[Discussão] Geradores de senhas para credenciais

Opa tudo bom? É minha primeira vez publicando aqui :)

Recentemente me deparei com um sentimento estranho, de que devia trocar minhas senhas por não achar elas seguras o suficiente. Depois de um tempo me veio a ideia de usar algum serviço que gere senhas para que eu possa utilizar, mas ainda não utilizei nenhum.

Qual é a opinião de vocês sobre isso? Vocês acham esse tipo de iniciativa segura? Tenho medo de que me deem alguma senha já registrada em alguma wordlist da vida, estando mais sujeito a bruteforce ou algo assim.

filipedeschampshá 3 anos

Seja muito bem vindo jopsfernandes! A sua pergunta é muito importante, pois de fato senha é algo complicado.

Recentemente comecei a transportar as minhas senhas para esses gerenciadores de senha e estou gostando. Por hora estou testando o Bitwarden. Ele é um gerenciador de senha open source que consegue armazenar de forma gratuita qualquer dado sensível e até qualquer documento. Ele tem um vault, que é uma espécie de cofre e você pode colocar o que quiser lá dentro.

Meu único receio é uma pergunta clássica: e se a senha do meu gerenciador de senhas vazar? Para essa situação, todas as senhas que eu salvo dentro do Bitwarden são:

  1. Ou propositalmente incompletas,
  2. Ou com caracteres a mais,
  3. Ou com caracteres diferentes da senha real.

Então eu guardo lá "algo" da senha, mas eu preciso sempre manualmente consertar ela para conseguir usar de fato.

E sobre a senha já ter sido registrada em alguma wordlist, não se preocupe, os gerenciadores de senha também são geradores de senha, veja o printscreen abaixo. Isso significa que eles não vão reaproveitar nenhuma informação de outro lugar e gerar algo o mais randômico possível (incluindo considerando algumas regras que você pode definir, como tamanho, caracteres especiais, etc.)

Gerador de senha do Bitwarden

gpoleszukhá 3 anos
Olá Filipe! Dias atrás um dos editores aqui no TabNews perguntou sobre algo interessante para desenvolver e, neste tópico aqui, pensei algo que poderia estar presente nos sistemas de autenticação. Por incrível que pareça há usuários que utilizam senhas muito fracas mas há também sistemas que, ainda hoje, não suportam senhas com mais de 8 caracteres. Alguns aceitam apenas letras maiúsculas e números e as senhas não expiram. Nem imagino como devem estar armazenadas no lado do servidor : \ ⏩ Na preocupação de ajudar o usuário, alguns sistemas implementam um teste de força de senha, mas não o impede adotar senhas moderadamente fracas. Adicionalmente, como ideia, poderia sugerir para usuários teimosos, com base na força de sua senha, o tempo de vida para a mesma: senhas fracas são punidas com curto período para expirar e, senhas muito fortes, expiram no tempo máximo estabelecido pelo dev. 🔒 Aprecio sua dica de armazenamento de senhas parciais ou extra completas, pois também ainda estou receoso em terceirizar o armazenamento de credenciais válidas em serviços _online_. Troco minhas senhas eventualmente, obtendo **sugestões/entropia** para elas a partir de um gerador aleatório baseado em ruído atmosférico ou de um dos diversos geradores de caracteres aleatórios _online_ (segue alguns deles): https://qrng.anu.edu.au/random-block-alpha/ https://www.random.org/strings/ ⛳ Dica: manter em local seguro o registro de todas as senhas antigas e seu período de uso. Isso ajuda a lembrar quando a mesma deve ser substituída. Não conheço, ainda, serviços _online_ que avisam que a senha do usuário vai expirar. ⚡ Dilema: _Passwords_ versus _Passphrases_ ✅ Uma longa _passphrase_ pode ter mais entropia que uma senha forte e ainda ser mais fácil de memorizar.
filipedeschampshá 3 anos
Sensacional meu caro! Acho muito estranho sites que não aceitam senhas maiores que 8 caracteres... aqui no TabNews isso é um requerimento mínimo 🤝 por outro lado, por enquanto não obrigamos caracteres especiais, nem qualquer outra regra. E idéia muito peculiar essa do tempo de expiração, obrigado por trazer aqui. Em paralelo, já li em muitos lugares que expirar as senhas não é uma boa prática, pois isso acaba fazendo o usuário sempre usar as mesmas, mas com um caractere de diferenciação no final, os mais comuns sendo coisas como `!` ou `@`. Pelo menos em lugares que periodicamente forçam isso, o que é diferente da sua ideia. Bom, no final das contas acho que só existe uma boa proteção para isso que é um segundo fator, algo tão simples quanto um OTP já barraria o acesso, por mais que a pessoa tenha usado uma senha já vazada e comum.
gabrielabpedrohá 3 anos
Também utilizo o `bitwarden` há um tempo e recomendo.