> ## Documentation Index
> Fetch the complete documentation index at: https://roadtocybersec.com/llms.txt
> Use this file to discover all available pages before exploring further.

# Segurança de Senhas e MFA

> Entropia de senhas, passphrases, gerenciadores de senhas e o espectro completo da autenticação multifator, de SMS a passkeys.

# Segurança de Senhas e Autenticação Multifator

Senhas são o mecanismo de autenticação mais comum no mundo digital, e também o elo mais fraco. Segundo o DBIR da Verizon de 2023, **credenciais roubadas ou comprometidas foram o vetor de ataque inicial em 49% de todas as violações**.

O problema não é que senhas sejam inerentemente inseguras. O problema é que humanos são péssimos em criar, lembrar e gerenciar senhas de forma segura.

## Por Que a Maioria das Senhas Falha

### O Problema da Previsibilidade

Quando pedimos para criar uma senha "forte", a maioria segue os mesmos padrões:

* Começar com uma palavra comum: `Senha`, `Verao`, `Brasil`
* Maiúscula na primeira letra: `Senha`
* Adicionar números no final: `Senha123`
* Adicionar caractere especial: `Senha123!`

Atacantes sabem disso. Ferramentas modernas de quebra de senhas como **Hashcat** e **John the Ripper** usam dicionários e mutações baseadas em regras que visam especificamente esses padrões. Uma senha como `Verao2024!` pode ser quebrada em **segundos**.

### Entropia de Senhas (Password Entropy)

**Entropia** mede a imprevisibilidade de uma senha em bits. Maior entropia = mais difícil de adivinhar.

| Tipo de Senha                     | Exemplo                         | Entropia Aprox. | Tempo para Força Bruta (10B tentativas/seg) |
| --------------------------------- | ------------------------------- | --------------- | ------------------------------------------- |
| 6 caracteres minúsculos           | `kdjfmz`                        | \~28 bits       | \< 1 segundo                                |
| 8 chars mistos + números          | `S@nh@123`                      | \~47 bits       | Minutos (ataque de dicionário)              |
| 12 chars aleatórios               | `kX9#mQ2$bL4!`                  | \~79 bits       | \~19.000 anos                               |
| 4 palavras (passphrase)           | `cavalo-bateria-grampo-correto` | \~55 bits       | Dias a semanas                              |
| 20 chars aleatórios (gerenciador) | `aK8$mQ2x!bL4nR7@wZ9`           | \~131 bits      | Morte térmica do universo                   |

<Note>
  O insight principal: **comprimento supera complexidade**. Uma senha aleatória de 20 caracteres é astronomicamente mais difícil de quebrar do que uma "complexa" de 8 caracteres. É por isso que gerenciadores de senhas são essenciais, eles geram e lembram senhas que humanos jamais conseguiriam.
</Note>

## Passphrases (Frases-Senha)

Uma **passphrase** é uma sequência de palavras aleatórias e não relacionadas usada como senha:

* ✅ `choque-atlas-luto-galgo-cedro` (forte, ou palavras aleatórias, sem padrão)
* ❌ `eu-amo-meu-cachorro-rex` (fraca, ou previsível, informação pessoal)
* ❌ `ser-ou-nao-ser-eis-a-questao` (fraca, ou frase famosa, em todo dicionário)

## Gerenciadores de Senhas (Password Managers)

Um gerenciador de senhas é um cofre criptografado que gera, armazena e preenche automaticamente suas credenciais. Ele resolve o problema fundamental: **você só precisa lembrar uma Senha Mestra forte**, e o gerenciador cuida das outras 200+ contas.

### Gerenciadores Recomendados

| Gerenciador        | Tipo                                | Melhor Para                        |
| ------------------ | ----------------------------------- | ---------------------------------- |
| **Bitwarden**      | Open-source, sincronização em nuvem | Uso geral, transparência           |
| **1Password**      | Comercial, sincronização em nuvem   | Famílias e equipes, excelente UX   |
| **KeePassXC**      | Open-source, local                  | Máximo controle, ambientes offline |
| **Apple Keychain** | Integrado ao iOS/macOS              | Usuários do ecossistema Apple      |

<Warning>
  Sua Senha Mestra é o ponto único de falha. Ela deve ser forte (passphrase de 5+ palavras), única (nunca usada em outro lugar) e nunca escrita em texto puro. Se você esquecê-la, a maioria dos gerenciadores **não pode** recuperar seu cofre.
</Warning>

## Autenticação Multifator: MFA (Multi-Factor Authentication)

MFA adiciona camadas adicionais de verificação além da senha. O princípio é baseado em três **fatores de autenticação**:

1. **Algo que você sabe**: Senha, PIN, pergunta de segurança
2. **Algo que você tem**: Celular, chave de hardware, cartão inteligente
3. **Algo que você é**: Impressão digital (fingerprint), reconhecimento facial, varredura de íris

MFA verdadeiro requer pelo menos dois fatores *diferentes*. Duas senhas não são MFA, ambas são "algo que você sabe."

### O Espectro do MFA (Mais Fraco ao Mais Forte)

<Steps>
  <Step title="Códigos SMS (Mais Fraco)">
    Código único enviado por mensagem de texto. Melhor que nada, mas vulnerável a **SIM swapping (troca de SIM)**: quando um atacante convence sua operadora a transferir seu número para o SIM dele. Em 2019, a conta do CEO do Twitter Jack Dorsey foi sequestrada via SIM swap.
  </Step>

  <Step title="Apps Autenticadores (Bom)">
    Apps como **Google Authenticator**, **Authy** ou **Microsoft Authenticator** geram senhas de uso único baseadas em tempo, conhecida como TOTP (Time-based One-Time Password), que rotacionam a cada 30 segundos. Não são vulneráveis a SIM swapping porque os códigos são gerados localmente.
  </Step>

  <Step title="Notificações Push (Bom)">
    Apps como **Duo** enviam notificações que você aprova ou nega. Porém, são vulneráveis a **ataques de fadiga de MFA (MFA fatigue)**: quando o atacante envia notificações repetidas até a vítima aprovar uma por frustração.
  </Step>

  <Step title="Chaves de Hardware (Excelente)">
    Dispositivos físicos como **YubiKey** ou **Google Titan** que usam o protocolo FIDO2/WebAuthn. Você conecta a chave na porta USB ou encosta no celular. São resistentes a phishing porque a chave verifica criptograficamente o domínio, se o site for um clone de phishing, a chave simplesmente não autentica.
  </Step>

  <Step title="Passkeys, Chaves de Acesso (Melhor)">
    **Passkeys** são o futuro da autenticação. Usam FIDO2/WebAuthn para substituir senhas completamente. Seu dispositivo armazena uma chave privada, e a autenticação acontece via biometria ou PIN do dispositivo. Nenhuma senha para roubar, nenhum código para interceptar.
  </Step>
</Steps>

### Onde Habilitar MFA (Ordem de Prioridade)

1. **E-mail**: É a chave-mestra de todas as outras contas (redefinições de senha chegam aqui).
2. **Gerenciador de senhas**: Se comprometido, todas as senhas ficam expostas.
3. **Banco e serviços financeiros**: Impacto financeiro direto.
4. **Armazenamento em nuvem** (Google Drive, Dropbox, iCloud), Pode conter documentos sensíveis.
5. **Redes sociais**: Atacantes usam contas comprometidas para phishing e impersonação.
6. **Todo o resto**: Habilite MFA em cada serviço que suportar.

<Tip>
  Se você não fizer mais nada após ler esta página, faça estas duas coisas: **(1)** Instale um gerenciador de senhas e gere senhas únicas para suas 10 contas principais. **(2)** Habilite MFA baseado em app autenticador em seu e-mail e contas bancárias. Essas duas ações sozinhas farão você mais difícil de comprometer que 95% dos usuários da internet.
</Tip>
