Senhas no SBS - Tecnologias

Tecnologias

Assuntos diversos ligados à tecnologia.

Syndication

Receive Email Updates



Senhas no SBS

Na verdade isso serve para senha em qualquer lugar, mas como o foco é o servidor, falemos dele.

Que tamanho possui a sua senha? A maioria das pessoas ainda possui aquelas senhas de 8 caracteres, que eram as recomendadas até pouco tempo atrás. Mas por que então deveríamos para de usá-las?

Alguns cientistas usando um cluster, conseguiram quebrar senhas de 8 caracteres em menos de duas. Então eles tentaram quebrar senhas de 11 caracteres e a estimativa foi de 180 anos. Quando tentaram senhas de 12 caracteres a estimativa foi de 17.134 anos.

Considerando-se um princípio básico de nunca recomendar senhas que se leve menos de 1.000 anos para quebrar, a nova recomendação passa a ser de senhas com 12 caracteres.

Mas de onde sai essa idéia de não se usar nada que leve menos de 1.000 anos para quebrar? 1.000 anos atrás nem se pensava em computadores e daqui a 1.000 nem estaremos mais vivos (ainda que fóssemos gostar de estarmos, :D). Simples, a tecnologia evolui em um ritmo tão rápido, principalmente em termos de capacidade de processamento, que uma senha segura por 1.000 anos, torna-se insegura em menos de 6 anos.

Ok, maravilha, 6 anos, mas então por que preciso trocar minha senha a cada 90 dias na empresa onde trabalho? Porque isso é considerado uma boa prática de segurança e serve para garantir que sua senha "nunca" seja quebrada.

Certo, mas se senhas de 8 digitos levam 2 horas para serem quebradas, de 11 digitos levam 180 anos, caso utilize uma senha de 10 dígitos estarei perfeitamente seguro durante os 90 dias. Certo? Não exatamente, pois se leva até 2 horas ou até 180 anos. Porém nada impede que a senha seja quebrada em apenas alguns minutos, dependendo da "sorte" de quem a tenta quebrar.

O tamanho de sua senha, em alguns casos, pode determinar a vulnerabilidade dela, segunda Joshua Davis, um pesquisador do Georgia Tech Research Institute

Segundo Richard Boyd, um dos pesquisadores chefe, envolvido nesta pesquisa, é difícil dizer o que ocorrerá no futuro, mas as pessoas só deveriam ser usadas senhas de 12 dígitos hoje em dia.

As estimativas de tempo deles foram realizadas considerando que um cracker sofisticado consegue, atualmente, testar 1 trilhão de combinações de senhas por segundo.

Mas como então alguém conseguirá lembrar-se de uma senha dessas? O recomendado é que sejam utilizadas frases para a criação das senhas. Pesquisadores da Carnegie Mellon University (http://www.cs.cmu.edu/~help/security/choosing_passwords.html) sugerem que utilize-se a primeira letra de cada palavra da frase para formar a senha e ainda alteremos algumas letras por símbolos.
Ficaria algo como:
 Frase: "Eu gosto muito de comer morangos com chantily umas 2 ou 3 vezes por semana."
 Senha: "Egmcmc2o3ps"

 Frase: "Tenho dois filhos: João e Maria. Eles fazem faculdade 3 vezes por semana."
 Senha: "T2f:JeM.Eff3vs"

Naturalmente a segunda senha é muito melhor do que a primeira demonstrada, pois ela possui os 4 conjuntos de caracteres!

Como assim 4 conjuntos de caracteres? Existem 4 conjuntos de caracteres que podemos utilizar em nossas senhas, a saber:
1 - Números: 0 - 9 (contém 10 possíveis)
2 - Letras Minúsculas: a - z (contém 27 possíveis)
3 - Letras Maiúsculas: A - Z (novamente contém 27 possíveis)
4 - Caracteres Especiais: !@#$%¨&*:>< (depende do idioma que se usa, mas são no mínimo 69 possíveis)
A lógica é de análise combinatória simples, quanto maiores as possibilidades, mais tempo se leva para "adivinhar" a escolha.

Claro, temos que considerar que os pesquisadores utilizaram o método da força bruta para tentar quebrar as senhas, que é o mais demorado, pois testas todas as combinações possíveis.

Que outros métodos são comuns?
1 - Ataque por dicionário: Consiste em testar todas as palavras existentes em um dicionário, partindo-se do principio que a maioria das pessoas usam palavras em suas senhas;
2 - Ataque Híbrido: O mais comum e que surte bons resultados. Consiste em mesclar os dois métodos anteriores. Se considerarmos que muitas pessoas usam de senhas os seus endereços, este método surtiria um ótimo efeito, mesclando palavras de dicionários com o conjunto dos números.
Os tempos para descoberta de senhas diminuem vertiginosamente quando se utiliza um destes dois métodos.

Mas como então lembrar de todas estas senhas? Temos várias que usamos no nosso dia-a-dia.

Existem sites e programas para ajudá-lo nisso, mas sempre há um risco colateral no uso deles. Qual? Que alguém tenha acesso ao repositório deles, pois neste caso teria acesso a todas as suas senhas de uma única vez.
 http://passwordsafe.sourceforge.net/

Se você pensar o estrago que ter uma senha violada, como por exemplo, a do seu Facebook, que lhe dá acesso a vários outros sites ou serviços, imagine o problema de perder todas elas de uma única vez?

Desta forma, o mais recomendado é que você utilize frases longas e uma lógica que só você conheça para formar suas senhas. Neste caso poderá até anotar suas frases, pois ninguém mais saberá convertê-las nas senhas. Melhor ainda se durante a montagem da senha você pular algumas palavras e adicionar alguns espaços.

Ótimo, mas o que tudo isso tem a ver com a minha senha do SBS? Tudo, pois o que estamos discutindo aqui, em resumo, é o estabelecimento de uma política de senhas e ainda lhe dando os argumentos para fornecer aos seus usuários, quando estes reclamarem e pode apostar que eles irão!

Published domingo, 22 de agosto de 2010 1:06 by Paleo

Comments

# As 10 Leis Imutáveis da Segurança@ domingo, 5 de setembro de 2010 16:05

Este post é baseada nas 10 leis imutáveis da segurança postadas no TechNet em: http://technet.microsoft

Tecnologias

# As 10 Leis Imutáveis da Segurança@ domingo, 5 de setembro de 2010 16:05

Este post é baseada nas 10 leis imutáveis da segurança postadas no TechNet em: http://technet.microsoft

Carlos Fernando Paleo da Rocha
SBS MVP in Brazil

# re: Senhas no SBS@ sábado, 25 de junho de 2011 16:27

Senhas no sbs.. Neat :)

carlosfprocha.com

Leave a Comment

(required) 
(required) 
(optional)
(required)