Pesquisa mostra que os "medidores de senhas" de sites não são eficazes

Por Redação | 14.04.2015 às 10:37
photo_camera Divulgação

Na hora de criar uma senha, seja para algum tipo de serviço, ou simplesmente para alguma rede social, os sites mostram um indicador de força que diz se o código criado é seguro ou não. Porém, de acordo com estudos dos pesquisadores da Universidade de Concórdia, no Canadá, esse medidor não funciona com tanta eficiência e são altamente inconsistentes.

"Em nossa análise empírica em larga escala, é evidente que os medidores comumente usados são altamente inconsistentes, falhando em fornecer feedback coerente e, algumas vezes, fornecem medidas de força flagrantemente enganosas", diz o relatório da pesquisa.

Os pesquisadores Xavier de Carné de Carnavalet e Mohammad Mannan fizeram a avaliação de medidores de força de senha usados por sites populares, como Apple, Dropbox, Drupal, Google, eBay, Microsoft, PayPal, Tencent QQ, Twitter e Yahoo!. Gerenciadores de senha também foram investigados, como o LastPass, 1Password e KeePass. Também foram inclusos nas análises o FedEx e o centro de atendimento ao cliente China Railway.

Os dois disponibilizaram, então, uma lista com cerca de 9,5 milhões de senhas para o público, incluindo códigos reais de vazamentos, mostrando qual é qualidade do serviço de segurança sendo oferecido.

Testes

Nos testes realizados, algumas senhas eram consideradas fracas para um site, mas para o outro elas eram fortes. Por exemplo, a senha "Paypal01" foi considerada bastante pobre para o Skype, mas para o próprio PayPal foi rotulada como eficiente. A senha "Password1" não passou pela aprovação do Dropbox, mas o Yahoo! a considerou como "muito forte". Outro exemplo é a senha "#footbal1", considerada fraca para o Dropbox, mas forte para o Twitter.

Em alguns casos, pequenas variações faziam a diferença. A senha "password$1", por exemplo, foi considerada fraca pelo FedEx, que então classificou "Password$1" como "muito forte". Isso aconteceu também com o Yahoo! e o Google.

A recomendação dos dois pesquisadores é que os serviços web comecem a adotar algorítimos diferentes.

Via: ReadWrite