Início » Antivírus e Segurança » Trocar de senha periodicamente pode não ser uma ideia tão boa assim

Trocar de senha periodicamente pode não ser uma ideia tão boa assim

Pelo menos nas empresas que obrigam o usuário a trocar a combinação a cada 60 ou 90 dias

Emerson Alecrim Por

Campo de senha

Misture letras, números e caracteres especiais. Nada de usar sequências como “123456” e “abcdef”. Não menos importante: troque a sua senha regularmente. Você certamente conhece essas recomendações. Mas a última está sendo questionada: para a Comissão Federal de Comércio (FTC, na sigla em inglês), que regula práticas comerciais nos Estados Unidos, a troca periódica de senhas pode, na verdade, enfraquecer a segurança.

De acordo com o Ars Technica, a história toda começou em janeiro, quando a FTC publicou no Twitter uma mensagem incentivando a troca de senha:

O tweet foi visto por Lorrie Cranor, professora de ciência da computação da Universidade Carnegie Mellon que assumiu o departamento de tecnologia da FTC no início do ano. Ela estranhou a mensagem porque não concorda com a prática sugerida: Cranor vê a recomendação de trocar de senhas periodicamente mais como uma superstição do que um reforço na segurança.

É uma postura polêmica. Especialistas em segurança digital recomendam a troca periódica de senha por diversas razões. A principal delas é coibir o acesso não autorizado a serviços: um invasor pode descobrir a senha da sua conta na empresa que você trabalha e acessá-la discretamente para obter dados confidenciais, por exemplo. Trocando a combinação, esse acesso não autorizado é interrompido.

Duvidando do real benefício dessa prática, Cranor conversou com outros especialistas em tecnologia e segurança da FTC para tratar da questão. Ela saiu dessas conversas com a missão de dar mais detalhes sobre o assunto. Os resultados da pesquisa ficaram dentro do esperado pela professora, mesmo assim, são um tanto chocantes.

Cranor e equipe usaram como base um estudo de 2010 realizado pela Universidade da Carolina do Norte que analisou hashes criptográficas de contas expiradas de 10 mil alunos e funcionários da instituição. Todas passaram por processos periódicos de troca obrigatória de senha a cada três meses, que é o padrão estabelecido na maioria das empresas.

Os pesquisadores perceberam com a análise que, de modo geral, os usuários tendem a mudar a senha fazendo uma reciclagem da combinação anterior. Assim, a senha tArheels#1 acaba sendo mudada para taRheels#1, depois para tarheels#11 e por aí vai.

cadeado-seguranca-cofre-senha

Perceba que, em todas as mudanças, apenas um detalhe ou outro da combinação foi alterado. Isso acontece por duas razões: a primeira é que é bem mais fácil memorizar uma senha levemente alterada do que uma completamente nova; a segunda é que as pessoas se irritam de ter que mudar de senha periodicamente (Lorrie Cranor mesmo odeia a obrigatoriedade de troca a cada 60 dias imposta pela FTC) e, portanto, facilitam ao máximo esse processo.

De todo modo, a senha foi alterada, o que deve impedir a ação de quem a usava às escondidas, certo? Aí que está o problema: o padrão de alteração é tão previsível que os pesquisadores conseguiram desenvolver um algoritmo capaz de “adivinhar” a mudança efetuada.

No final das contas, Cranor concluiu que a mudança periódica de senhas é uma barreira muito pequena para invasores em potencial. Mesmo que haja regras que dificultem a reciclagem de uma combinação, a alteração pode ser tão estressante que o usuário irá anotá-la em um papel ou usar como base uma palavra de fácil memorização, o que também pode comprometer a segurança.

Apesar disso, a FTC não está recomendando abertamente que a troca periódica de senha seja abandonada. Ainda não. Mais estudos são necessários. No momento, a divulgação do levantamento de Lorrie Cranor chama atenção para a necessidade de discussões sobre o assunto e a priorização de outras práticas de segurança.

Nesse sentido, recomendações como misturar letras maiúsculas e minúsculas com números e caracteres especiais continuam valendo com força, assim como não aplicar combinações óbvias. Para quem tem dificuldades com isso, fica a dica: usar gerenciadores de senhas pode ser uma excelente opção.

Comentários

Envie uma pergunta

Os mais notáveis

Comentários com a maior pontuação

Robson
Sou contra isso de ficar trocando de senha toda hora! Só troco mesmo em casos quando acho que alguém conseguiu obter acesso às minhas contas, etc... e mesmo assim, quando vou trocar de senha, procuro não criar senha semelhante à senha antiga. Procuro também sempre usar "geradores de senha", que ajudam bastante nesta tarefa de criar uma senha nova e mais segura, misturando letras, números e símbolos. Um site muito bom que uso e recomendo é este aqui: http://www.geradordesenha.com
Anthony Fernando
As minhas também. É difícil confiar nesses apps de terceiros pelo fato de que pode ocorrer um ataque Hacker e a pessoa ter uma grande dor de cabeça!.
Feripe Hatsune
o volume de mangás foi invenção minha lol. mas que daria uma ótima história seria.
Adnnu Bauss
E quando os bancos te impõem uma senha aleatória? O que acontece é que no lugar de decorar a nova senha o usuário anota num papel que fica na carteira. Certas empresas precisam repensar o que chamam de procedimento de segurança. Se o banco dificulta minha vida e eu sei que em caso de fraude o prejuízo é deles, não me esforçarei para ajuda-los.
Panino, o Manino
"mangá de 4 volumes com 60 páginas cada" Seria então um mangá de volume único e 240 páginas, existe esse formato.
Hail Hidra
Todas minhas senhas estão salvas no servidor da Google
Jamis Casusa
Já passei por isso, e pior: eu trabalhava no suporte. Toda semana vinha gente pedir pra resetar a senha
Islan Oliveira
Valeu pelo link, descobri que o meu login de um site que jogava muito tempo atrás vazou.
Islan Oliveira
Eu costumo usar 3 ou 4 senhas por ano, uma para cada serviço. Nenhuma lembrando a outra e todas são frases em língua estrangeira com alguns erros propositais. Se isso não for mais seguro, não sei mais o que seria.
Marcos Porto
Conheço um "SEO" de uma transportadora que muda a senha de forma sequencial! Algo como tEd0405!, [email protected], tEd0407#... kkkkk
Marcos Porto
Opa, achei um "Oh no — pwned"... de um site que nunca usei hahahaha
Fábio Gonçalves
Por isso uso o Safe in Cloud....
Rodrigo Gommes
o mais chato de tudo é que conectar o LastPass, cadastrar minhas senhas lá. e esquecer "periodicamente" a senha do próprio LastPass... =/
F. S.
Difícil usar gerenciadores de senha enquanto o Android e o Windows não tiverem API pra isso.
abraaocaldas
E foi justamente por isso que eu comecei a usar o lastpass :)
Exibir mais comentários