O tardio fim do conceito de senha forte
* Por Eduardo Sanches
Se você tem vontade de xingar toda vez que é obrigado a trocar suas senhas, ainda por cima utilizando caracteres especiais, números, letras maiúsculas e minúsculas, saiba que o alvo de seu ódio é o Sr. Bill Burr. E ele concorda com você.
Em recente artigo publicado no Wall Street Journal, Burr confessou que o modelo de criação de senhas definido por ele e utilizado há quase 15 anos foi um grande erro. Em 2003, quando trabalhava no NIST (National Institute of Standards and Technology), o Sr. Burr desenvolveu o modelo de criação de senhas utilizado até hoje, descrito no documento "NIST Special Publication 800-63. Appendix A".
Suas diretrizes - como utilização de diferentes caracteres, substituição periódica e até o tamanho que a senha deve ter, entre outras - figuram desde as recomendações de segurança da Microsoft aos padrões de segurança do governo norte-americano.
O modelo culminou na recomendação de substituições de letras já na criação da senha, com a troca por números ou caracteres especiais. Algo como "senhaforte" seria reescrito como "$3nh@F0rt3", por exemplo, conforme as definições de cada usuário. A obrigatoriedade da substituição periódica da senha criou um outro problema: os usuários passaram a fazer pequenas alterações, tentando burlar o sistema implantado. De "Senh@F0rt31", passava-se para "Senh@F0rt32".
Para quebrar uma senha, um hacker utiliza diversos métodos, cada um mais demorado que o anterior. Vão desde os mais óbvios, como utilização de informações pessoais e interesses do usuário, até o uso de algoritmo de força bruta, que testa todas as possibilidades de combinações de letras, números e caracteres especiais possíveis. Este método é infalível quando o atacante tem acesso ao banco de dado de senhas, mas pode ser extremamente demorado. O site How Secure Is My Password? fornece estimativas sobre segurança.
A senha S3nh@S#gur@, por exemplo, levaria quatrocentos anos para ser quebrada. Muito tempo? Não se comparado a "carro cachorro churrasco lua": 15 octilhões de anos. Lembrar uma senha dessas é muito mais fácil, principalmente quando se utiliza palavras de interesse, por conta disso, as novas recomendações para criação de senha são para a utilização de frases que façam sentido ao usuário, mas que não sejam diretamente ligadas a ele. Por exemplo um pedaço de letra de música ou de um poema. Quatro ou cinco palavras de uso comum são o suficiente para criar uma senha praticamente inquebrável.
Hoje, aos 72 anos e aposentado, o Sr. Burr se arrepende do que criou. O modelo amplamente utilizado aterrorizou a vida de muitas pessoas e resultou em inimizades entre usuários e o departamento de TI das empresas. Além disso, dificultou a vida das equipes de suporte, obrigadas a desbloquear contas de usuários incautos que esqueciam suas senhas minutos após sua criação.
* Eduardo Sanches — Sócio-diretor da VSI (Ventiv Solutions International). Com MBA pela FGV e graduado em Ciência da Computação, tem mais de 20 anos de experiência em Gestão de Riscos Digitais e Computação Forense.
Canaltech
