Trocar de senha periodicamente pode não ser uma ideia tão boa assim
Pelo menos nas empresas que obrigam o usuário a trocar a combinação a cada 60 ou 90 dias
Misture letras, números e caracteres especiais. Nada de usar sequências como “123456” e “abcdef”. Não menos importante: troque a sua senha regularmente. Você certamente conhece essas recomendações. Mas a última está sendo questionada: para a Comissão Federal de Comércio (FTC, na sigla em inglês), que regula práticas comerciais nos Estados Unidos, a troca periódica de senhas pode, na verdade, enfraquecer a segurança.
De acordo com o Ars Technica, a história toda começou em janeiro, quando a FTC publicou no Twitter uma mensagem incentivando a troca de senha:
Encourage your loved ones to change passwords often, making them long, strong, and unique. More tips: https://t.co/VhTCLCdf9j. #ChatSTC
— FTC (@FTC) January 27, 2016
O tweet foi visto por Lorrie Cranor, professora de ciência da computação da Universidade Carnegie Mellon que assumiu o departamento de tecnologia da FTC no início do ano. Ela estranhou a mensagem porque não concorda com a prática sugerida: Cranor vê a recomendação de trocar de senhas periodicamente mais como uma superstição do que um reforço na segurança.
É uma postura polêmica. Especialistas em segurança digital recomendam a troca periódica de senha por diversas razões. A principal delas é coibir o acesso não autorizado a serviços: um invasor pode descobrir a senha da sua conta na empresa que você trabalha e acessá-la discretamente para obter dados confidenciais, por exemplo. Trocando a combinação, esse acesso não autorizado é interrompido.
Duvidando do real benefício dessa prática, Cranor conversou com outros especialistas em tecnologia e segurança da FTC para tratar da questão. Ela saiu dessas conversas com a missão de dar mais detalhes sobre o assunto. Os resultados da pesquisa ficaram dentro do esperado pela professora, mesmo assim, são um tanto chocantes.
Cranor e equipe usaram como base um estudo de 2010 realizado pela Universidade da Carolina do Norte que analisou hashes criptográficas de contas expiradas de 10 mil alunos e funcionários da instituição. Todas passaram por processos periódicos de troca obrigatória de senha a cada três meses, que é o padrão estabelecido na maioria das empresas.
Os pesquisadores perceberam com a análise que, de modo geral, os usuários tendem a mudar a senha fazendo uma reciclagem da combinação anterior. Assim, a senha tArheels#1 acaba sendo mudada para taRheels#1, depois para tarheels#11 e por aí vai.
Perceba que, em todas as mudanças, apenas um detalhe ou outro da combinação foi alterado. Isso acontece por duas razões: a primeira é que é bem mais fácil memorizar uma senha levemente alterada do que uma completamente nova; a segunda é que as pessoas se irritam de ter que mudar de senha periodicamente (Lorrie Cranor mesmo odeia a obrigatoriedade de troca a cada 60 dias imposta pela FTC) e, portanto, facilitam ao máximo esse processo.
De todo modo, a senha foi alterada, o que deve impedir a ação de quem a usava às escondidas, certo? Aí que está o problema: o padrão de alteração é tão previsível que os pesquisadores conseguiram desenvolver um algoritmo capaz de “adivinhar” a mudança efetuada.
No final das contas, Cranor concluiu que a mudança periódica de senhas é uma barreira muito pequena para invasores em potencial. Mesmo que haja regras que dificultem a reciclagem de uma combinação, a alteração pode ser tão estressante que o usuário irá anotá-la em um papel ou usar como base uma palavra de fácil memorização, o que também pode comprometer a segurança.
Apesar disso, a FTC não está recomendando abertamente que a troca periódica de senha seja abandonada. Ainda não. Mais estudos são necessários. No momento, a divulgação do levantamento de Lorrie Cranor chama atenção para a necessidade de discussões sobre o assunto e a priorização de outras práticas de segurança.
Nesse sentido, recomendações como misturar letras maiúsculas e minúsculas com números e caracteres especiais continuam valendo com força, assim como não aplicar combinações óbvias. Para quem tem dificuldades com isso, fica a dica: usar gerenciadores de senhas pode ser uma excelente opção.
