"[senhas] simplesmente não atendem ao desafio de qualquer coisa que você realmente quer proteger." ~ Bill Gates, 2004
Naturalmente, a maior falha de segurança das senhas geralmente não são os algoritmos e softwares usados, mas os próprios usuários. Como o famoso criador de XKCD, Randall Munroe, uma vez declarou de forma tão pungente: "através de 20 anos de esforços, nós treinamos com sucesso todos para usar senhas que são difíceis para os humanos lembrarem, mas fáceis para os computadores adivinharem".
Nesta missão de treinar pessoas para criar senhas ruins, a culpa por isso pode ser atribuída às recomendações escritas por Bill Burr, em 2003, amplamente divulgadas pelo Instituto Nacional de Padrões e Tecnologia. Entre outras coisas, Burr recomendou o uso de palavras com caracteres aleatórios substituídos, incluindo a exigência de letras maiúsculas e números, e que os administradores do sistema fizeram com que as pessoas mudassem suas senhas regularmente para segurança máxima.
Sobre essas recomendações universalmente adotadas, o agora aposentado Burr declarou em uma entrevista ao Wall Street Journal : "Muito do que eu fiz, agora me arrependo..."
Para ser justo com Burr, os estudos sobre os aspectos da psicologia humana das senhas eram praticamente inexistentes no momento em que ele escreveu essas recomendações e, teoricamente, suas sugestões, no mínimo, deveriam ter sido um pouco mais seguras do ponto de vista computacional do que usar palavras regulares.
O problema com essas recomendações é apontado pelo Centro Nacional de Segurança Cibernética Britânica (NCSC), que afirma que "essa proliferação de uso de senha e requisitos de senha cada vez mais complexos colocam uma demanda irreal na maioria dos usuários. Inevitavelmente, os usuários planejarão seus próprios mecanismos de enfrentamento para lidar com a
sobrecarga de senha. Isso inclui anotar as senhas, reutilizar a mesma senha em diferentes sistemas ou usar estratégias simples e previsíveis de criação de senhas".
Em 2013, o Google fez um rápido estudo sobre as senhas e observou que a maioria das pessoas usa um dos seguintes procedimentos em seu esquema de senhas: o nome ou aniversário de um animal de estimação, membro da família ou parceiro; um aniversário ou outra data significativa; a data de nascimento; o feriado favorito; algo a ver com um time favorito; e, inexplicavelmente, a palavra
password.
Assim, a maioria das pessoas escolhe senhas baseadas em informações que são facilmente acessíveis aos
hackers, que podem criar um algoritmo de força bruta para quebrar a senha.
Felizmente, embora você possa não saber da onipresença de sistemas que ainda exigem o melhor de você para definir uma senha, a maioria das entidades consultivas de segurança alterou drasticamente suas recomendações nos últimos anos.
Por exemplo, o acima mencionado NCSC recomenda agora, entre outras coisas, que os administradores de sistema parem de fazer as pessoas mudarem senhas, a menos que haja uma quebra de senha conhecida no sistema. O motivo: “Isso impõe ônus ao usuário (que provavelmente escolherá novas senhas que são apenas pequenas variações da antigo) e não traz nenhum benefício real". Além disso, estudos mostraram que "uma mudança de senha regularmente prejudica em vez de melhorar a segurança…"
Ou, como observa em
Physics, o famoso cientista da computação Dr. Alan Woodward, da Universidade de Surrey: "Quanto mais você pede a alguém para mudar a senha, mais fracas as senhas que escolherá."
Da mesma forma, até mesmo um conjunto completamente aleatório de caracteres, em uma senha que não tenha outras medidas de segurança, é relativamente suscetível a ataques de força bruta. Como tal, o Instituto Nacional de Padrões e Tecnologia também atualizou suas recomendações, agora incentivando os administradores a fazer com que as pessoas se concentrem em senhas longas, mas simples. Por exemplo, uma senha como "Minha senha é bem fácil de lembrar" geralmente será mais segura do que "D@ught3rsN@m3!1" ou mesmo "* ^ sg5! J8H8*@ #! ^".
É claro que, ao usar tais frases que tornam as coisas fáceis de lembrar, não contorna o problema de ter seus dados "hackeados" em algum serviço importante, com sistemas às vezes usando criptografia fraca ou mesmo nenhuma. Como aconteceu ao
hack Equifax, que teve acesso aos dados pessoais de 145,5 milhões de pessoas nos EUA, incluindo nomes completos, números de seguridade social, datas de nascimento e endereços.
Ao final, nenhum sistema jamais será totalmente seguro, não importa o quão bem projetado tenha sido. O que nos leva às três regras de ouro da segurança do computador, escritas pelo célebre
criptógrafo Robert Morris: "não possua um computador; não o ligue; e não o use".
Extraído de:
WHO INVENTED COMPUTER PASSWORDS?, Today I Found Out
Arquivo
Lorrie Cranor criou uma "nuvem" com as mil piores senhas em língua inglesa, imprimiu-as num tecido e fez um vestido que ela usou numa palestra sobre a segurança de computadores.⇛
O vestido das piores senhas
