Já que você vai precisar trocar suas senhas, que tal aproveitar para saber como ter senhas diferentes para cada serviço on-line, fazê-las parecer aleatórias – como Ae9^Dir19 ou quTE1W#sa – e não ter dificuldade de lembrar delas?

Você deve ter ouvido falar no bug Heartbleed, descoberto nesta semana (abril de 2014), que atacou a criptografia da web e comprometeu ao longo de 2 anos a segurança de boa parte dos sites mais populares da web (incluindo nomes como Gmail, Facebook, Dropbox e muitos outros) e que, para todos os efeitos práticos, significa que as suas senhas e outros dados de acesso podem estar nas mãos de terceiros mal-intencionados.

Uma das providências necessárias para reduzir os danos causados pelo bug é trocar as suas senhas assim que cada site corrigir o bug nas suas instalações (vários já corrigiram e você não deve aguardar para trocar a senha neles).

Desta vez o vazamento afetou simultaneamente a maioria dos sites "seguros", mas geralmente os comprometimentos ocorrem com um site de cada vez, razão pela qual você continua precisando ter uma senha diferente em cada site, se quiser ficar tranquilo¹.

Usar senhas complicadas e simultaneamente evitar repeti-las em mais de um site pode ser complicado, mas com uma técnica simples é possível saber como criá-las e nunca esquecê-las. Eu a uso há anos para dezenas de senhas, e não sou o único.

E hoje, ao gerar uma nova regra pessoal para trocar todas as minhas senhas mais uma vez, voltei a lembrar de compartilhar a dica com vocês.

O que são senhas fortes

Se a sua senha é um padrão comum (como "123456"), há programas para testar automaticamente uma série de padrões assim e encontrá-la em poucos minutos. Já se ela é uma palavra que consta no dicionário ou enciclopédia, ou derivada delas (como "superman73", "Ram0nes" ou "Tcha1kovsky"), adivinhe: também há programas para testar automaticamente todas as palavras de vários dicionários e encontrá-las em tempo bem razoável.

Uma senha forte mistura letras, números e símbolos, e não deriva diretamente de nenhuma palavra que conste em dicionários, enciclopédias ou padrões identificáveis de forma automatizada (tais como sequências alfabéticas, sequências de caracteres próximos no teclado, a primeira letra do nome de cada um de seus filhos, ...).

Uma senha forte lembra o que um bebê (ou gato, ou... um bebê gato) produziria batucando no teclado: Ae9^Dir19, quTE1W#sa, e assim por diante, com aparência aleatória.

O problema principal, no caso, é memorizar cada uma delas: se você criá-las de forma verdadeiramente aleatória e tiver uma para cada serviço, e todas forem assim "malucas", será necessário uma memória prodigiosa, ou recorrer a algum software ou outro recurso especializado para registrá-las e no qual você confie (existem vários, muitos são positivamente avaliados por especialistas, como o 1password e as senhas compartilhadas do iCloud – mas não uso nenhum).

Como ter senhas fortes usando uma regra pessoal

Aquelas senhas "aleatórias" vistas acima são muito difíceis de memorizar, mas e se você inventar uma maneira de produzir senhas fortes de forma que façam sentido apenas para você, e pareçam aleatórias para as demais pessoas?

Aí basta lembrar dessa maneira escolhida (que só você conhece) e pronto: senhas complexas, que não façam sentido para mais ninguém, e que se você esquecer, podem ser reconstruídas com a simples aplicação da mesma regra.

Vamos a um exemplo, lembrando que a "maluquice" da regra (que na teoria criptográfica corresponde à ampliação da entropia) que você inventar funciona a seu favor, e que você NÃO DEVE copiar exatamente o que eu vou descrever a seguir.

Exemplo 1: endereço do meu avô, mais número de letras e vogais do nome do site

Na década de 1980 meu avô morava na rua Alexandre Doehler número 99, apartamento 19, e essa informação provavelmente não consta em nenhum cadastro associado a mim (mas hoje consta, porque já a divulguei como exemplo anteriormente. Ignore este fato, para propósitos didáticos ツ).

Poderíamos extrair vários padrões "malucos" destes dados, mas vou começar com um bem simples:

1. Separar a primeira e última letras do nome e sobrenome da rua: AeDr.
2. Já temos minúsculas e maiúsculas, mas precisamos de números. Vamos inseri-los, diretamente a partir dos que constam no endereço, em sua ordem natural: Ae99Dr19 – sabendo que aquele endereço é significante para mim, continua bem fácil de lembrar, não?
   Neste ponto já temos uma senha razoavelmente boa, mas ainda falta ao menos um símbolo e a garantia de que teremos uma senha diferente para cada site, serviço ou software.

   Para começar, que tal substituir um ^ na posição correspondente à segunda vogal no nome do serviço para o qual você vai usar a senha? Assim, para o Facebook, nossa senha maluca viraria Ae9^Dr19 (o "e" é a segunda vogal do nome Facebook, e foi colocado na quarta posição da senha), para o Twitter a senha seria Ae99D^19, etc.

   Neste ponto já estamos em um bom começo, mas a entropia ainda é bem insuficiente: a senha para o Gmail seria a mesma Ae9^Dr19 que geramos para o Facebook, por exemplo. Dá para melhorar.

   Para dar um passo a mais, que tal inserir a penúltima letra do nome do serviço, 2 posições após o símbolo que foi substituído? Aí a senha do Facebook ficaria Ae9^Dor19, a do Twitter seria Ae99D^1e9 e a do Gmail seria Ae9^Dir19

Isoladamente, as 3 senhas acima parecem geradas aleatoriamente, e a regra de formação delas não é óbvia para um teste automatizado, especialmente sem o conhecimento daquele dado importante: o endereço do seu avô na década de 1980. E se alguém vier a ter acesso à senha de um ou 2 dos seus serviços on-line, em vazamentos sucessivos, ainda assim pode ter dificuldade para entender a relação entre elas, e para adivinhar uma terceira.

Exemplo 2: partindo da letra de uma música obscura

Vamos usar como origem um verso de uma música que não seja a sua preferida, e também não esteja entre os maiores sucessos de seu autor (porque senão a possibilidade de ser associada a você ou reconhecida é maior).

Para este exemplo, vamos usar a música "Declare Guerra", do início da carreira do Barão Vermelho. Agora o passo-a-passo vai ser menos detalhado, porque você já entendeu como o procedimento funciona:

1. Vamos partir de um verso da música, escolhido ao acaso: "Chega de passar a mão na cabeça de quem te sacaneia", e pegar as 2 primeiras letras das 3 últimas palavras dele: quTEsa – 2 delas foram escolhidas arbitrariamente para ficar em maiúsculas.
2. Essas mesmas 3 palavras da letra original têm um total de 14 letras, portanto aí está o número que desejamos inserir: quTE14sa
3. Agora vamos escolher 2 símbolos diferentes para alternar: se o número de letras do nome do serviço for ímpar, vai ser o # (que no meu teclado fica em cima da tecla 3, que é ímpar), e em caso contrário será o $ (que fica em cima do 4, que é par).
4. Resta decidir a que altura inseri-los. Para simplificar, vou usar a mesma regra do exemplo 1: na altura da segunda vogal do nome do serviço. Assim, a senha do Facebook (8 letras, par) ficaria quT$14sa, a do Twitter (7 letras, ímpar) ficaria quTE1#sa e a do Gmail (ímpar) seria quT#14sa.
5. Para garantir um mínimo de entropia adicional necessária, vamos inserir a segunda letra do nome de cada serviço, escrito em maiúscula, imediatamente antes do símbolo do passo anterior. Assim, a senha do Facebook ficaria quTA$14sa, a do Twitter ficaria quTE1W#sa e a do Gmail seria quTM#14sa.

A prática de métodos similares a este que compartilhei me indica que é fácil memorizar as senhas variadas de cada serviço ou site, e lá pelo terceiro dia já não preciso ficar lembrando da regra a cada novo login nos sites que uso com frequência. Já para os sites que uso menos, de vez em quando tenho que usar a regra, mas é fácil o suficiente.

Restam as personalizações (crie sua regra, não repita as dos exemplos, nem reuse os mesmos símbolos e critérios seletores!) e as exceções: sites ou serviços que exigem outros tamanhos de senhas, sites nos quais você tem um login (dica: use algum detalhe do login como parte da regra da senha), ou mesmo sites que exigem um número determinado de letras, números, símbolos, etc. Lidar com elas precisa ser parte da sua regra.

Considerações finais

Duas recomendações extras: compartilhe a regra com a pessoa em quem você confia para lidar com seus acessos em caso de uma incapacidade sua ou outra emergência (coma, acidente, etc.), e aplique a mesma regra a 100% dos serviços, o que certamente demandará uma ou duas horas do seu tempo até trocar todas.

E a terceira nem deveria precisar ser escrita: não esqueça a sua regra, ou você estará numa situação potencialmente pior do que a de quem usa a mesma senha para todos os sites!

Em tempo: senhas difíceis de memorizar ou complicadas de escrever são uma consequência de uma má escolha tecnológica, que são essas senhas relativamente curtas que usamos no dia-a-dia (como explica a célebre tirinha do XKCD).

Imagino que não demoraremos a ver a popularidade de outros métodos: comprovação de identidade baseada em gestos, em reconhecimento de padrões, em séries de palavras, etc. Enquanto isso não chega, precisamos nos virar com o que temos!

E será que você notou a pegadinha? Reveja agora o trecho do texto acima em que eu "chutei" 2 senhas e disse que poderiam ser produzidas por um bebê batucando no teclado. Você irá notar que ambas resultaram dos passos finais dos 2 exemplos que dei da formação de senhas, e portanto não eram tão chutadas assim. Que tal? ツ