. Não utilizar a mesma palavra passe em serviços diferentes. Para cada serviço deve ser criada e utilizada uma palavra passe diferente, desta forma minimizando o âmbito dos danos em caso de uma palavra passe ter sido comprometida.
  3. Utilizar a palavra passe com privacidade, assegurando que ninguém o observa enquanto digita a palavra passe ou que não existe uma câmara apontada a si.
  4. Alterar a palavra passe por omissão. Muitos equipamentos são vendidos com uma única palavra passe por omissão em todos os equipamentos. Aquando da sua primeira utilização, deverá alterar esta mesma palavra passe.
  5. Alterar periodicamente as suas palavras passe, por exemplo de 6 em seis meses.

Cuidados na Internet

  1. Verificar que a palavra passe é transmitida em canal seguro. A sessão Web que solicita a palavra passe apresenta um pequeno cadeado fechado no canto inferior direito do seu browser.
  2. Assegurar a identidade do sistema de autenticação. Verificar que o endereço da página Web é o correcto e verificar o certificado de servidor.
  3. Manter actualizado um sistema de antivírus e anti-spyware no seu computador.
  4. Não utilizar palavras passe em computadores que não o seu ou que desconhece.
  5. Preferencialmente deverá evitar a utilização de mecanismos de armazenamento de credenciais no seu computador, mas principalmente em computadores que não o seu.

Alguns métodos de ataque conhecidos

Existem variados métodos de ataque para quebrar palavras passe ou forjar mecanismos de autenticação:

  • Brute force attacks – teste de palavras passe, normalmente percorrendo o alfabeto de forma sequencial, até que a autenticação seja bem sucedida. Um mecanismo simples para evitar este tipo de ataque passa por limitar o número de tentativas falhadas, bloqueando as credencias.
  • Dictionary attacks – teste de palavras passe, com recurso a uma lista de palavras bem conhecidas e com grande probabilidade de sucesso. A prevenção para este tipo de ataques, para além do exemplo anterior, é a não utilização de palavras do dicionário como palavras passe.
  • Key loggers – pequenos programas, inadvertidamente instalados no computador, que registam a actividade de um utilizador no teclado, enviando posteriormente pela Internet.

O método de ataque mais bem sucedido, no entanto, é a chamada Engenharia Social, que se resume a convencer o detentor de uma palavra passe a divulgá-la de forma consciente.

Para avaliar a sua password utilize o nosso Avaliador de Palavras-Chave.