Início » Antivírus e Segurança » Microsoft proíbe senhas longas nos serviços online. Por que isso é um problema?

Microsoft proíbe senhas longas nos serviços online. Por que isso é um problema?

Paulo Higa Por

A Microsoft decidiu que você não pode mais usar senhas longas nos serviços online da empresa. Se você é paranoico por segurança e forma sua senha dando cabeçadas no teclado dezenas de vezes, na próxima vez que tentar entrar na sua conta da Microsoft receberá uma mensagem dizendo para digitar somente os primeiros 16 caracteres. E isso pode esconder um grande problema.

A limitação dos 16 caracteres começou quando a Microsoft lançou o Outlook.com, no final de julho. Mas usuários mais antigos podiam usar senhas maiores. Quem tem conta nos serviços concorrentes também pode formar combinações mais longas: são até 32 caracteres no Yahoo e até 200 caracteres no Gmail, segundo a Sophos.

“Ok, e qual o problema?”, você pode estar me perguntando. Afinal, uma senha com 16 caracteres, se bem formada, é suficientemente segura para não ser descoberta após anos de força bruta. Mas o buraco é mais embaixo. A mensagem de erro informa claramente: “Se você usa uma senha com mais de 16 caracteres, insira os primeiros 16 caracteres.”

Isso pode significar duas coisas, segundo a Kaspersky. A primeira é que a Microsoft armazena as senhas dos usuários em texto puro, o que pode causar um estrago enorme se alguém obtiver acesso aos servidores da empresa, afetando mais de 360 milhões de contas. A segunda é que o sistema de login da Microsoft calcula o hash apenas dos 16 primeiros caracteres.

Os dois casos são graves. Armazenar senhas em texto puro é um erro primário; o mais correto seria salvar o hash da senha, tornando a recuperação praticamente impossível se a combinação não estiver em um dicionário de hashes. A segunda opção também é ruim: se o sistema calcula o hash apenas dos 16 primeiros caracteres, isso significa que todos os usuários que utilizavam senhas mais longas, pensando estarem mais seguros, não estavam.

A Microsoft ainda não se pronunciou oficialmente sobre o assunto. O The Next Web acredita que o problema pode não ser tão grave assim: durante todo esse tempo, a Microsoft estaria armazenando sua senha em pelo menos dois formatos (uma curta, com 16 caracteres, e outra completa), tornando possível a implementação do novo sistema de login. Assim esperamos.

Atualização às 17h55 | Um tópico no site da Microsoft explica o que aconteceu. Segundo a empresa, as senhas das contas da Microsoft sempre tiveram esse limite. Ou seja, se você conseguiu se cadastrar com uma senha maior que 16 caracteres, os caracteres seguintes foram automaticamente ignorados e não foram armazenados no banco de dados.

Comentários

Envie uma pergunta

Os mais notáveis

Comentários com a maior pontuação

Lucas Herrera
Frases podem ser tranquilamente lembradas.
Lucas Herrera
Frases como senhas podem tranquilamente ultrapassar esse limite e é muito fácil de lembrar delas. A minha senha por coincidência tem exatamente 16 caracteres.
Websensor
Vale lembrar que, conforme a própria atualização da Tecno Blog, a Microsoft não armazena a senha em texto, ela simplesmente ignora os outros 16. A parte das duas escolhas me fez interpretar de forma errônea, como se a Microsoft obrigatoriamente tivesse armazenado a senha em texto e que só fizesse hash dos 16 primeiros. Na verdade é uma das escolhas.
rafaholanda
Nunca usei senhas tão grandes assim, mas vai de cada um...
Thiago Sabaia
Não importa o número de caracteres, e sim a combinação entre eles para ser uma senha segura. Minha senha tem em media de 11 a 14 caracteres. E ela contem vários símbolos, as letras tem variações de maiúscula e minuscula.
Raphael Rios Chaia
Curioso, pq por anos usei uma senha de exatamente 16 caracteres no meu email, nunca tinha reparado isso, hahahahaha Já em outros lugares, como sistemas internos do meu trabalho, já usei senha de exatamente 186 caracteres :)
Raphael Rios Chaia
Não necessariamente: a senha poderia ser um poema completo, oras, bastaria memoriza-lo - sim, já fiz isso, e a senha tinha quase 200 caracteres.
Kessler
Considerando que os outros serviços já tinham essa limitação, até faz. Provavelmente o hash foi gerado apenas dos 16 primeiros dígitos.
ajscaldas
Olha segundo o que eu já vi sobre politicas de segurança, senhas demasiadamente longas não servem, justamente porque é dificil de lembrar e no final a pessoa acaba escrevendo num post-it ou em um arquivo TXT, o mesmo vale para as trocas sucessivas de senhas.
Arthur_Amorim
Uso minnhas senhas com no maximo 8 e ja ta bom..
Vinícius
A minha tem 14 '.' considero bem segura ... elemntos quimicos aleatórios com suas massas atômicas e alguma letra aleatória, divergindo entre maiusculas e minusculas '.' nunca ninguem descobriu!
Paulo Higa
Sim, o post foi atualizado com o link para a explicação da Microsoft. O The Next Web também
Denis
As contas da Microsoft sempre foi limitada a 16 caracteres :/
qgustavor
Impressão minha ou eu já fui hackeado em ( e na minha infãncia hackeei ) várias vezes contas de serviços da Microsoft. Por favor, né? Eles não aceitam nem caracteres especiais ( incluindo espaço ) ! Não dá nem para usar a senha forte do XKCD ( http://xkcd.com/936/ ) lá por causa disso! Quanto aos 16 caracteres nunca cheguei a tanto, ainda mais nos sites da Microsoft onde minhas senhas sofrem, tenho que ter muita criatividade pra criar uma lá com tantas limitações. Sem contar os erros de segurança citados... mas podia ser pior, já hackeei um site até bem visitado (1e+6 usuários cadastrados) trocando a senha do admin pelo /admin/trocarsenha.php?user=admin&novasenha=123456
JoaoManoel
Já eu uso uma com 30 caracteres, uehuehue. Nunca usei nenhum serviço hotmail, apenas o msn até 2010, mas nem uso mais.
Exibir mais comentários