Blog
Artigos sobre palavras-passe, segurança e porque quase tudo o que nos ensinaram estava errado.
O que acontece mesmo quando a tua palavra-passe é divulgada
A tua palavra-passe não é divulgada e perde-se: é divulgada e começa a circular. Quebra-se sem pressa, cruza-se com outras listas e acaba num combo que alguém experimenta no teu banco. O que a torna valiosa não é ter sido fraca. É ter sido a mesma.
Hash, sal, bcrypt e Argon2: o que faz com a tua palavra-passe um site bem feito
Sempre que te deixam entrar, alguém verifica alguma coisa. Mas verificar não é saber. A história de como aprendemos a não guardar as palavras-passe, e de porque é que a função que as protege tem de ser lenta — e cara — de propósito.
Quanto tempo demora mesmo a quebrar a tua palavra-passe
Os sites que te prometem «3 milhões de anos» estão a esconder-te metade da equação. A mesma palavra-passe pode cair numa tarde ou aguentar séculos consoante a forma como a guardou o sítio onde te registaste — um dado que não escolhes e que ninguém te ensina. Isto é o que está por trás do número.
Diceware: como uns dados fazem melhor palavra-passe do que tu
Pede a alguém uma palavra ao acaso e não te dará uma palavra ao acaso: dar-te-á uma palavra dele. Arnold Reinhold resolveu isso em 1995 com cinco dados e uma lista de 7.776 palavras. A graça do invento é que os dados não têm gostos, nem memória, nem o dia que tu levas.
O que são os bits de entropia, e porque é que não te damos uma percentagem
Uns 92 % de robustez não querem dizer nada: não há 100 nenhum a que chegar. Os bits querem dizer alguma coisa muito concreta, e sempre a mesma. Cada bit que acrescentas duplica o trabalho de quem te tenta adivinhar, por isso 40 bits não é o dobro de 20 — é um milhão de vezes mais.