Governo dos EUA pede para a gente simplificar as senhas (não, não é uma armadilha!)
Senhas são coisas desagradáveis mas necessárias, mas a maioria das pessoas usa errado. Um serviço do governo dos EUA publicou um relatório com diversas recomendações para melhor segurança de redes, e elas fazem… bastante sentido.
Carlos Cardoso 7 anos atrás
Segurança da informação é algo sério, por mais que as pessoas não liguem. Isso vale pra quem anota a senha do cartão do banco na traseira dele, ou pras antas da Polícia de Los Angeles, que anotaram usuário e senha de um sistema internet em um quadro branco e deram entrevista pra CNN com o quadro aparecendo.
Uma das formas mais simples de diminuir a segurança da informação, ironicamente é reforçando demais a política de senhas. O NIST, o INMETRO dos EUA publicou uma série de recomendações que contrariam o bom-senso de muitos administradores de sistemas, mas fazem sentido.
A questão é simples: se uma senha for muito complicada, você vai ser bloqueado do sistema se errar muito, ou vai acabar anotando em algum lugar. O que é ruim.
Políticas que exigem trocas periódicas também não ajudam, nem aquelas que exigem que a senha seja nova. Conjuntos de regras, exigindo caixa alta e baixa, pelo menos 3 números, etc, etc acabam criando um gabarito para um gerador de senhas.
Também não faz diferença a senha ser velha. Se um gerador aleatório levará 150 mil anos pra achar sua senha, mudar a cada seis meses não altera nada. E coisas como inserir sinais gráficos, trocar L por 1, E por 3 e similares torna a senha mais difícil de lembrar, mas para um gerador de senhas, tanto faz. É só um código ASCII.
As regras para “ofuscar” a senha esquecem que humanos vão sempre pelo caminho mais preguiçoso, e se sua senha é “password” e o sistema exige que tenha pelo menos um caracter numérico, a maior parte das pessoas mais resmungar e digitar “password1”, e qualquer hacker vagabundo colocará isso em seu script.
O relatório recomenda medidas bem mais simples, como banir as senhas mais usadas (há listas anuais, e a mais usada costuma ser… “password”) e limitar o espaço de tempo entre tentativas de login.
Outro método que ferra a vida de um script invasor é sua senha ser uma frase, uma citação ou letra de música, como:
CarryonmywaywardsonForthere'llbepeacewhenyouaredoneLayyourwearyheadtorestDon'tyoucrynomore
São 90 caracteres, com variações de caixa e caracteres especiais. É danado de complicado um ataque de força bruta chegar numa senha dessas. Um ataque de força bruta tentando quebrar um hash MD5 padrão levaria, segundo o Brute Force Calculator,
1,1860831585123189140 anos, 28 dias, 8 horas, 25 minutos e 12 segundos.
Isso é mais ou menos uns 15 minutos a menos do prazo final projetado para o Ano do Linux no Desktop e o lançamento do Half-Life 3.
Fonte: Quartz.
