Só um adendo para quem quiser saber como funciona as senhas nos sistemas do phpBB:
No phpBB, a encriptação das senhas é feita em
MD5. MD5 é um método unilateral de encriptação, ou seja, só dá para encriptar. O fórum lê as senhas enviadas sempre convertendo-a em MD5 e comparando com a senha encriptada do banco de dados. Dito isso, mesmo que alguma pessoa tenha acesso ao banco de dados, ela não terá acesso às senhas puras e desencriptar senhas é algo sempre demorado.
O phpBB
não usa chave complementar (o Mambo, por exemplo, usa). É um pedaço de texto aleatório escolhido na instalação feito para acrescentar à senha enviada pelo usuário para criar uma encriptação maior e diferente de outros lugares usando o mesmo sistema. Se fosse descodificar esse tipo de senha, se acharia sempre a senha do usuário misturada com a chave complementar. Como ela geralmente tem 14 letras e bem embaralhadas, fica muito difícil desencriptar este tipo de senha. No entanto, se perder a chave complementar (caso aconteça algo com os arquivos), não dá mais para consertar (a menos que numa cagada se ache a chave complementar perdida).
Sempre que se for fazer uma senha, tente criá-la bem grande. Com mais de 9 caracteres, quase ninguém se arriscaria a prosseguir com uma tentativa de desencriptação. Eu uso uma senha de 14 letras e, para decorar mais fácil, ela tem uma palavra e um pedaço de letras e números alternados. Não uso letras em maiúsculas nem símbolos como #, $, % e @ mas já oferece uma boa proteção só pelo tamanho e tanto a palavra escolhida como o código são bem complicados.
Agora vejam como
devem fazer a sua senha:
- Não use uma palavra de nenhum vocabulário. Ataques com dicionários de palavras pegam facinho estas senhas.
- Não use nenhum número de identificação ou data de aniversário, seja lá de quem for. Se tiverem mesmo a fim da sua senha, vão procurar tentar usar seu RG, CPF, aniversário, etc...
- Não use uma senha com menos de 9 letras. Como dito antes, é quase inviável uma pessoa insistir em quebrar uma senha por brute-force com senhas grandes, pelo tempo que leva.
- Evite de usar a mesma senha de um lugar importante em outro lugar mais suspeito ou famoso. Se acontece algum ataque no Orkut, e pegam sua senha, e ela servir para acessar um net-banking, por exemplo, você tá fudido.
- Se você só puder usar 6 letras e sem muita firula (como alguns provedores de Internet com mentalidade arcaica ou programas mal escritos), use o que dá para fazer ou faça uma senha só para aquele fim.
- Passe um tempo decorando um código de 6 letras e números alternados e use com alguma palavra exótica, inventada ou algo que você sabe que não vai esquecer. Algo como "quetzacoalt32t56g" por exemplo. Fica mais fácil de decorar do que um código extenso de números alternados sozinhos e mantém uma boa segurança.
- Evite anotar sua senha. Às vezes quem hackeia alguma conta sua pode ser alguém que tenha estado na sua casa ou escritório. Pode até ser um cônjuge ciumento, por exemplo.
- Ao acessar um netbanking, mantenha somente uma janela do navegador aberta e, de preferência, que esse navegador não seja o Internet Explorer.
- Verifique periodicamente o computador à procura de pragas como adwares, spywares, etc. Um desses programas (pricnipalmente os keyloggers) pode tentar pegar suas senhas. Recomendo o "Spybot - Search & Destroy"
- Use firewall. Anti-vírus é bom, mas é o firewall que vai te proteger de invasões e instalações de malwares, criados às vezes só para atacar você. Recomendo o "Zone Alarm"
- Cuidado com os e-mails que recebe. Nunca acesse uma página de banco, cartão virtual, site do governo, eBay e Mercado Livre por qualquer link de qualquer e-mail. O browser tá logo ali e você sabe o endereço.
- Cuidado com URLs que possuem uma "@". Ela serve para enviar dados a um servidor antes do link propriamente dito (Ex: username:password@www.pornografia.com.br). Hackers podem usar isto para disfarçar endereços maliciosos (Ex: http://orkut.com:@alenonimo.com.br). Olho vivo nos links que clica.[/list:u]
Não precisa ficar paranóico também. Basta ter uma noção de segurança e manter sempre a postura cética com tudo o que vê na Internet. Os bandidos virtuais também atiram para todos os lados e quase nunca estão atrás de você especificamente (a menos que estejam tentando tomar sua comunidade no Orkut, por exemplo).
O Sodré teve uma vez suas contas hackeadas por usar a senha 144000 (número de futuros arebatados por Jesus de acordo com a crença adventista), que é uma senha esperada vinda de adventistas. Marcou toca e quase se ferrou. O hacker nesse caso era anti-adventista e zoou com o Fórum Adventista e tentou fazer o Sodré parecer um palhaço. Aprendeu na marra a cuidar da segurança das senhas, mas acho que nós não precisamos sofrer este tipo de coisa para isso, não é?
Então é só manter a calma e agir sempre da maneira mais segura possível. Senhas seguras evitam dor de cabeça.
PS: Sobre o ataque ao Fórum STR, pelo suposto hacker "guest", alguns acham até hoje que eu invadi e tomei as senhas ou algo assim. Como eu disse antes, não é fácil tirar as senhas do phpBB e, se fosse mesmo a minha intenção roubar as senhas, não teria avisado as pessoas para trocarem-na. Outros falam que eu quis aparecer, mas na verdade um hacker white-hat ("do bem") que tava ajudando no caso dos ataques ao RV me mostrou que havia conseguido minha senha de lá. A minha e a de mais pessoas, como a do Dr. Stefano, por exemplo. Apenas vi que o negócio era sério e avisei todo mundo.
Descobri depois que o guest detonou o fórum STR que ele não tinha passado por lá antes de eu invadir. Ele estava roubando cookies do Fórum RV no ForumNow e usando isso para hackear as contas. É algo tão fácil de fazer que me espantei de ver como os responsáveis pelo ForumNow são tão irresponsáveis. Só quando eu avisei para trocar as senhas que ele, ou talvez ainda outro, foi lá para apagar tudo o que tinha. Eu só finalizei o serviço (o hacker convenientemente não havia apagado os usuários e as respectivas senhas e e-mails).
O engraçado é que eu tinha acabado de tirar o defacement da página inicial (desativei o CSS e editei a descrição da categoria "Regras" que estava guardando todo o código do deface) e o fórum tinha ficado usável outra vez. Dava até para chamar o povo outra vez e continuar a usar o fórum, como antes (com mojibake e tudo). Fiquei bosta quando vi que depois de alguns minutos tinha-se ido todos os posts.
Tópico: senhas seguras.... (Lida 2141 vezes)