Desenho de cadeado com números, conceito de senha forte

Se você tem vontade de gritar impropérios todas as vezes em que é obrigado a trocar suas senhas, ainda por cima utilizando caracteres especiais, números, letras maiúsculas e minúsculas, saiba que o alvo de todo seu ódio é o Sr. Bill Burr. E ele concorda com você.

Em recente artigo publicado no Wall Street Journal, Bill Burr confessou que o modelo de criação de senhas definido por ele e utilizado há quase 15 anos foi um grande erro. No ano de 2003, quando trabalhava no NIST (National Institute of Standards and Technology), o Sr. Burr desenvolveu o modelo de criação de senhas utilizado até hoje, descrito no documento “NIST Special Publication 800-63. Appendix A”. Além de fazer parte dos padrões de segurança do governo americano, o modelo foi amplamente utilizado como padrão para a criação de senhas em todo o mundo, servindo de base para as recomendações de segurança da Microsoft e implementado em seus sistemas operacionais Windows. Além da definição de complexidade, o modelo ainda exigia a utilização de diferentes caracteres, substituição periódica e até o tamanho que a senha deveria ter.

Este modelo culminou na recomendação e adoção de substituições no momento da criação de uma senha, trocando letras por números ou caracteres especiais. Algo como “senhaforte” seria reescrito como “$3nh@F0rt3”, por exemplo, fazendo com que cada usuário criasse sua própria estratégia. A obrigatoriedade da substituição periódica da senha criou um outro problema: os usuários passaram a fazer pequenas alterações, tentando burlar o sistema implantado. As senhas eram alteradas de “Senh@F0rt31” para “Senh@F0rt32”.

Quando um atacante deseja invadir um sistema protegido por senha, pode utilizar diversos métodos de ataque, sendo que cada ataque é cada vez mais demorado que o anterior. Nessa ordem, os possíveis métodos são:

  1. Utilização de informações pessoais e interesses do usuário, tais como nome, telefone, nome de parentes, de animais de estimação, do cônjuge, time de futebol etc.;
  2. Utilização de dicionários de senhas padrão, que são atualizados regularmente e apresentam as senhas mais utilizadas por usuários, como sexo, deus, timão, senh@, 12345678 etc.;
  3. Utilização de dicionários completos, com todas as palavras na língua do usuário;
  4. Utilização de algoritmo de força bruta, que vai testar todas as possibilidades de combinações de letras, números e caracteres especiais possíveis. Os testes seguiriam uma ordem parecida com esta: aaaaaaaa, aaaaaaab, aaaaaaac etc. Este método é infalível quando o atacante tem acesso ao banco de dado de senhas, mas pode ser extremamente demorado. O site How Secure Is My Password?(https://howsecureismypassword.net) apresenta uma estimativa de tempo necessário para se quebrar uma senha. Por exemplo, a senha: S3nh@S#gur@ levaria quatrocentos anos para ser quebrada.

Hoje com 72 anos e aposentado, o Sr. Burr se arrepende do que criou. O modelo amplamente utilizado aterrorizou a vida de muitas pessoas e resultou em inimizades entre usuários e o departamento de TI das empresas. Além disso, dificultou a vida das equipes de suporte, obrigadas a desbloquear contas de usuários incautos que esqueciam sua senha minutos após sua criação.

As regras foram revisadas e atualmente as recomendações mudaram bastante. A equipe de revisão desistiu de utilizar o documento original como base, devido às inúmeras inconsistências e partiram do zero para criar um novo documento. A ideia agora é a criação de senhas que utilizam uma combinação de palavras simples, sem necessidade de caracteres especiais, números ou letras maiúsculas, e a alteração dessa senha deve ser feita somente quando existirem suspeitas de que pode ter sido comprometida. Voltando ao site How Secure Is My Password, a senha “carro cachorro churrasco lua” levaria 15 octilhões (15.000.000.000.000.000.000.000.000.000) de anos para ser quebrada. Certamente lembrar uma senha como essa seria muito mais fácil, principalmente quando você utilizar palavras de seu interesse ou até mesmo um verso de um poema ou letra de música. Este conceito foi muito bem representado na tirinha do XKCD abaixo:

Crédito: Randall Munroe (xkcd.com/936)

“Depois de 20 anos de esforços, nós tivemos sucesso em treinar todo mundo a utilizar senhas que são difíceis de serem lembradas por humanos, mas fáceis de serem descobertas por computadores”

Mesmo com a simplificação no formato, a quantidade de senhas que somos obrigados a memorizar faz com que a tarefa continue bastante árdua. Uma forma de amenizar este problema é a utilização de ferramentas de bancos de senhas, que podem armazena-las no computador ou na nuvem, facilitando o processo de gerenciar múltiplas senhas em diversos dispositivos. A única ressalva é que se você pretende manter todos os seus ovos numa cesta só, certifique-se de que esta cesta é segura, pois o ataque a um serviço como esse poderia comprometer todas as suas senhas. É sempre bom ficar atento.

Deixe uma resposta

Seu endereço de e-mail não será publicado. Campos obrigatórios estão marcados *

Postar Comentário