Dia desses, lia o Estadão (jornal de velho) e me deparei com uma matéria de Tatum Hunter:
Esqueça tudo o que você aprendeu sobre senhas; veja novas diretrizes
Então, pra não morrer pela cabeça do tradutor, trilhei o caminho reverso, pois em tempos de fake news…
O texto original apareceu em Say g**dby# to annoying password rules no Washington Post, onde a Tatum é articulista.
E de lá segui até a orientação da National Institute of Standards and Technology dos EUA.
Aí a coisa engrossou. Não é mais opinião da autora. Envolve uma entidade famosa.
E analisando o artigo (chato em certos trechos) os “butiás me caíram do bolso”.
Essa é expressão nacional do Rio Grande do Sul que significa “ficar muito surpreso com algo”. Tanto que as pequenas frutas caem dos bolsos da bombacha.
Sobre o texto
Habitualmente um site obriga seu usuário a encher as senhas com caracteres especiais, letras maiúsculas/minúsculas e toda mixórdia possível que o deixa tão desorientado como quando precisa resolver captcha em site de órgão público (nunca dá pra ler aquelas coisas).
Mas isso mudou.
O que diz a NIST: quando exigimos uma combinação complexa de caracteres, o usuário esquece facilmente.
E nem seria necessário tudo isso para proteção, pois se um agente externo tentasse descobrir a senha, essa investida poderia ser bloqueada após “n” tentativas malogradas (isso é sinônimo de fracassado).
Uma coisa chata: vários ataques relacionados a senhas nem são afetados por essa “complexidade”.
Outra situação que “mais prejudica do que ajuda” é a exigência de troca periódica de senha. É quando o usuário realmente se embanana (sentido figurado; ele não vira banana, apenas fica desnorteado).
E o show dos horrores continua. Tem segunda temporada quando, frente a uma senha complexa que recém criou, o usuário anota-a em algum lugar, haha. Pode ser numa agenda física e até no simples bloco de notas do Windows.
Ataques de keystroke logging, phishing e engenharia social também são competentes para descobrir senhas complexas (nem comento sobre as simples).
Propostas da entidade
Uma ideia é pedir senhas enooooormes e com espaços em branco, mesmo que sejam simples frases (“eu vou comprar o próximo livro do cohen”, por exemplo).
Um invasor na base de tentativa-e-erro, tentará inicialmente senhas curtas e será bloqueado, como já escrevi, “por x tentativas erradas”.
Se, por outro lado, um algoritmo invasor tiver acesso a um banco de dados de senhas e buscar descobrir o conteúdo hash armazenado (criptografado), ele demorará muito tempo para senhas muito compridas. Exigiria um poder computacional grande para isso.
Leia o texto da entidade a respeito: “Mesmo com tais medidas, a capacidade atual dos invasores de computar muitos bilhões de hashes por segundo em um ambiente offline que não está sujeito à limitação de taxa requer que as senhas sejam ordens de magnitude mais complexas do que aquelas esperadas para resistir apenas a ataques online.”
Depois aparecem sugestões no documento:
- Parar de exigir caracteres especiais e permitir espaços e emojis nas senhas.
- Suspender a exigência de mudança regular.
- Estimular o uso de apps profissionais de gerenciamento de senhas.
- Validar se a nova senha é similar a uma anterior (“Senha1” por “Senha0”).
- Usar outras chaves de acesso, como leitura do rosto (o banco C6 exige ver minha careca em movimentações PIX de valor mais alto) ou polegar/indicador/etc.
O mais relevante de tudo
Os caracteres especiais em senhas estão definhando.- Os espaços em branco estão chegando.
- As mudanças constantes estão com os dias contados. Leia o artigo da Microsoft Security baseline (FINAL) for Windows 10 v1903 and Windows Server v1903 que diz: “Descartando as políticas de expiração de senha que exigem alterações periódicas de senha“. E ele é de 2019!
Feito.
Hoje é quarta-feira.
E Rosh Hashana!!! Feliz ano novo para todos.
Abrazon
EL CO
