Muita gente, inclusive eu, já criou ou ainda cria senhas online com substituições comuns entre letras e números.
Se a pessoa vai inserir a palavra "casa" na senha, por exemplo, troca os 'a's por números ou um arroba. Casa vira C@s4. Daí a gente imagina senhas com combinações assim, como B@stt3r, T3cn0l0g1@, etc.
E isso realmente foi algo que sempre foi incentivado por especialistas em segurança. "Tenha senhas com combinações entre letras, números, caracteres especiais e as troque com frequência".
Mas num mundo como o de hoje no qual temos 50 contas diferentes em diferentes serviços é impossível sair trocando senha com frequência. Memorizar essas senhas? Pior ainda.
E isso acaba gerando problemas como repetição de mesma senha em serviços diferentes. Basta acontecer o vazamento de dados em um desses serviços (e se for um sistema mal feito, vaza a senha como texto e não um valor criptografado) que um invasor de posse desses dados pode invadir outras senhas do mesmo email e fazer um estrago.
Já comentei aqui antes -
Como proteger suas contas online - Tecnologia - Bastter.com - sobre uso de gerenciadores de senhas para proteção maior. O uso de gerenciadores de senha é meio controverso porque concentra tudo num local só, mas ainda assim é uma recomendação que muita gente faz.
Mas o assunto de hoje não é sobre gerenciadores e sim como é falsa a ilusão de que uma senha com uns caracteres trocados por números e caracteres especiais é uma senha mais segura.
Como comentei em outro tópico por aqui, o pessoal ainda tem a mentalidade de que um cartão de crédito clonado foi clonado numa máquina física usando um "chupa cabra" ou qualquer outro dispositivo que seja de clonagem de cartões. Sendo que atualmente esse tipo de golpe é cada vez menos comum e dados de cartão usados por terceiros muitas vezes são obtidos por vazamento de sistemas web, tal como aconteceu com o iFood recentemente -
https://www.tecmundo.com.br/software/154335-bug-ifood-vaza-dados-pedidos-outros-usuarios.htm. Da mesma forma como acontece com os dados de cartão de crédito, dificilmente você tem alguém na sua cola tentando adivinhar sua senha específica. O que costuma acontecer mais é um invasor conseguir acesso ao banco de dados de alguma aplicação web e sair testando algoritmos de ataque de força bruta nas senhas criptografadas no banco até conseguir um match.
Então tanto faz quantas letras 'a's você trocou por 4 ou @, quanto menor sua senha mais rapidamente um invasor vai conseguir dar match nela usando um algoritmo de ataque de força bruta.
Essa tirinha famosa explica bem isso
O autor dessa tirinha advoga pelo uso de passphrases em vez de passwords. Você cria uma "frase-senha" com 4, 5, 6 palavras aleatórias (quanto mais aleatórias, melhor) e as aglutina em uma senha. Isso aumenta a entropia da sua senha e torna praticamente impossível um desses programas de força bruta decodificar sua senha.
A ideia é boa mas cai no mesmo problema anterior de memorizar 50 "frases-senha" de antes.
Na realidade, assim como em investimentos, cada um deve saber a forma como ter mais paz com o gerenciamento de suas senhas. Tem gente que tem paz usando gerenciadores de senha mas basta descobrir a senha dele ou os dados dele vazarem que acabou sua paz.
Uma solução interessante dada pelo Gustavo aqui no site foi armazenar nesses gerenciadores só parte da senha, com uma alteração no final, uma combinação de alguns caracteres diferentes.
Se a sua senha é "correcthoresebatterystaple", armazenar no gerenciador "correcthoresebatterysystem" de forma que um invasor de posse da sua senha do gerenciador não consiga acesso a suas contas por conta dessa mudança no final da senha.
Enfim, o assunto é complexo mas a intenção do tópico era desmistificar essa ideia de que combinações batidas tornam nossas senhas mais seguras. Pode até ser que sim se você tiver alguém na sua cola tentando descobrir uma senha específica sua, mas o que acontece mais comumente na realidade são ataques de força bruta em bancos de dados de aplicações web com uso de algoritmos e computadores potentes que conseguem quebrar senhas fracas rapidamente.
Portanto, a dica que dou é: aumente a entropia de suas senhas. Use senhas maiores. E se usar gerenciadores de senha tente não armazenar a senha tal qual ela é no gerenciador, pelo menos de contas mais sensíveis.
