Uma senha, ou password, serve para autenticar uma conta, ou seja, é usada no processo de verificação da sua identidade, assegurando que você é realmente quem diz ser e que possui o direito de acessar o recurso em questão. É um dos principais mecanismos de autenticação usados na Internet devido, principalmente, a simplicidade que possui.

A sua conta de usuário é de conhecimento geral e é o que permite a sua identificação. Ela é, muitas vezes, derivada do seu próprio nome, mas pode ser qualquer sequência de caracteres que permita que você seja identificado unicamente, como o seu endereço de e-mail. Para garantir que ela seja usada apenas por você, e por mais ninguém, é que existem os mecanismos de autenticação.

Existem três grupos básicos de mecanismos de autenticação, que se utilizam de:

• aquilo que você é:
  • informações biométricas (impressão digital, palma da mão, voz e olho).
• aquilo que apenas você possui:
  • cartão de senhas bancárias, token gerador de senhas.
• aquilo que apenas você sabe:
  • perguntas de segurança, senhas.

Algumas das formas como a sua senha pode ser descoberta são:

• ao ser usada em computadores infectados. Muitos códigos maliciosos, ao infectar um computador, armazenam as teclas digitadas (inclusive senhas), espionam o teclado pela webcam (caso você possua uma e ela esteja apontada para o teclado) e gravam a posição da tela onde o mouse foi clicado;
• ao ser usada em sites falsos (phishing). Ao digitar a sua senha em um site falso, achando que está no site verdadeiro, um atacante pode armazená-la e, posteriormente, usá-la para acessar o site verdadeiro e realizar operações em seu nome;
• por meio de tentativas de adivinhação;
• ao ser capturada enquanto trafega na rede, sem estar criptografada;
• por meio do acesso ao arquivo onde a senha foi armazenada caso ela não tenha sido gravada de forma criptografada;
• com o uso de técnicas de engenharia social, como forma a persuadi-lo a entregá-la voluntariamente;
• pela observação da movimentação dos seus dedos no teclado ou dos cliques do mouse em teclados virtuais.

Se uma outra pessoa souber a sua conta de usuário e tiver acesso à sua senha ela poderá usá-las para se passar por você na Internet e realizar ações em seu nome, como:

• acessar a sua conta de correio eletrônico e:
  • ler seus e-mails;
  • furtar sua lista de contatos;
  • enviar mensagens em seu nome, contendo spam, boatos, phishing e códigos maliciosos;
  • pedir o reenvio de senhas de outras contas para este endereço de e-mail (e assim conseguir acesso a elas);
  • trocar sua senha, dificultando que você acesse novamente sua conta.
• acessar o seu computador e :
  • obter informações sensíveis nele armazenadas, como senhas e números de cartões de crédito;
  • apagar seus arquivos;
  • instalar códigos e serviços maliciosos;
  • utilizar o seu computador para esconder a real identidade desta pessoa (o invasor) e, então, desferir ataques contra computadores de terceiros;
  • trocar sua senha, dificultando que você o acesse novamente.
• acessar a suas redes sociais e:
  • denegrir a sua imagem;
  • explorar a confiança de seus amigos/seguidores ;
  • enviar mensagens em seu nome, contendo: spam, boatos, phishing e códigos maliciosos;
  • alterar as configurações feitas por você, tornando públicas informações privadas;
  • trocar sua senha, dificultando que você acesse novamente seu perfil.
• acessar a sua conta bancária e verificar o seu saldo e extrato;
• acessar o seu site de comércio eletrônico e:
  • fazer compras em seu nome;
  • alterar as informações de cadastro;
  • verificar informações sobre suas compras anteriores.
• acessar o seu dispositivo móvel e:
  • furtar sua lista de contatos e suas mensagens;
  • acessar e/ou copiar fotos e vídeos;
  • bloquear o acesso ao dispositivo;
  • apagar completamente os dados nele armazenados.

Evite usar:

• dados pessoais
  • nome, sobrenome
  • contas de usuário
  • datas
  • números de documentos, de telefones ou de placas de carros
• dados disponíveis em redes sociais e páginas Web
• sequências de teclado: “1qaz2wsx”, “QwerTAsdfG”
• palavras presentes em listas publicamente conhecidas
  • músicas, times de futebol
  • personagens de filmes
  • dicionários de diferentes idiomas

Use:

• números aleatórios
  • quanto mais ao acaso forem os números melhor
  • principalmente em sistemas que aceitem exclusivamente caracteres numéricos
• grande quantidade de caracteres
  • quanto mais longa for a sua senha melhor
• diferentes tipos de caracteres
  • quanto mais “bagunçada” for a sua senha melhor

Não exponha suas senhas

• certifique-se de não estar sendo observado ao digitá-las
• não as deixe anotadas em locais onde outros possam ver
  • um papel sobre sua mesa ou colado em seu monitor
• evite digitá-las em computadores e dispositivos móveis de terceiros
• Não forneça suas senhas para outras pessoas
  • cuidado com e-mails/telefonemas pedindo dados pessoais
• Use conexões seguras quando o acesso envolver senhas

Evite:

• salvar as suas senhas no navegador Web
• usar opções, como: “Lembre-se de mim”, “Continuar conectado”
• usar a mesma senha para todos os serviços que acessa
  • basta ao atacante conseguir uma senha para ser capaz de acessar as demais contas onde ela seja usada
• Não use senhas de acesso profissional para acessar assuntos pessoais (e vice-versa)
  • respeite os contextos
• Crie grupos de senhas, de acordo com o risco envolvido:
  • crie senhas:
    • únicas, fortes, e use-as onde haja recursos valiosos envolvidos
    • únicas, um pouco mais simples, e use-as onde o valor dos recursos protegidos é inferior
    • simples e reutilize-as para acessos sem risco
• Armazene suas senhas de forma segura:
  • grave-as em um arquivo criptografado
  • use programas gerenciadores de contas/senhas
  • anote-as em um papel e guarde-o em local seguro

https://cartilha.cert.br/senhas/