Segurança no mundo digital: Parte II – capítulo 4

Parte II

Ameaças: Como Acontecem e Por Que Funcionam

Conhecer o inimigo com precisão é o pré-requisito de qualquer defesa eficaz. Esta parte mapeia as cinco ameaças mais relevantes para o contexto escolar brasileiro — com fundamento técnico, análise psicológica e aplicação pedagógica direta.

Cap. 4 — Senhas e Autenticação Cap. 5 — Phishing e Engenharia Social Cap. 6 — Malware Cap. 7 — Privacidade Digital Cap. 8 — Fake News

Senhas e Autenticação:
A Primeira Linha de Defesa

Objetivos de Aprendizagem

Compreender os quatro mecanismos pelos quais senhas são comprometidas e relacionar cada um com práticas de proteção específicas.
Aplicar o método da passphrase para criar senhas robustas, verificando força com critérios técnicos atualizados (NIST SP 800-63B, 2024).
Explicar o funcionamento da autenticação multifator e distinguir os três fatores de autenticação com exemplos do cotidiano.
Avaliar gerenciadores de senhas como solução para o problema da unicidade e selecionar opções adequadas ao contexto escolar.

Etapa: EF II ao Ensino Médio Duração: 3 a 4 aulas de 50 min BNCC: CO EF 05 CO 02 · CO EM 13 CO 02 Páginas: 84 a 106

4.1

Como Senhas São Comprometidas: Os Quatro Mecanismos

Em outubro de 2023, o RockYou2023 — o maior arquivo de senhas vazadas da história — foi disponibilizado em um fórum hacker. Ele continha 8,4 bilhões de senhas únicas, coletadas ao longo de décadas de violações. Entre as mais comuns no arquivo: “123456”, “senha”, “qwerty” e “Iloveyou1”. Se sua senha está nessa lista, qualquer sistema de verificação do planeta pode quebrá-la em menos de um segundo — não porque seja tecnicamente sofisticado, mas porque a senha foi testada antes de você usá-la pela primeira vez.

Antes de aprender a criar senhas fortes, é necessário compreender como senhas fracas são descobertas. Esse conhecimento muda o critério de avaliação: o que torna uma senha segura não é como ela parece para você — é o quanto ela resiste aos quatro mecanismos de ataque documentados.

🔭 Panorama — Seção 4.1

O que é um ataque a senhas? Qualquer método que permite descobrir ou contornar uma senha sem ter sido autorizado pelo titular da conta.

Quais são os 4 mecanismos? Força bruta, ataque de dicionário, credential stuffing e engenharia social. Cada um explora uma vulnerabilidade diferente.

Por que a regra dos 8 caracteres falhou? Porque foi descartada pelo próprio NIST em 2017 — ela gerava senhas difíceis de lembrar e fáceis de quebrar com hardware moderno.

O que realmente importa? Comprimento, unicidade e imprevisibilidade — nessa ordem. Nenhum símbolo especial compensa uma senha curta ou reutilizada.

Como isso aparece no cotidiano escolar? Contas do Google Classroom, e-mail institucional, sistemas de presença digital e plataformas educacionais — todas protegidas apenas por senha da maioria dos alunos.

Qual é a solução completa? Senha forte (passphrase) + única por serviço + autenticação multifator ativada + gerenciador de senhas para gerenciar o conjunto.

Figura 4.1 — A Escala do Problema de Senhas no Brasil e no Mundo

🗄

8,4 Bi

Senhas únicas no RockYou2023 — disponíveis gratuitamente para qualquer atacante (2023)

♻️

81%

Das violações de dados confirmadas envolvem senha fraca, roubada ou reutilizada (Verizon DBIR, 2023)

⚡

<1 seg

Tempo para quebrar “Senha123!” com GPU de consumer grade usando lista de senhas comuns

🔑

1.º

Senha mais usada no Brasil em 2023: “123456” — pelo décimo ano consecutivo (NordPass, 2023)

Os Quatro Mecanismos de Ataque

🔨

Força Bruta (Brute Force) O atacante testa sistematicamente todas as combinações possíveis. Com hardware moderno (GPU), uma senha de 8 caracteres simples é testada em minutos. A variável determinante é o espaço de chave — quanto mais longa e imprevisível a senha, maior o espaço, maior o tempo necessário. Um caractere a mais multiplica o tempo exponencialmente.
📖

Ataque de Dicionário Em vez de testar combinações aleatórias, o atacante usa listas de senhas comuns, palavras do dicionário e variações previsíveis: “senha”, “S3nh@”, “senha123”, “senha2023”. Substituições óbvias como @ por ‘a’, 3 por ‘e’ ou ! no final são testadas automaticamente. Uma palavra real do dicionário é vulnerável — mesmo com substituições.
🔄

Credential Stuffing Senhas vazadas de um serviço são testadas automaticamente em outros. Se você usa “minhaSenha123” no e-mail e a mesma senha no Instagram, e o Instagram sofre uma violação, sua conta de e-mail também está comprometida — sem nenhum ataque direto ao e-mail. Este é o argumento definitivo para nunca reutilizar senhas.
🎭

Engenharia Social / Phishing A senha é obtida diretamente do usuário por manipulação — phishing de e-mail, vishing por ligação, site falso. Nenhuma complexidade de senha protege contra isso: se o usuário digita sua senha no site errado, qualquer senha é comprometida. A proteção aqui é a autenticação multifator, não a força da senha.

⚠ A Regra que Foi Aposentada

A recomendação “mínimo 8 caracteres + maiúscula + número + símbolo” foi formalmente descartada pelo NIST (National Institute of Standards and Technology) em 2017 e confirmada na revisão de 2024 (SP 800-63B). Ela produzia senhas difíceis de memorizar e fáceis de quebrar — porque a maioria dos usuários respondia com padrões previsíveis: “Senha@123”.

O NIST passou a recomendar o oposto: senhas longas e memoráveis (passphrases), únicas por serviço, sem rotação obrigatória periódica. A pesquisa mostrou que forçar trocas frequentes leva a senhas piores — não melhores.

Conceitos-Chave

Força BrutaAtaque que testa sistematicamente todas as combinações possíveis de caracteres até encontrar a senha.
Ataque de DicionárioUsa lista de senhas comuns e variações previsíveis. Mais eficiente que força bruta para senhas baseadas em palavras reais.
Credential StuffingUsa senhas vazadas de um serviço para tentar acesso em outros. Explora a reutilização de senhas.
EntropiaMedida da imprevisibilidade de uma senha. Calculada por H = L × log₂(N), onde L é o comprimento e N o tamanho do alfabeto.
HashRepresentação criptográfica da senha armazenada pelo servidor. Sistemas seguros armazenam hash — não a senha em texto puro.
Rainbow TableTabela pré-calculada de hashes comuns. Usada para reverter hashes de senhas fracas sem recalcular.

🔬 NIST SP 800-63B

Diretrizes federais dos EUA para autenticação digital — referência técnica global. A revisão de 2024 reforça: comprimento mínimo de 8 caracteres (recomendado 15+), sem complexidade obrigatória, sem rotação periódica forçada, bloqueio de senhas comuns/vazadas.

4.2

O Que Torna uma Senha Forte: Ciência, Não Intuição

“J@rd1m#2024” parece uma senha forte. Tem maiúscula, símbolo, número, 11 caracteres. Passa em todos os formulários. Um ataque de dicionário moderno quebra em menos de 3 horas — porque substitui @ por ‘a’, 1 por ‘i’, e testa todas as palavras do calendário com anos recentes. “Cachorro-Azul-Mesa-Rio”, por outro lado, parece simples demais para ser segura. São 23 caracteres, quatro palavras aleatórias, sem substituição óbvia. Tempo estimado de quebra: mais de 200 anos com o hardware disponível hoje. A ciência e a intuição apontam para direções opostas.

A força de uma senha é determinada por sua entropia — a quantidade de imprevisibilidade que ela contém. A fórmula é simples: quanto maior o espaço de busca que o atacante precisa percorrer, mais forte a senha. E o comprimento aumenta esse espaço exponencialmente, enquanto a complexidade de símbolos o aumenta apenas linearmente.

Força Real vs. Força Percebida

Figura 4.2 — Comparativo de Força de Senhas: Tempo Estimado de Quebra

Senhas · Análise de Força · Hardware: GPU de Consumer Grade (2024)

123456

6 chars numéricos — está nas listas de dicionário

Instantâneo

Senha@123

9 chars, padrão previsível — ataque de dicionário

~2 horas

J@rd1m#2024

11 chars, palavra+ano+símbolos — variações testadas

~3 horas

Kx9!mLpQ3#

10 chars aleatórios — boa, impossível de lembrar

~3 anos

Cachorro-Azul-Mesa-Rio

22 chars, 4 palavras aleatórias — forte e memorizável

> 200 anos

Cachorro-Azul-Mesa-Rio-7!

25 chars, passphrase + número e símbolo — excelente

> 1 trilhão de anos

Estimativas baseadas em Hive Systems Password Table 2024. Valores variam conforme algoritmo de hash do serviço. Fins didáticos.

O Método da Passphrase: Como Fazer

A passphrase é o método recomendado pelo NIST, pela Electronic Frontier Foundation e pelos principais especialistas em segurança atuais. A premissa é simples: palavras aleatórias encadeadas produzem senhas mais fortes e mais memoráveis do que senhas “complexas” tradicionais.

Figura 4.3 — Passo a Passo: Criando uma Passphrase Forte

Passo 01 — Escolher 4 palavras ALEATÓRIAS

Pense em 4 objetos ou conceitos que você viu hoje, em ordem aleatória

Cachorro · Azul · Mesa · Rio → NÃO use palavras relacionadas entre si

Passo 02 — Separar com hífen ou espaço

Cachorro-Azul-Mesa-Rio

Separadores aumentam entropia e facilitam a memória. Espaço funciona em maioria dos sistemas.

Passo 03 — Adicionar número e símbolo (opcional)

Cachorro-Azul-Mesa-Rio-7!

Se o site exige símbolo: adicionar ao final. NÃO substituir letras por símbolos dentro das palavras.

Resultado — Senha Forte e Memorável

25 caracteres · Imprevisível · Memorizável · Resiste a todos os ataques de dicionário

Crie uma passphrase DIFERENTE para cada serviço importante. Use gerenciador para o resto.

Critérios de uma Boa Senha (NIST 2024)

✓

Comprimento mínimo de 15 caracteres Cada caractere adicional multiplica exponencialmente o espaço de busca do atacante.

✓

Única por serviço Nunca reutilizar a mesma senha. Uma violação não compromete todas as contas.

✓

Sem informação pessoal Nome, data de nascimento, time, nome de pet — são testados primeiro em ataques direcionados.

✓

Palavras aleatórias, não frases conhecidas “Eu amo minha mãe” é frase comum. “Cachorro Azul Mesa Rio” é aleatório — e muito mais forte.

✓

Verificar se não está em lista vazada haveibeenpwned.com verifica se seu e-mail ou senha aparece em violações conhecidas. Grátis e seguro.

✓

Gerenciador para senhas secundárias Nenhum ser humano memoriza 40 senhas únicas longas. O gerenciador resolve o problema de unicidade.

📐 Integração com Matemática

Entropia de senha: H = L × log₂(N), onde L = comprimento e N = tamanho do alfabeto usado.

Exemplo 1: “Senha@123” → N = 94 (caracteres imprimíveis), L = 9 → H = 9 × 6,55 ≈ 59 bits

Exemplo 2: “Cachorro Azul Mesa Rio” → N = 7.776 (dado que cada palavra é tirada do dicionário Diceware de 7.776 palavras) → H = 4 × log₂(7.776) ≈ 51 bits de entropia pura de palavras, mas com comprimento de 22 chars, resistência prática é muito superior.

A conclusão matemática confirma a intuição: comprimento vence complexidade porque o espaço de busca cresce exponencialmente com cada caractere adicionado.

A Ciência das Senhas

PassphraseSequência de palavras aleatórias usadas como senha. Mais longa, mais memorável e mais forte do que senhas complexas tradicionais.
Entropia (bits)Medida de imprevisibilidade. Quanto maior a entropia, mais difícil quebrar. H = L × log₂(N).
Espaço de ChaveQuantidade total de senhas possíveis dado um comprimento e alfabeto. Cresce exponencialmente com o comprimento.
DicewareMétodo de gerar passphrase jogando dados para selecionar palavras de uma lista numerada de 7.776 entradas. Garante aleatoriedade real.
Rotação ForçadaPolítica de trocar senhas periodicamente — descartada pelo NIST 2024 por produzir senhas piores (ex: Senha2024→Senha2025).

⚠ Erro Clássico

Substituir letras por símbolos — “S3nh@” em vez de “Senha” — não engana os atacantes modernos. Essa substituição está codificada nos algoritmos de ataque de dicionário há mais de 20 anos. Ela adiciona praticamente zero entropia real.

🔬 Verificador Gratuito

haveibeenpwned.com — criado pelo pesquisador Troy Hunt. Verifica se seu e-mail aparece em violações conhecidas. Seguro: o site nunca armazena o e-mail pesquisado. Adequado para uso em aula.

4.3

Autenticação Multifator: O Segundo Nível que Muda Tudo

Em 2022, a empresa de segurança cibernética Cisco sofreu uma violação. Um funcionário teve suas credenciais corporativas comprometidas via phishing. O atacante obteve a senha correta. Mas o sistema exigia autenticação multifator — e o funcionário não aprovaria a notificação no celular. O atacante mudou de abordagem: ligou para o funcionário, fingiu ser do suporte de TI, e convenceu-o a aprovar a notificação “para verificar o sistema”. O ataque funcionou. A lição: autenticação multifator é a segunda linha de defesa mais robusta disponível — mas não é infalível contra engenharia social.

Autenticação multifator (MFA) é o mecanismo que exige, além da senha, um segundo — ou terceiro — elemento de verificação antes de conceder acesso. Mesmo que a senha seja comprometida, o atacante não entra sem o segundo fator.

Definição Técnica — NIST SP 800-63B

Os Três Fatores de Autenticação

Qualquer sistema de autenticação pode usar combinações desses três fatores. A autenticação multifator combina pelo menos dois deles:

Fator 1: Algo que você SABE — senha, PIN, resposta a pergunta secreta. Fator 2: Algo que você TEM — celular (SMS/app), token físico, chave USB de segurança. Fator 3: Algo que você É — biometria (digital, rosto, íris, voz).

Tabela 4.1 — Métodos de MFA: Força, Vulnerabilidades e Aplicabilidade Escolar

Método MFA	Como Funciona	Proteção	Vulnerabilidade	Para Ensinar?
SMS (código por texto)	Código enviado ao celular cadastrado	Moderada	SIM swap · SS7 intercept	Sim — acessível
App autenticador (TOTP)	Código gerado localmente a cada 30s	Alta	Roubo do dispositivo · Phishing em tempo real	Sim — recomendado EM
Notificação push (Duo, MS Auth)	Aprovação por toque no app	Alta	MFA fatigue — aprovação acidental por spam	Contextual
E-mail de verificação	Código enviado ao e-mail cadastrado	Baixa–Média	Depende da segurança do e-mail em si	Contextual
Chave de segurança física (FIDO2)	Dispositivo USB/NFC que autentica por presença física	Muito alta	Custo (R$100–300) · Perda física	Não — custo
Passkey (sem senha)	Criptografia de chave pública no dispositivo	Muito alta	Dependência do dispositivo específico	EM — futuro próximo

✓ A Ação de Maior Impacto Imediato

Ativar MFA no e-mail principal é a ação de proteção individual com maior retorno de qualquer lista. O e-mail é a chave-mestra digital: é por ele que todas as outras contas são recuperadas em caso de senha esquecida. Comprometer o e-mail significa comprometer tudo que está conectado a ele.

Para alunos do EF II em diante: ativar MFA no Google ou no e-mail escolar leva menos de 3 minutos e elimina o risco de comprometimento mesmo que a senha seja descoberta.

Por Que MFA Funciona

Figura 4.4 — O Que Acontece com e Sem MFA em um Ataque de Phishing

Cenário: Senha comprometida via phishing

O atacante digitou a senha correta no sistema de login

SEM MFA

Acesso concedido imediatamente

A conta está comprometida. O atacante tem acesso total.

COM MFA

Sistema exige o segundo fator que o atacante não possui

Acesso bloqueado. O usuário recebe notificação de tentativa suspeita. A conta permanece segura — e o alerta permite trocar a senha comprometida.

Autenticação

MFA / 2FAMulti-Factor Authentication / Two-Factor Authentication. Requer dois ou mais fatores independentes para autenticar.
TOTPTime-based One-Time Password — código que muda a cada 30 segundos, gerado localmente pelo app autenticador sem necessidade de internet.
FIDO2 / PasskeyPadrão moderno de autenticação sem senha, baseado em criptografia de chave pública. O futuro da autenticação — já disponível em Google, Apple e Microsoft.
SIM SwapAtaque em que o golpista convence a operadora a transferir o número de celular da vítima para um chip dele. Compromete MFA por SMS.
MFA FatigueAtaque que envia dezenas de notificações de aprovação até o usuário aceitar por cansaço ou confusão.

📱 Apps Recomendados

Google Authenticator — gratuito, simples, sem conta necessária. Ideal para EF II.

Authy — gratuito, com backup em nuvem. Melhor para EM (protege contra perda de celular).

Microsoft Authenticator — integrado ao ecossistema Microsoft/Outlook.

4.4

Gerenciadores de Senhas: A Solução para o Paradoxo da Unicidade

Um adulto médio tem 100 contas online. Para cumprir a regra de unicidade — uma senha diferente por conta — teria que memorizar 100 passphrases de 20+ caracteres cada. Isso é neurologicamente impossível. A única alternativa que não compromete a segurança é o gerenciador de senhas: um cofre digital criptografado que armazena todas as senhas, protegido por uma única senha-mestra. A matemática é clara: ou você usa um gerenciador, ou você reutiliza senhas. Não há terceira opção que funcione.

O gerenciador de senhas resolve o paradoxo fundamental da segurança de senhas: criar senhas únicas, longas e aleatórias para cada conta e ainda assim ter acesso rápido a elas. Ele gera, armazena e preenche senhas automaticamente — eliminando o incentivo para usar senhas fracas ou repetidas.

🔬 Como Funciona Tecnicamente

O gerenciador armazena senhas num banco de dados local ou em nuvem, criptografado com AES-256 (padrão militar). A descriptografia ocorre localmente, usando sua senha-mestra como chave. O servidor (no caso de soluções em nuvem) nunca tem acesso à senha-mestra nem às senhas descriptografadas — apenas ao arquivo criptografado. Isso é chamado de arquitetura zero-knowledge: nem o provedor sabe o que está armazenado.

Opções para o Contexto Escolar

🟢

Bitwarden

Gratuito · Código aberto · Multi-plataforma · Recomendado para uso pessoal e institucional.

🔵

Google Password Manager

Integrado ao Chrome e Android · Gratuito · Menor barreira de adoção para quem já usa Google.

🔐

Apple iCloud Keychain

Integrado ao iOS/macOS · Gratuito · Ideal para usuários do ecossistema Apple.

🔑

KeePass

Código aberto · Armazenamento local (sem nuvem) · Maior controle · Recomendado para cursos técnicos.

🔒

1Password

Pago (R$15–25/mês) · Excelente UX · Versão gratuita para estudantes disponível.

🏠

Navegador Integrado

Firefox · Edge · Brave · Gratuito · Adequado para iniciantes · Menos seguro que gerenciador dedicado.

Figura 4.5 — Comparativo de Gerenciadores para Contexto Escolar

Bitwarden — Segurança técnica Máxima

Bitwarden — Facilidade de adoção Alta

Google Password Manager — Facilidade de adoção Máxima

Google Password Manager — Segurança técnica Alta

KeePass — Controle e privacidade Máximo

KeePass — Facilidade para iniciantes Baixa

Análise qualitativa para fins didáticos. Avaliação: segurança técnica, facilidade de adoção, custo e adequação ao contexto escolar.

⚠ O Único Risco do Gerenciador

Se a senha-mestra for comprometida, todas as senhas ficam expostas. Por isso: (1) a senha-mestra deve ser a passphrase mais forte que você cria — e memoriza; (2) MFA deve ser ativado no próprio gerenciador; (3) nunca salvar a senha-mestra em nenhum outro lugar digital.

O risco do gerenciador é concentrado e gerenciável. O risco de não usar gerenciador é distribuído por 100 contas com senhas fracas ou repetidas — muito mais perigoso na prática.

“Um ser humano não consegue memorizar 100 senhas únicas e longas. Quem afirma que consegue ou está mentindo, ou está usando senhas fracas, ou está reutilizando-as. O gerenciador de senhas não é conforto — é necessidade matemática.”

— Bruce Schneier, criptógrafo e especialista em segurança, adaptado

Gerenciadores

Zero-KnowledgeArquitetura em que nem o provedor do serviço consegue ver as senhas armazenadas — apenas o usuário com a senha-mestra pode descriptografar.
AES-256Advanced Encryption Standard com chave de 256 bits — padrão de criptografia simétrica usado pelo governo dos EUA e pela maioria dos gerenciadores.
Senha-MestraA única senha que o usuário precisa memorizar. Deve ser a mais forte de todas — passphrase de 6+ palavras aleatórias.
AutofillPreenchimento automático das credenciais pelo gerenciador — protege também contra sites falsos de phishing, pois só preenche no domínio correto.
PasskeyTecnologia emergente que elimina senhas completamente, usando criptografia de chave pública. Já suportado por Google, Apple e Microsoft.

✓ Para a Sala de Aula

Para EF II: introduzir o conceito e o Bitwarden como sugestão. Para EM: demonstração prática de criação de cofre e migração de 3 contas. Para Curso Técnico: análise comparativa de arquiteturas (local vs. nuvem, open source vs. proprietário).

🧪 Atividade 4.1 Diagnóstico de Senhas e Criação de Passphrase

Etapa: EF II (7.º ao 9.º) e EM Duração: 50 min + tarefa de casa Agrupamento: Individual (privado) Material: Ficha impressa + Figura 4.2 (tabela de força) Bloom: Aplicar / Avaliar

Fase 1 — Diagnóstico Anônimo (10 min)

O professor distribui ficha de diagnóstico anônimo. Perguntas: Quantas senhas diferentes você usa no total? Sua senha mais comum tem menos de 12 caracteres? Você usa seu nome ou data de nascimento? Você já ativou MFA em alguma conta?

Compilar resultados coletivamente na lousa (sem identificar alunos). Os números revelam o estado real da turma.

Fase 2 — Análise Silenciosa (10 min)

Usando a Figura 4.2 como referência, cada aluno estima (em silêncio, sem revelar) o tempo de quebra da sua senha mais usada. Não é necessário escrever a senha — apenas as características: comprimento aproximado, usa palavra real? usa data? tem substituição de letra por símbolo?

Fase 3 — Criação de Passphrase (15 min)

Seguir o método da Figura 4.3 passo a passo
Criar uma passphrase de 4 palavras aleatórias
Verificar na tabela: qual seria o tempo de quebra estimado?
Comparar com a senha atual (sem revelar nenhuma delas)

Fase 4 — Tarefa de Casa

EF II: trocar a senha de uma conta importante usando o método; ativar MFA no e-mail
EM: instalar o Bitwarden e migrar 5 senhas; trazer relato documentado na próxima aula
Ensinar um adulto em casa o método da passphrase e relatar a reação

Produto e Avaliação

Ficha de diagnóstico preenchida + registro da passphrase criada (sem revelar a senha em si — apenas as características: comprimento, número de palavras, verificação de força) + comprovante de ação realizada em casa (print de MFA ativado ou descrição detalhada da instalação do gerenciador). A avaliação prioriza a ação concreta sobre o conhecimento declarativo.

🧪 Atividade 4.2 Auditoria de Senhas Fictícias: Classificar e Justificar

Etapa: EF II e EM Duração: 45 min Agrupamento: Duplas Material: Lista impressa de 15 senhas fictícias Bloom: Analisar

Lista de Senhas para Análise (exemplos)

Maria2005! (nome + ano)
Flamengo@2023 (time + ano)
Casa-Verde-Nuvem-Peixe (passphrase 4 palavras)
abc123 (sequência simples)
P@$$w0rd (substituições óbvias)
Xk9!mLpQ (8 chars aleatórios)
Rio-Lua-Ferro-Banco-7! (passphrase 5 palavras)
SenhaSegura2024# (frase comum + ano)

Critérios de Análise

Para cada senha, a dupla deve identificar:

Comprimento (em caracteres)
Usa palavra real ou nome pessoal?
Usa substituição previsível?
Tem padrão de data ou ano?
Resistiria a ataque de dicionário?
Classificação final: Fraca / Moderada / Forte / Excelente
Método de ataque mais eficaz contra ela

Atividade de Extensão — EM

Calcular a entropia aproximada de pelo menos 3 senhas da lista usando a fórmula H = L × log₂(N). Comparar os valores de entropia com o tempo de quebra estimado na Figura 4.2. Os resultados são proporcionais? O que acontece quando a senha usa palavras de dicionário (N menor)?

Discussão Final

Qual senha da lista você escolheria se tivesse que memorizar apenas uma? Por quê? O que mudaria para torná-la ainda mais forte sem perder a memorabilidade? Qual dessas senhas você provavelmente já usou em algum momento?

Produto e Avaliação

Tabela de análise preenchida com classificação e justificativa para cada senha. A avaliação foca na qualidade da justificativa — especialmente nos casos ambíguos (senhas 3 e 6: a passphrase de 4 palavras vs. os 8 caracteres aleatórios). Um resultado correto sem fundamentação técnica demonstra menos desenvolvimento do que uma análise detalhada com pequeno erro de classificação.

💭 Discussão Para Refletir — Capítulo 4

1.O NIST descartou a regra dos “8 caracteres + símbolo + maiúscula” após décadas de vigência. O que esse caso revela sobre a natureza do conhecimento técnico em segurança? Como um professor deveria comunicar a alunos e famílias que “o que era certo antes pode estar errado agora” — sem criar desconfiança generalizada?
2.Um aluno argumenta: “Uso a mesma senha em tudo porque é fácil de lembrar, e minha conta não tem nada de valioso.” Construa uma resposta que vá além de “você está errado” — usando os conceitos de credential stuffing, valor dos dados e efeito cascata de uma violação.
3.Gerenciadores de senhas concentram todas as credenciais em um único lugar protegido por uma senha-mestra. Alguns usuários consideram isso “colocar todos os ovos na mesma cesta”. Como você avalia esse argumento em relação ao risco real de não usar um gerenciador?
4.MFA por SMS foi considerada por anos a solução adequada para contas de usuários comuns. Hoje sabemos que é vulnerável a SIM swap. Passkeys prometem eliminar senhas completamente. O que esse histórico sugere sobre como devemos ensinar segurança digital — com foco em tecnologias específicas ou em princípios transferíveis?
5.Escolas que implementam sistemas de login biométrico para alunos estão, em um sentido, usando “algo que você é” como fator de autenticação. Mas biometria é dado sensível pela LGPD. Como você avalia a tensão entre conveniência operacional, segurança técnica e proteção de dados em sistemas biométricos escolares?

📝 Avaliação

Verificação de Aprendizagem — Capítulo 4

1.Uma professora usa a senha “Escola@2024!” para o sistema de lançamento de notas. Identifique: (a) qual mecanismo de ataque seria mais eficaz contra essa senha; (b) por que ela provavelmente passaria nos filtros de validação de formulários mas ainda seria vulnerável; (c) como ela deveria ser substituída usando o método da passphrase.
2.Explique a diferença entre autenticação em dois fatores por SMS e por aplicativo autenticador (TOTP). Em qual situação específica o SMS falha mas o app não? Por que um atacante que rouba sua senha ainda não consegue acessar sua conta quando o MFA está ativo?
3.Um aluno criou a seguinte passphrase: “MinhaEscolaSãoPaulo2024”. Avalie essa senha com base nos critérios do NIST 2024. É uma passphrase válida? Quais critérios ela atende e quais falha? Como você a reescreveria para torná-la genuinamente forte?
4.Uma plataforma educacional exige que os professores troquem suas senhas a cada 30 dias. Com base nas recomendações do NIST SP 800-63B (2024), avalie essa política. Ela aumenta ou diminui a segurança real? Justifique com base no comportamento humano documentado em resposta a políticas de rotação obrigatória.

Nível	Critério — Questão 3	Indicador
Iniciante	Não aplica critérios técnicos. Avalia pela aparência (“parece forte porque tem maiúscula e número”).	“É forte porque tem mais de 8 caracteres e letras maiúsculas.”
Em Desenvolvimento	Identifica 1-2 problemas (ex: contém “minha escola”), mas não aplica todos os critérios NIST sistematicamente.	“Tem ‘São Paulo’ que é informação pessoal, poderia trocar.”
Proficiente	Aplica todos os critérios: comprimento (adequado), palavras relacionadas (problema), informação pessoal (problema), não é aleatória (problema). Propõe melhoria concreta.	“Falha em aleatoriedade — as palavras são relacionadas entre si e à identidade do usuário. Substitui por: ‘Cachorro-Veloz-Tapete-Lua-8!’”
Avançado	Aplica critérios, propõe melhoria e estima a diferença de entropia entre as versões. Relaciona com o problema de memorabilidade vs. segurança.	Calcula H aproximado das duas versões e demonstra que a aleatoriedade das palavras — não o comprimento — é o fator crítico.

Parte II — Ameaças · Cap. 4: Senhas e Autenticação — A Primeira Linha de Defesa Pág. 84–106

Segurança no mundo digital: Parte II – capítulo 4

Ameaças: Como Acontecem e Por Que Funcionam

Senhas e Autenticação:A Primeira Linha de Defesa

Objetivos de Aprendizagem

Como Senhas São Comprometidas: Os Quatro Mecanismos

O Que Torna uma Senha Forte: Ciência, Não Intuição

O Método da Passphrase: Como Fazer

Autenticação Multifator: O Segundo Nível que Muda Tudo

Os Três Fatores de Autenticação

Gerenciadores de Senhas: A Solução para o Paradoxo da Unicidade

Fase 1 — Diagnóstico Anônimo (10 min)

Fase 2 — Análise Silenciosa (10 min)

Fase 3 — Criação de Passphrase (15 min)

Fase 4 — Tarefa de Casa

Produto e Avaliação

Lista de Senhas para Análise (exemplos)

Critérios de Análise

Atividade de Extensão — EM

Discussão Final

Produto e Avaliação

Verificação de Aprendizagem — Capítulo 4

Senhas e Autenticação:
A Primeira Linha de Defesa