Senhas longas são mais fortes que senhas complexas

No meu post anterior sobre políticas de senha, eu argumentei que os fatores mais importantes para se ter uma senha forte eram o seu tamanho e complexidade  (complexidade sendo aqui a exigência de maiúsculas, minúsculas, números e símbolos). Outros fatores normalmente exigidos em políticas de senha, como a troca períodica, não acrescentam realmente tanto valor em termos de segurança.

Outro ponto que eu mencionei foi a necessidade da senha ser fácil de ser lembrada. Uma dica é o uso de passphrases, frases completas compostas de palavras de uso normal, que são ao mesmo tempo longas e complexas. Por exemplo, Mengaocampeao2006 seria uma senha longa, complexa e fácil de lembrar. Vascocampeao2006 também - e o absurdo da frase garante que ninguém mesmo iria adivinhá-la!

Mas qual seria o mais importante, complexidade ou tamanho? Um artigo da Infoworld responde a pergunta: tamanho. No artigo Roger Grimes conta que criou três senhas, uma curta e complexa, outra longa e sem complexidade, e uma terceira tanto longa quanto complexa. Em seguida publicou os hashes NT das três, e lançou um desafio público para que fosem quebrados. 

Resultado: a senha curta e complexa (S10wDr1v3r) foi quebrada em três semanas. As outras duas continuam incógnitas - inclusive a senha simples mas longa, que segundo ele é composta de palavras simples em inglês e tem quinze letras, todas minúsculas. Na próxima reavaliação da sua política de senhas, quem sabe valha a pena retirar a impopular exigência de complexidade, e aumentar o tamanho mínimo.