Notícias

Por que senhas únicas são melhores do que senhas fortes?

Por que senhas únicas são melhores do que senhas fortes?

A invasão do site de traição Ashley Madison na semana passada é apenas o último em uma série de ataques contra sites com milhões de usuários com informações amplamente distribuídas. Sobretudo após o recente comprometimento do serviço de gerenciamento de senhas LastPass, é possível concluir que as pessoas focam demais em senhas fortes e esquecem de criar senhas únicas.

Uma senha forte é aquela impossível de adivinhar a partir de informações pessoais do usuário (não é o nome de um familiar, um animal de estimação ou um endereço antigo) e é altamente resistente a ataques de força bruta.

Para a maioria dos sites, estabelecer exigências detalhadas para a criação de códigos de segurança não melhora sua força, mesmo quando a barra vermelha (que sinaliza combinações ruins) fica verde.

Isso acontece porque a ferramenta só consegue analisar a diferenciação na escolha dos caracteres – como caixas alta e baixa, números e pontos, por exemplo. A adoção desses recursos aumenta o número de combinações de força bruta que precisariam ser testadas para decifrar o código e altera a barra de qualidade de vermelho para verde.

É melhor que nada, mas o indicador não é sinônimo de proteção completa. A combinação “Senha1!” (com caixas alta e baixa, número e ponto) é facilmente descoberta por crackers, que escolhem caminhos seletivos viabilizados por informações derivadas de antigos ataques em larga escala.

As ferramentas dos invasores entendem que as pessoas agregarão a menor complexidade possível, optando pela escolha mais simples: “Senha” (fácil de lembrar, caixa alta e baixa), o primeiro número do teclado e o símbolo que o acompanha na mesma tecla. De acordo com a barra de qualidade, a senha qualifica força e ganha o sinal verde, mesmo sendo muito vermelha.

Um conjunto palavras incomuns, longas e reunidas (como “qualificação pinguins insustentável”) é mais difícil de hackear que “B@z00ka!!” ou até mesmo “JWT74PV5JVaj”. Isso acontece porque, mesmo que os crackers descubram a presença de 3 palavras, o número de interações para descobri-las ainda é enorme se a combinação não puder ser encontrada em textos online nessa linguagem.

Uma senha forte resiste ao cracking em sites que tenham tomado as medidas básicas necessárias para obscurecê-la, mas senhas únicas permitem a você ter a certeza de que não estará exposto em todos os lugares em caso de uma violação..

Uma senha fraca bem protegida é tão poderosa quanto uma senha forte, que por sua vez pode ser enfraquecida por falhas de arquitetura no local a que se refere.

Ao escolher uma senha forte e a usá-la em vários locais, admitimos que todos os sites e serviços nos quais a usamos tenham processos bem projetados para prevenir a intercepção em seu trânsito e que tenham escolhido os métodos certos para armazená-la em um output criptografado, o chamado hash.

Usar a mesma senha forte em mais de um site é arriscar ser exposto por falhas de proteção de qualquer um deles.

Existem exemplos muito positivos de sites que combatem o roubo de senhas. O LastPass teve suas informações roubadas, mas (assumindo que tenha colocado em prática as promessas de sua descrição), as chances das senhas serem recuperadas é mínima. Um alvo específico de ataques pode ser crackeado com as dicas de senhas roubadas da LastPass, mas a força bruta contra todas as senhas falhará.

Já o 1Password mantém sua base de dados criptografada, descriptografando os dados diretamente no software do cliente com a mesma técnica usada pela LastPass. Ela cria tanto “trabalho” (carga computacional) que levará anos até alguém desvendar sua senha.

Serviços como o LastPass e o 1Password exigem a memorização de uma única senha forte, que protegerá seus dados no programa e nunca deve ser digitada em qualquer site ou outro lugar.

A única senha forte que parece correto memorizar é a usada em serviços como 1Password e LastPass, e ela nunca é digitada em nenhum site ou usada em outros locais. Apesar de parecer algo contra-intuitivo, “quebrar” senhas é um processo que depende simplesmente do elo mais fraco da corrente. E um elo forte não evita que um elo fraco seja quebrado.

Fonte: IDGNow

Romae