Carlos Cardoso 3 anos atrás

Segurança da informação é algo sério, por mais que as pessoas não liguem. Isso vale pra quem anota a senha do cartão do banco na traseira dele, ou pras antas da Polícia de Los Angeles, que anotaram usuário e senha de um sistema internet em um quadro branco e deram entrevista pra CNN com o quadro aparecendo.

Uma das formas mais simples de diminuir a segurança da informação, ironicamente é reforçando demais a política de senhas. O NIST, o INMETRO dos EUA publicou uma série de recomendações que contrariam o bom-senso de muitos administradores de sistemas, mas fazem sentido.



A questão é simples: se uma senha for muito complicada, você vai ser bloqueado do sistema se errar muito, ou vai acabar anotando em algum lugar. O que é ruim.

Políticas que exigem trocas periódicas também não ajudam, nem aquelas que exigem que a senha seja nova. Conjuntos de regras, exigindo caixa alta e baixa, pelo menos 3 números, etc, etc acabam criando um gabarito para um gerador de senhas.

Também não faz diferença a senha ser velha. Se um gerador aleatório levará 150 mil anos pra achar sua senha, mudar a cada seis meses não altera nada. E coisas como inserir sinais gráficos, trocar L por 1, E por 3 e similares torna a senha mais difícil de lembrar, mas para um gerador de senhas, tanto faz. É só um código ASCII.

As regras para “ofuscar” a senha esquecem que humanos vão sempre pelo caminho mais preguiçoso, e se sua senha é “password” e o sistema exige que tenha pelo menos um caracter numérico, a maior parte das pessoas mais resmungar e digitar “password1”, e qualquer hacker vagabundo colocará isso em seu script.

O relatório recomenda medidas bem mais simples, como banir as senhas mais usadas (há listas anuais, e a mais usada costuma ser… “password”) e limitar o espaço de tempo entre tentativas de login.

Outro método que ferra a vida de um script invasor é sua senha ser uma frase, uma citação ou letra de música, como:

CarryonmywaywardsonForthere'llbepeacewhenyouaredoneLayyourwearyheadtorestDon'tyoucrynomore

São 90 caracteres, com variações de caixa e caracteres especiais. É danado de complicado um ataque de força bruta chegar numa senha dessas. Um ataque de força bruta tentando quebrar um hash MD5 padrão levaria, segundo o Brute Force Calculator,

1,1860831585123189140 anos, 28 dias, 8 horas, 25 minutos e 12 segundos.

Isso é mais ou menos uns 15 minutos a menos do prazo final projetado para o Ano do Linux no Desktop e o lançamento do Half-Life 3.

Fonte: Quartz.