As regras para senhas fortes não funcionam, descobrem os pesquisadores

Em nome da cibersegurança, você pode parar de adicionar um ponto de exclamação ao final de sua senha.

Quando você cria uma senha para outra conta nova, provavelmente encontrará regras familiares projetadas para dificultar a entrada de hackers: Use letras maiúsculas, números e caracteres especiais. No entanto, pesquisadores da Carnegie Mellon University dizem que esses requisitos não tornam sua senha mais forte .

Lorrie Cranor , diretora do CyLab Usable Security and Privacy Laboratory na CMU, diz que sua equipe tem uma maneira melhor, um medidor que os sites podem usar para solicitar que você crie senhas mais seguras. Depois que um usuário criar uma senha de pelo menos 10 caracteres, o medidor começará a dar sugestões, como quebrar palavras comuns com barras ou letras aleatórias, para tornar sua senha mais forte. 

As sugestões definem o medidor de força da senha além de outros medidores que fornecem uma força de senha estimada, geralmente usando cores. As sugestões vêm de armadilhas comuns que a equipe de Cranor viu as pessoas fazerem ao configurar senhas durante experimentos executados pelo laboratório.

Um dos problemas com muitas senhas é que elas marcam todas as verificações de segurança , mas ainda são fáceis de adivinhar, porque a maioria de nós segue os mesmos padrões, descobriu o laboratório. Números? Você provavelmente adicionará um “1” no final. Letras maiúsculas? Você provavelmente o tornará o primeiro na senha. E personagens especiais? Frequentemente pontos de exclamação.

O medidor de senha do CMU oferecerá conselhos para fortalecer uma senha como “ILoveYou2!” – que atende aos requisitos padrão. O medidor também oferece outros conselhos com base no que você digita, como lembrá-lo de não usar um nome ou sugerir que você coloque caracteres especiais no meio de sua senha. 

“É relevante para o que você está fazendo, ao invés de uma dica aleatória”, disse Cranor. 

Em um experimento, os usuários criaram senhas em um sistema que simplesmente exigia que eles digitassem 10 caracteres. Em seguida, o sistema classificou as senhas com o medidor de força de senha do laboratório e deu sugestões personalizadas para senhas mais fortes. As cobaias foram capazes de criar senhas seguras que poderiam lembrar até cinco dias depois. Funcionou melhor do que mostrar aos usuários listas de regras predefinidas ou simplesmente banir senhas ruins conhecidas (estou olhando para você “StarWars”).

Cranor e os coautores Joshua Tan, Lujo Bauer e Nicolas Christin apresentarão suas últimas descobertas sobre senhas na quinta-feira na Conferência ACM sobre Segurança de Computadores e Comunicações , que está sendo realizada virtualmente. A equipe espera que suas ferramentas sejam adotadas por fabricantes de sites no futuro.

Enquanto isso, Cranor diz que a melhor maneira de criar e lembrar senhas seguras é usar um gerenciador de senhas . Esses não são amplamente adotados e vêm com algumas compensações. No entanto, eles permitem que você crie uma senha única e aleatória para cada conta e lembram suas senhas para você.