Pesquisa mostra que os "medidores de senhas" de sites não são eficazes

Por Redação | 14 de Abril de 2015 às 10h37
Divulgação

Na hora de criar uma senha, seja para algum tipo de serviço, ou simplesmente para alguma rede social, os sites mostram um indicador de força que diz se o código criado é seguro ou não. Porém, de acordo com estudos dos pesquisadores da Universidade de Concórdia, no Canadá, esse medidor não funciona com tanta eficiência e são altamente inconsistentes.

"Em nossa análise empírica em larga escala, é evidente que os medidores comumente usados são altamente inconsistentes, falhando em fornecer feedback coerente e, algumas vezes, fornecem medidas de força flagrantemente enganosas", diz o relatório da pesquisa.

Os pesquisadores Xavier de Carné de Carnavalet e Mohammad Mannan fizeram a avaliação de medidores de força de senha usados por sites populares, como Apple, Dropbox, Drupal, Google, eBay, Microsoft, PayPal, Tencent QQ, Twitter e Yahoo!. Gerenciadores de senha também foram investigados, como o LastPass, 1Password e KeePass. Também foram inclusos nas análises o FedEx e o centro de atendimento ao cliente China Railway.

Participe do nosso GRUPO CANALTECH DE DESCONTOS do Whatsapp e do Facebook e garanta sempre o menor preço em suas compras de produtos de tecnologia.

Os dois disponibilizaram, então, uma lista com cerca de 9,5 milhões de senhas para o público, incluindo códigos reais de vazamentos, mostrando qual é qualidade do serviço de segurança sendo oferecido.

Testes

Nos testes realizados, algumas senhas eram consideradas fracas para um site, mas para o outro elas eram fortes. Por exemplo, a senha "Paypal01" foi considerada bastante pobre para o Skype, mas para o próprio PayPal foi rotulada como eficiente. A senha "Password1" não passou pela aprovação do Dropbox, mas o Yahoo! a considerou como "muito forte". Outro exemplo é a senha "#footbal1", considerada fraca para o Dropbox, mas forte para o Twitter.

Em alguns casos, pequenas variações faziam a diferença. A senha "password$1", por exemplo, foi considerada fraca pelo FedEx, que então classificou "Password$1" como "muito forte". Isso aconteceu também com o Yahoo! e o Google.

A recomendação dos dois pesquisadores é que os serviços web comecem a adotar algorítimos diferentes.

Fonte: ReadWrite

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.