Quando o padrão para geração de senhas mais atrapalha do que ajuda

Henrique Takaki
January 22nd, 2018

Recentemente em uma viagem, meu carona pediu a senha do rádio para conectar o celular dele para ouvirmos algumas músicas. Como não lembrava dela, pedi para ele tentar 1111 e não é que deu certo!!!.  A partir daí comecei a pensar na quantidade de senhas que convivemos todos os dias e que não tem nada a ver com o ambiente corporativo. Tem a senha do celular, do computador, do acesso móvel ao serviço de TV a cabo, do serviço de streaming, do internet banking, do facebook, whatsapp, instagram, linkedin, do site de sua loja preferida, dos serviços públicos como receita federal, programa de recompensas, do cartão de crédito, do cartão de débito. Aliás, senha de cartão é mais que um tormento quando você tem dois, três, quatro cartões.

Além da quantidade, tem também a diversidade: algumas têm que ser numérica com 4, 6, 8 dígitos, outras precisam ser uma combinação de números e letras. Há ainda as que devem conter caracteres especiais, letras maiúsculas, ou um número mínimo ou máximo de caracteres. E quando elas expiram então, ai que dificuldade, pois sempre há um controle que não nos permite repetir senhas usadas anteriormente.

Nossa tendência é tentar colocar, sempre que possível, uma senha semelhante para todos os lugares e, além disto, ter um caderninho com todas para o caso de esquecimento. E considerando que além das senhas pessoais, ainda tenho as minhas senhas corporativas (como acesso aos diversos sistemas, e-mail e sites), meu caderninho vai se completando.

Todos os anos, empresas de segurança listam as senhas mais usadas. No ano de 2017, uma das mais usadas foi “starwars”, além, é lógico, das tradicionais “123456”, “12345678”, “password”, “qwerty”, “admin”, “passw0rd”, “qazwsx” e “nome+dia e mês de nascimento”. As organizações também repetem as dicas de segurança para geração de senhas tais como misture caracteres especiais, letras, números, etc.

Sobre estas dicas, em entrevista ao Wall Street Journal, BillBurr, criador desse padrão super conhecido, se diz arrependido por ter divulgado suas sugestões em 2003 pois na época, não tinha domínio total sobre o assunto. Para exemplificar seu arrependimento, ele cita a necessidade de se trocar a senha a cada três meses. No fim das contas, as pessoas acabam fazendo poucas alterações, o que não dificulta muito o trabalho de hackers.

O problema com as recomendações de Bill não está no fato de que elas obrigatoriamente resultem em senhas fracas. A questão é que as dicas acabam sucintas demais e deixam passar recomendações essenciais, como a importância de se criar senhas longas e o fator de segurança da senha, que cresce conforme a quantidade de caracteres usados. Descobrir uma senha é um problema matemático. A combinação correta de caracteres pode ser revelada por um computador que tenha tempo suficiente para testar todas as possibilidades incluindo letras e números. É por isso que uma senha curta, de quatro caracteres, mesmo que composta por símbolos especiais, letras e números, pode ser descoberta por um computador em questão de alguns dias. Por outro lado, uma frase simples, ou algumas palavras unidas na forma de uma senha, podem levar séculos de combinações para serem descobertas completamente pelo mesmo computador — tornando mais complicadas.

As novas diretivas do NIST com padrões e recomendações para criação de senhas seguras já consideram essa nova realidade. O órgão menciona a importância do uso de senhas longas, formando frases, em vez das m1stur@s com caract3r3$ especiais.

E ai começamos tudo de novo, alguns sistemas não aceitam senhas longas, outros exigem senhas numéricas, nossa memória não consegue guardar tudo e nosso caderninho está ficando pequeno para tantas frases que viraram senhas que tem que ser mudadas periodicamente. Um colega me disse que toda vez que algum sistema pedia a ele que mudasse a senha ele ficava um bom tempo alterando a senha deste sistema e de todos os outros para que tudo ficasse igual.

Para concluir este texto, nossa sorte é que atualmente existem sistemas, como o PowerBroker da BeyondTrust, que permitem que haja uma unificação e gerenciamento segura das senhas dos diversos aplicativos, guarda protegida de dados e uso de identificação biométrica. Na medida em que essas tecnologias sejam cada vez mais usadas, em minha opinião, teremos reduções nos números de comprometimentos de dados como os noticiados em dezembro onde uma lista com mais de 1,4 bilhão de senhas roubadas foi descoberta na deep web.

Henrique Takaki

Henrique Takaki é especialista em segurança da informação e prevenção a fraudes, tendo construído uma carreira sólida em empresas nacionais e multinacionais. Possui ampla experiência em projetos de captura de transações de cartões, e foi responsável pela busca de inovações tecnológicas que atendam aos processos de negócios, prevenção a fraudes, sistemas e infraestrutura, influenciando as transformações e processos das organizações e melhorando as taxas de conversão das transações com cartões. É reconhecido pela indústria de cartões como referência em prevenção a fraudes, inovação e segurança da informação, bem como pela gestão de comitês multidisciplinares compostos por empresas concorrentes na ABECS, FEBRABAN e no Board do PCI Council.