Gerenciamento de senhas: ah, PQP, mudou tudo!!!

Dia desses, lia o Estadão (jornal de velho) e me deparei com uma matéria de Tatum Hunter:

Esqueça tudo o que você aprendeu sobre senhas; veja novas diretrizes

Então, pra não morrer pela cabeça do tradutor, trilhei o caminho reverso, pois em tempos de fake news…

O texto original apareceu em Say g**dby# to annoying password rules no Washington Post, onde a Tatum é articulista.

E de lá segui até a orientação da National Institute of Standards and Technology dos EUA.

Aí a coisa engrossou. Não é mais opinião da autora. Envolve uma entidade famosa.

E analisando o artigo (chato em certos trechos) os “butiás me caíram do bolso”.

Essa é expressão nacional do Rio Grande do Sul que significa “ficar muito surpreso com algo”. Tanto que as pequenas frutas caem dos bolsos da bombacha.

Sobre o texto

Habitualmente um site obriga seu usuário a encher as senhas com caracteres especiais, letras maiúsculas/minúsculas e toda mixórdia possível que o deixa tão desorientado como quando precisa resolver captcha em site de órgão público (nunca dá pra ler aquelas coisas).

Mas isso mudou.

O que diz a NIST: quando exigimos uma combinação complexa de caracteres, o usuário esquece facilmente.

E nem seria necessário tudo isso para proteção, pois se um agente externo tentasse descobrir a senha, essa investida poderia ser bloqueada após “n” tentativas malogradas (isso é sinônimo de fracassado).

Uma coisa chata: vários ataques relacionados a senhas nem são afetados por essa “complexidade”.

Outra situação que “mais prejudica do que ajuda” é a exigência de troca periódica de senha. É quando o usuário realmente se embanana (sentido figurado; ele não vira banana, apenas fica desnorteado).

E o show dos horrores continua. Tem segunda temporada quando, frente a uma senha complexa que recém criou, o usuário anota-a em algum lugar, haha. Pode ser numa agenda física e até no simples bloco de notas do Windows.

Ataques de keystroke logging, phishing e engenharia social também são competentes para descobrir senhas complexas (nem comento sobre as simples).

Propostas da entidade

Uma ideia é pedir senhas enooooormes e com espaços em branco, mesmo que sejam simples frases (“eu vou comprar o próximo livro do cohen”, por exemplo).

Um invasor na base de tentativa-e-erro, tentará inicialmente senhas curtas e será bloqueado, como já escrevi, “por x tentativas erradas”.

Se, por outro lado, um algoritmo invasor tiver acesso a um banco de dados de senhas e buscar descobrir o conteúdo hash armazenado (criptografado), ele demorará muito tempo para senhas muito compridas. Exigiria um poder computacional grande para isso.

Leia o texto da entidade a respeito: “Mesmo com tais medidas, a capacidade atual dos invasores de computar muitos bilhões de hashes por segundo em um ambiente offline que não está sujeito à limitação de taxa requer que as senhas sejam ordens de magnitude mais complexas do que aquelas esperadas para resistir apenas a ataques online.

Depois aparecem sugestões no documento:

  • Parar de exigir caracteres especiais e permitir espaços e emojis nas senhas.
  • Suspender a exigência de mudança regular.
  • Estimular o uso de apps profissionais de gerenciamento de senhas.
  • Validar se a nova senha é similar a uma anterior (“Senha1” por “Senha0”).
  • Usar outras chaves de acesso, como leitura do rosto (o banco C6 exige ver minha careca em movimentações PIX de valor mais alto) ou polegar/indicador/etc.

O mais relevante de tudo

  1. Os caracteres especiais em senhas estão definhando.
  2. Os espaços em branco estão chegando.
  3. As mudanças constantes estão com os dias contados. Leia o artigo da Microsoft Security baseline (FINAL) for Windows 10 v1903 and Windows Server v1903 que diz: “Descartando as políticas de expiração de senha que exigem alterações periódicas de senha“. E ele é de 2019!

Feito.

Hoje é quarta-feira.

E Rosh Hashana!!! Feliz ano novo para todos.

Abrazon

EL CO

 

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *