Nos últimos anos, muito tem se falado sobre o crescente potencial da autenticação sem senha e das chaves de acesso. Com a quase onipresença do reconhecimento facial baseado em smartphones e tablets, a capacidade de fazer login em aplicativos favoritos ou em outros serviços apenas olhando para um dispositivo (ou utilizando outro método de autenticação biométrica) tornou-se uma realidade simples e segura para muitas pessoas. No entanto, isso ainda não é a norma, especialmente no mundo dos desktops, onde muitos usuários ainda dependem das tradicionais senhas.

É aí que reside o desafio, pois as senhas continuam sendo um alvo interessante para os cibercriminosos. Então, com que frequência devemos alterar essas credenciais para mantê-las seguras? Responder a essa pergunta pode ser mais complicado do que você imagina.

Por que as alterações de senha podem não fazer sentido?

Até pouco tempo atrás, o ideal era alterar regularmente as senhas para reduzir o risco de roubo ou quebra por cibercriminosos. A orientação geralmente sugeria uma troca a cada 30 a 90 dias.

No entanto, os tempos estão mudando e as pesquisas sugerem que alterações frequentes de senha, especialmente em um cronograma definido, podem não melhorar necessariamente a segurança de uma conta. Em outras palavras, não há uma resposta única para quando você deve alterar sua(s) senha(s). Além disso, muitos de nós temos um número excessivo de contas para gerenciar, tornando difícil criar senhas fortes e exclusivas para cada uma delas a cada poucos meses. Além disso, agora vivemos em um mundo de gerenciadores de senhas e autenticação em dois fatores (2FA) em quase todos os lugares.

Com os gerenciadores de senhas fizeram com que seja mais fácil armazenar e lembrar senhas longas, fortes e exclusivas para cada conta. A autenticação em dois fatores adicionou uma camada extra de segurança sem interrupções ao processo de login por senha. Alguns gerenciadores de senhas agora também incluem monitoramento da dark web, sinalizando automaticamente quando as credenciais podem ter sido vazadas e disseminadas em sites clandestinos.

De qualquer forma, há alguns motivos convincentes pelos quais os especialistas em segurança e autoridades respeitadas mundialmente, como o National Institute of Standards and Technology (NIST) dos EUA e o National Cyber Security Centre (NCSC) do Reino Unido, não recomendam que as pessoas sejam obrigadas a alterar suas senhas a cada poucos meses, a menos que determinados critérios sejam atendidos.

A justificativa é bastante simples:

  • De acordo com o NIST, "os usuários tendem a escolher senhas memorizáveis mais fracas quando sabem que terão que alterá-las em um curto período de tempo."
  • "Quando essas alterações ocorrem, os usuários geralmente escolhem senhas que sejam semelhantes às senhas anteriores que já foram memorizadas, aplicando um conjunto de transformações comuns, como a inclusão de um número na senha", destaca o NIST.
  • Essa prática proporciona uma falsa sensação de segurança porque, se uma senha anterior tiver sido comprometida e o usuário não a substituir por uma senha forte e exclusiva, os invasores poderão facilmente decifrá-la novamente.
  • Novas senhas, especialmente se forem criadas a cada poucos meses, também têm maior probabilidade de serem anotadas e/ou esquecidas, de acordo com o NCSC.

"É um daqueles cenários de segurança contra-intuitivos: quanto mais frequentemente os usuários forem forçados a alterar as senhas, maior será a vulnerabilidade geral a ataques. O que parecia ser um conselho perfeitamente sensato e estabelecido há muito tempo não resiste, ao que parece, a uma análise rigorosa de todo o sistema", argumenta o NCSC.

"O NCSC agora recomenda que as organizações não forcem a expiração regular da senha. Acreditamos que isso reduz as vulnerabilidades associadas à expiração regular de senhas e, ao mesmo tempo, não exclui o risco de exploração de senhas a longo prazo."

Quando você deve alterar sua senha

No entanto, há vários cenários que exigem uma alteração de senha, especialmente para suas contas mais importantes. Isso inclui:

  • Sua senha foi descoberta em um vazamento de dados de terceiros. Você provavelmente foi informado sobre isso pelo próprio provedor, ou se inscreveu para receber alertas em serviços como o Have I Been Pwned, ou foi notificado pelo provedor de um gerenciador de senhas que executa verificações automáticas na dark web.
  • Sua senha é fraca e fácil de adivinhar ou quebrar (ou seja, ela pode ter aparecido em uma lista das senhas mais comuns). Os cibercriminosos podem usar ferramentas para testar senhas comuns em várias contas na esperança de que uma delas funcione - e, na maioria das vezes, eles conseguem.
  • Você tem reutilizado a senha em várias contas. Se uma dessas contas for violada, os cibercriminosos poderão usar um software automatizado de "preenchimento de credenciais" para abrir sua conta em outros sites/aplicativos.
  • Você acabou de saber, por exemplo, graças ao seu novo software de segurança, que seu dispositivo foi comprometido por um malware.
  • Você compartilhou sua senha com outra pessoa.
  • Você acabou de remover pessoas de uma conta compartilhada (por exemplo, antigos colegas).
  • Você fez login em um computador público (por exemplo, em uma biblioteca) ou no dispositivo/computador de outra pessoa.

Sugestões de práticas recomendadas para senhas

Considere o seguinte para minimizar as chances de invasão de conta:

  • Sempre use senhas fortes, longas e exclusivas;
  • Armazene suas senhas em um gerenciador que terá uma única credencial mestra para acesso e poderá recuperar automaticamente todas as suas senhas de qualquer site ou aplicativo;
  • Fique atento aos alertas de vazamento de senhas e tome medidas imediatas após recebê-los;
  • Ative a autenticação em dois fatores sempre que ela estiver disponível para fornecer uma camada adicional de segurança à sua conta;
  • Considere a possibilidade de realizar auditorias regulares de senhas: analise as senhas de todas as suas contas e certifique-se de que elas não sejam duplicadas ou fáceis de adivinhar. Altere as senhas fracas ou repetidas, ou aquelas que possam conter informações pessoais, como datas de aniversário ou animais de estimação da família;
  • Não salve suas senhas no navegador, mesmo que isso pareça uma boa ideia. Isso ocorre porque os navegadores são um alvo popular para os cibercriminosos, que podem usar malware de roubo de informações para capturar suas senhas. Isso também pode expor suas senhas salvas a qualquer outra pessoa que use seu dispositivo/computador.

Se você não usa as senhas fortes e aleatórias sugeridas pelo seu gerenciador de senhas (ou pelo gerador de senhas da ESET), confira esta lista de dicas da Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA). A lista sugere que você use uma senha ou frase secreta longa (8 a 64 caracteres) sempre que possível, incluindo letras maiúsculas e minúsculas, números e caracteres especiais.

Com o tempo, espera-se que as senhas - com o apoio do Google, da Apple, da Microsoft e de outros importantes participantes do ecossistema tecnológico - finalmente sinalizem o fim da era das senhas. Mas, enquanto isso, garanta que suas contas estejam o mais seguras possível.