A Arte das Passwords Fortes na Era da Inteligência Artificial
As passwords são a forma de autenticação mais comum — o clássico “algo que sabes”. Continuam a ser o método mais utilizado para proteger contas em todo o mundo. Estudos indicam que cerca de metade das aplicações ainda dependem exclusivamente de passwords, e apenas cerca de 12% das pessoas utilizam uma password única para cada aplicação. O problema é que os seres humanos conseguem memorizar, em média, entre cinco e sete passwords, mas a maioria de nós gere entre setenta e cem contas online. Esta discrepância leva a hábitos arriscados, como reutilizar passwords ou guardá-las numa aplicação de notas (claro que não é o teu caso).
Este artigo não pretende promover a autenticação sem password, até porque muitas contas ainda não estão preparadas para isso. O objetivo é abordar as cadeias confusas de texto em que continuamos a confiar para proteger a nossa vida digital. Vamos perceber porque é que as passwords continuam a ser importantes, o que distingue as fortes das fracas e o que o futuro lhes poderá reservar. No final, terás as ferramentas para escolher uma password mais inteligente, mais forte e, talvez, quase impossível de decifrar.
Porque é que as passwords são mais importantes do que nunca
Na economia atual, os dados são dinheiro — e, para os atacantes, a tua password pode valer apenas alguns euros na dark web. Mas se conseguirem aceder à tua caixa de correio ou aos teus ficheiros e roubar informação corporativa, isso pode valer centenas de milhares. Seja a tua conta bancária, o e-mail, o número de contribuinte ou dados de saúde, uma password continua a ser uma das formas mais fáceis de um intruso entrar. Se usas “password123”, é praticamente como deixares as portas das tuas contas escancaradas. À medida que os ataques se tornam mais sofisticados, as passwords fortes tornam-se essenciais.
Muitas pessoas sabem que “password123” é fraca, mas nem todas compreendem verdadeiramente o que torna uma password mais forte do que outra — e nem sempre é o que parece. Para ajudar, vamos analisar algumas prioridades simples a ter em conta na criação da tua próxima password.
Prioridade 1: O Comprimento é o Fator Mais Importante
Aviso: a força de uma password não tem nada a ver com halteres. E a sua fraqueza não depende de quão fácil é para um humano lê-la. Os atacantes têm várias formas de roubar passwords. Por vezes, enganam-te para que as escrevas num site falso — e, nesse caso, não importa o quão complexa ela é, porque acabaste de a entregar.
A força de uma password é mais relevante quando os atacantes roubam grandes bases de dados de credenciais de utilizadores, frequentemente de empresas com milhões de contas, como o LinkedIn ou o Facebook. Essas bases de dados não guardam a tua password diretamente, mas sim uma versão cifrada. Para descobrir a original, os atacantes têm de fazer várias tentativas e comparar resultados até encontrarem uma correspondência.
Este processo chama-se “cracking” de passwords — é como tentar adivinhar a combinação de um cofre. Quanto mais longa e complexa for a combinação, mais tentativas serão necessárias. Os atacantes utilizam computadores muito potentes, e quanto mais fortes forem essas máquinas, mais rapidamente conseguem adivinhar.
Consulte a tabela abaixo para ver quanto tempo levaria usando três abordagens diferentes: um cluster simples de GPU Nvidia, adivinhação online e um computador quântico teórico.
Tabela 1: Tempo de quebra de senha por comprimento e poder de computação
| Length | Character Combination | GPU Cluster Crack Speed | Cloud Compute Crack Speed | Quantum (theoretical Crack Speed) |
| 8 | lowercase letters only | instantly | seconds | instantly |
| 8 | mixed letters + numbers | minutes–hours | hours–days | seconds |
| 8 | complex (symbols) | hours–days | days–weeks | minutes |
| 16 | lowercase only | days–weeks | centuries | minutes–hours |
| 16 | mixed letters + numbers | years | millennia | hours–days |
| 16 | complex (symbols) | many years | practically infeasible | days–years |
Não é preciso ser um génio da matemática para perceber que o fator mais importante numa password é o seu comprimento, não o quão complicada parece. Claro que passwords longas podem ser mais incómodas de digitar, mas tem isto em mente: se utilizasses uma password composta apenas pela letra “a” repetida quarenta vezes, até um computador quântico demoraria centenas de milhares de anos a decifrá-la.
Prioridade 2: Únicas e Bem Geridas
Lembrar dezenas de passwords únicas e complexas é impossível — e ninguém te está a pedir isso. Um gestor de passwords pode ser uma forma prática de as guardar, mas também representa um ponto central que os atacantes podem tentar explorar. Guardar as passwords num cofre digital seguro é sempre recomendável, mas o gestor que escolheres deve também ajudar-te a alterar passwords periodicamente e alertar-te caso o próprio gestor ou uma das tuas contas tenha sido comprometida. Combinando isto com passwords complexas, reduzes significativamente a janela de oportunidade para os atacantes.
Prioridade 3: Eliminar Contas Inativas
Tal como atualizas as passwords das contas que usas, deves também eliminar as contas que já não precisas. Se não acedes à tua conta do Myspace desde o início dos anos 2000, talvez esteja na altura de deixar essa página da banda no passado. Pode parecer que a tua antiga conta de Hotmail não tem valor, mas se alguma vez a utilizaste como e-mail de recuperação para uma conta bancária que ainda tens, o melhor é entrares em [email protected] e encerrá-la antes que alguém se aproveite dela.
Prioridade 4: Monitorizar as contas
Seria impensável que o teu banco não tivesse ninguém a vigiar o cofre — e o mesmo se aplica às tuas contas online. Monitorizar tentativas de início de sessão e alterações no sistema é tão importante como trancar a porta. As notificações de fugas de dados ou as análises da dark web surgem, muitas vezes, semanas depois de a tua informação já ter sido exposta. A monitorização contínua das tuas contas, incluindo serviços gratuitos de vigilância de crédito quando disponíveis, acrescenta uma camada extra essencial de proteção.
Olhar para o Futuro: Como a IA está a mudar o jogo das passwords
Os atacantes já não se limitam a usar computadores mais rápidos — agora recorrem à inteligência artificial para adivinhar passwords de forma mais inteligente. Em vez de testarem todas as combinações possíveis, os modelos de IA aprendem com mil milhões de passwords já divulgadas e conseguem prever os padrões que as pessoas mais tendem a criar. Isso significa que passwords baseadas em nomes, datas de nascimento, equipas de futebol ou letras de músicas são descobertas muito mais depressa do que antes.
A IA também torna os ataques de phishing mais difíceis de detetar. Páginas de login falsas ou e-mails fraudulentos podem ser gerados automaticamente, com logótipos convincentes, gramática perfeita e até vozes geradas por IA que imitam alguém em quem confias. Nessas situações, nem a password mais forte te protege se a entregares inadvertidamente.
Do lado da defesa, a IA pode ser uma aliada poderosa. Os sistemas de segurança já a utilizam para detetar padrões de login invulgares — como uma tentativa de acesso a partir de outro país às três da manhã — e bloquear ou desafiar essa tentativa. A IA também pode ajudar a monitorizar fugas de dados na dark web, verificando se a tua password foi comprometida e alertando-te mais rapidamente do que os métodos tradicionais.
Assim, a IA funciona nos dois sentidos: torna os atacantes mais rápidos e inteligentes, mas também dá aos defensores melhores ferramentas. Por isso, o básico — passwords longas, únicas e bem geridas, aliadas à monitorização — é agora mais importante do que nunca, e continuará a sê-lo no futuro.
