Pular para o conteúdo principal

Documentation Index

Fetch the complete documentation index at: https://roadtocybersec.com/llms.txt

Use this file to discover all available pages before exploring further.

Segurança de Senhas e Autenticação Multifator

Senhas são o mecanismo de autenticação mais comum no mundo digital, e também o elo mais fraco. Segundo o DBIR da Verizon de 2023, credenciais roubadas ou comprometidas foram o vetor de ataque inicial em 49% de todas as violações. O problema não é que senhas sejam inerentemente inseguras. O problema é que humanos são péssimos em criar, lembrar e gerenciar senhas de forma segura.

Por Que a Maioria das Senhas Falha

O Problema da Previsibilidade

Quando pedimos para criar uma senha “forte”, a maioria segue os mesmos padrões:
  • Começar com uma palavra comum: Senha, Verao, Brasil
  • Maiúscula na primeira letra: Senha
  • Adicionar números no final: Senha123
  • Adicionar caractere especial: Senha123!
Atacantes sabem disso. Ferramentas modernas de quebra de senhas como Hashcat e John the Ripper usam dicionários e mutações baseadas em regras que visam especificamente esses padrões. Uma senha como Verao2024! pode ser quebrada em segundos.

Entropia de Senhas (Password Entropy)

Entropia mede a imprevisibilidade de uma senha em bits. Maior entropia = mais difícil de adivinhar.
Tipo de SenhaExemploEntropia Aprox.Tempo para Força Bruta (10B tentativas/seg)
6 caracteres minúsculoskdjfmz~28 bits< 1 segundo
8 chars mistos + númerosS@nh@123~47 bitsMinutos (ataque de dicionário)
12 chars aleatórioskX9#mQ2$bL4!~79 bits~19.000 anos
4 palavras (passphrase)cavalo-bateria-grampo-correto~55 bitsDias a semanas
20 chars aleatórios (gerenciador)aK8$mQ2x!bL4nR7@wZ9~131 bitsMorte térmica do universo
O insight principal: comprimento supera complexidade. Uma senha aleatória de 20 caracteres é astronomicamente mais difícil de quebrar do que uma “complexa” de 8 caracteres. É por isso que gerenciadores de senhas são essenciais, eles geram e lembram senhas que humanos jamais conseguiriam.

Passphrases (Frases-Senha)

Uma passphrase é uma sequência de palavras aleatórias e não relacionadas usada como senha:
  • choque-atlas-luto-galgo-cedro (forte, ou palavras aleatórias, sem padrão)
  • eu-amo-meu-cachorro-rex (fraca, ou previsível, informação pessoal)
  • ser-ou-nao-ser-eis-a-questao (fraca, ou frase famosa, em todo dicionário)

Gerenciadores de Senhas (Password Managers)

Um gerenciador de senhas é um cofre criptografado que gera, armazena e preenche automaticamente suas credenciais. Ele resolve o problema fundamental: você só precisa lembrar uma Senha Mestra forte, e o gerenciador cuida das outras 200+ contas.

Gerenciadores Recomendados

GerenciadorTipoMelhor Para
BitwardenOpen-source, sincronização em nuvemUso geral, transparência
1PasswordComercial, sincronização em nuvemFamílias e equipes, excelente UX
KeePassXCOpen-source, localMáximo controle, ambientes offline
Apple KeychainIntegrado ao iOS/macOSUsuários do ecossistema Apple
Sua Senha Mestra é o ponto único de falha. Ela deve ser forte (passphrase de 5+ palavras), única (nunca usada em outro lugar) e nunca escrita em texto puro. Se você esquecê-la, a maioria dos gerenciadores não pode recuperar seu cofre.

Autenticação Multifator: MFA (Multi-Factor Authentication)

MFA adiciona camadas adicionais de verificação além da senha. O princípio é baseado em três fatores de autenticação:
  1. Algo que você sabe: Senha, PIN, pergunta de segurança
  2. Algo que você tem: Celular, chave de hardware, cartão inteligente
  3. Algo que você é: Impressão digital (fingerprint), reconhecimento facial, varredura de íris
MFA verdadeiro requer pelo menos dois fatores diferentes. Duas senhas não são MFA, ambas são “algo que você sabe.”

O Espectro do MFA (Mais Fraco ao Mais Forte)

1

Códigos SMS (Mais Fraco)

Código único enviado por mensagem de texto. Melhor que nada, mas vulnerável a SIM swapping (troca de SIM): quando um atacante convence sua operadora a transferir seu número para o SIM dele. Em 2019, a conta do CEO do Twitter Jack Dorsey foi sequestrada via SIM swap.
2

Apps Autenticadores (Bom)

Apps como Google Authenticator, Authy ou Microsoft Authenticator geram senhas de uso único baseadas em tempo, conhecida como TOTP (Time-based One-Time Password), que rotacionam a cada 30 segundos. Não são vulneráveis a SIM swapping porque os códigos são gerados localmente.
3

Notificações Push (Bom)

Apps como Duo enviam notificações que você aprova ou nega. Porém, são vulneráveis a ataques de fadiga de MFA (MFA fatigue): quando o atacante envia notificações repetidas até a vítima aprovar uma por frustração.
4

Chaves de Hardware (Excelente)

Dispositivos físicos como YubiKey ou Google Titan que usam o protocolo FIDO2/WebAuthn. Você conecta a chave na porta USB ou encosta no celular. São resistentes a phishing porque a chave verifica criptograficamente o domínio, se o site for um clone de phishing, a chave simplesmente não autentica.
5

Passkeys, Chaves de Acesso (Melhor)

Passkeys são o futuro da autenticação. Usam FIDO2/WebAuthn para substituir senhas completamente. Seu dispositivo armazena uma chave privada, e a autenticação acontece via biometria ou PIN do dispositivo. Nenhuma senha para roubar, nenhum código para interceptar.

Onde Habilitar MFA (Ordem de Prioridade)

  1. E-mail: É a chave-mestra de todas as outras contas (redefinições de senha chegam aqui).
  2. Gerenciador de senhas: Se comprometido, todas as senhas ficam expostas.
  3. Banco e serviços financeiros: Impacto financeiro direto.
  4. Armazenamento em nuvem (Google Drive, Dropbox, iCloud), Pode conter documentos sensíveis.
  5. Redes sociais: Atacantes usam contas comprometidas para phishing e impersonação.
  6. Todo o resto: Habilite MFA em cada serviço que suportar.
Se você não fizer mais nada após ler esta página, faça estas duas coisas: (1) Instale um gerenciador de senhas e gere senhas únicas para suas 10 contas principais. (2) Habilite MFA baseado em app autenticador em seu e-mail e contas bancárias. Essas duas ações sozinhas farão você mais difícil de comprometer que 95% dos usuários da internet.