O tardio fim do conceito de senha forte

Por Colaborador externo | 23 de Fevereiro de 2018 às 07h41
PirenX/Depositphotos

* Por Eduardo Sanches

Se você tem vontade de xingar toda vez que é obrigado a trocar suas senhas, ainda por cima utilizando caracteres especiais, números, letras maiúsculas e minúsculas, saiba que o alvo de seu ódio é o Sr. Bill Burr. E ele concorda com você.

Em recente artigo publicado no Wall Street Journal, Burr confessou que o modelo de criação de senhas definido por ele e utilizado há quase 15 anos foi um grande erro. Em 2003, quando trabalhava no NIST (National Institute of Standards and Technology), o Sr. Burr desenvolveu o modelo de criação de senhas utilizado até hoje, descrito no documento “NIST Special Publication 800-63. Appendix A”.

Participe do nosso GRUPO CANALTECH DE DESCONTOS do Whatsapp e do Facebook e garanta sempre o menor preço em suas compras de produtos de tecnologia.

Suas diretrizes – como utilização de diferentes caracteres, substituição periódica e até o tamanho que a senha deve ter, entre outras – figuram desde as recomendações de segurança da Microsoft aos padrões de segurança do governo norte-americano.

O modelo culminou na recomendação de substituições de letras já na criação da senha, com a troca por números ou caracteres especiais. Algo como “senhaforte” seria reescrito como “[email protected]”, por exemplo, conforme as definições de cada usuário. A obrigatoriedade da substituição periódica da senha criou um outro problema: os usuários passaram a fazer pequenas alterações, tentando burlar o sistema implantado. De “[email protected]”, passava-se para “[email protected]”.

Para quebrar uma senha, um hacker utiliza diversos métodos, cada um mais demorado que o anterior. Vão desde os mais óbvios, como utilização de informações pessoais e interesses do usuário, até o uso de algoritmo de força bruta, que testa todas as possibilidades de combinações de letras, números e caracteres especiais possíveis. Este método é infalível quando o atacante tem acesso ao banco de dado de senhas, mas pode ser extremamente demorado. O site How Secure Is My Password? fornece estimativas sobre segurança.

A senha [email protected]#[email protected], por exemplo, levaria quatrocentos anos para ser quebrada. Muito tempo? Não se comparado a “carro cachorro churrasco lua”: 15 octilhões de anos. Lembrar uma senha dessas é muito mais fácil, principalmente quando se utiliza palavras de interesse, por conta disso, as novas recomendações para criação de senha são para a utilização de frases que façam sentido ao usuário, mas que não sejam diretamente ligadas a ele. Por exemplo um pedaço de letra de música ou de um poema. Quatro ou cinco palavras de uso comum são o suficiente para criar uma senha praticamente inquebrável.

Hoje, aos 72 anos e aposentado, o Sr. Burr se arrepende do que criou. O modelo amplamente utilizado aterrorizou a vida de muitas pessoas e resultou em inimizades entre usuários e o departamento de TI das empresas. Além disso, dificultou a vida das equipes de suporte, obrigadas a desbloquear contas de usuários incautos que esqueciam suas senhas minutos após sua criação.

* Eduardo Sanches — Sócio-diretor da VSI (Ventiv Solutions International). Com MBA pela FGV e graduado em Ciência da Computação, tem mais de 20 anos de experiência em Gestão de Riscos Digitais e Computação Forense.

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.