Início » Segurança » Trocar de senha periodicamente pode não ser uma ideia tão boa assim

Trocar de senha periodicamente pode não ser uma ideia tão boa assim

Pelo menos nas empresas que obrigam o usuário a trocar a combinação a cada 60 ou 90 dias

Por
2 anos e meio atrás

Campo de senha

Misture letras, números e caracteres especiais. Nada de usar sequências como “123456” e “abcdef”. Não menos importante: troque a sua senha regularmente. Você certamente conhece essas recomendações. Mas a última está sendo questionada: para a Comissão Federal de Comércio (FTC, na sigla em inglês), que regula práticas comerciais nos Estados Unidos, a troca periódica de senhas pode, na verdade, enfraquecer a segurança.

De acordo com o Ars Technica, a história toda começou em janeiro, quando a FTC publicou no Twitter uma mensagem incentivando a troca de senha:

O tweet foi visto por Lorrie Cranor, professora de ciência da computação da Universidade Carnegie Mellon que assumiu o departamento de tecnologia da FTC no início do ano. Ela estranhou a mensagem porque não concorda com a prática sugerida: Cranor vê a recomendação de trocar de senhas periodicamente mais como uma superstição do que um reforço na segurança.

É uma postura polêmica. Especialistas em segurança digital recomendam a troca periódica de senha por diversas razões. A principal delas é coibir o acesso não autorizado a serviços: um invasor pode descobrir a senha da sua conta na empresa que você trabalha e acessá-la discretamente para obter dados confidenciais, por exemplo. Trocando a combinação, esse acesso não autorizado é interrompido.

Duvidando do real benefício dessa prática, Cranor conversou com outros especialistas em tecnologia e segurança da FTC para tratar da questão. Ela saiu dessas conversas com a missão de dar mais detalhes sobre o assunto. Os resultados da pesquisa ficaram dentro do esperado pela professora, mesmo assim, são um tanto chocantes.

Cranor e equipe usaram como base um estudo de 2010 realizado pela Universidade da Carolina do Norte que analisou hashes criptográficas de contas expiradas de 10 mil alunos e funcionários da instituição. Todas passaram por processos periódicos de troca obrigatória de senha a cada três meses, que é o padrão estabelecido na maioria das empresas.

Os pesquisadores perceberam com a análise que, de modo geral, os usuários tendem a mudar a senha fazendo uma reciclagem da combinação anterior. Assim, a senha tArheels#1 acaba sendo mudada para taRheels#1, depois para tarheels#11 e por aí vai.

cadeado-seguranca-cofre-senha

Perceba que, em todas as mudanças, apenas um detalhe ou outro da combinação foi alterado. Isso acontece por duas razões: a primeira é que é bem mais fácil memorizar uma senha levemente alterada do que uma completamente nova; a segunda é que as pessoas se irritam de ter que mudar de senha periodicamente (Lorrie Cranor mesmo odeia a obrigatoriedade de troca a cada 60 dias imposta pela FTC) e, portanto, facilitam ao máximo esse processo.

De todo modo, a senha foi alterada, o que deve impedir a ação de quem a usava às escondidas, certo? Aí que está o problema: o padrão de alteração é tão previsível que os pesquisadores conseguiram desenvolver um algoritmo capaz de “adivinhar” a mudança efetuada.

No final das contas, Cranor concluiu que a mudança periódica de senhas é uma barreira muito pequena para invasores em potencial. Mesmo que haja regras que dificultem a reciclagem de uma combinação, a alteração pode ser tão estressante que o usuário irá anotá-la em um papel ou usar como base uma palavra de fácil memorização, o que também pode comprometer a segurança.

Apesar disso, a FTC não está recomendando abertamente que a troca periódica de senha seja abandonada. Ainda não. Mais estudos são necessários. No momento, a divulgação do levantamento de Lorrie Cranor chama atenção para a necessidade de discussões sobre o assunto e a priorização de outras práticas de segurança.

Nesse sentido, recomendações como misturar letras maiúsculas e minúsculas com números e caracteres especiais continuam valendo com força, assim como não aplicar combinações óbvias. Para quem tem dificuldades com isso, fica a dica: usar gerenciadores de senhas pode ser uma excelente opção.

O anúncio fechará em 15 segundos