Logo que se tornou chefe de tecnologia do Federal Trade Commission (FTC), uma agência reguladora do governo dos Estados Unidos equivalente à Anatel brasileira, a professora de ciência da computação Lorrie Cranor se incomodou com uma dica dada pela instituição no Twitter: de que as pessoas deviam trocar suas senhas periodicamente.
Essa orientação, frequentemente repetida em manuais de segurança e muitas vezes adotada por sistemas de empresas que obrigam trocas a cada 30 ou 60 dias, não ajuda a aumentar a segurança e pode até contribuir para práticas inseguras. Foi isso que Cranor afirmou em uma palestra na conferência de segurança BSides, em Las Vegas, nos Estados Unidos, segundo o site de tecnologia "Ars Technica".
Cranor se sentiu incomodada com essa orientação, já que ela mesma tinha seis senhas que precisavam ser modificadas a cada 60 dias.
Ela levou sua crítica dentro do FTC até os diretores de segurança e tecnologia da informação da agência, que solicitaram pesquisas comprovando que a troca de senhas não trazia benefícios.
Entre os estudos que demonstram a ineficácia da troca de senhas está um levantamento da Universidade da Carolina de Norte feito em 2010. Uma análise de 10 mil senhas dos funcionários da instituição mostrou que as pessoas não usam senhas diferentes, mas sim "transformam" senhas anteriores com pequenas mudanças, como "dança#7" por "dança#78" ou alterando as letras maiúsculas como em "dAnça#7" e, na próxima troca, "daNça#7".
A ideia por trás das modificações periódicas da senha é bloquear um invasor que, de algum modo, obteve a senha. Após a troca, ele ficaria sem o acesso. Porém, essas transformações aplicadas pelos usuários não são suficientes para impedir que um invasor adivinhe a senha nova, visto que ele já tinha a senha antiga.
Diante disso, as alterações de senhas acabam não conseguindo interromper um ataque em andamento.
Cranor conseguiu convencer alguns dos diretores e, das seis senhas que ela tem, duas já não precisam mais de alteração periódica.
Novos ataques e autenticação de dois fatoresO Instituto Nacional de Padrões e Tecnologia dos Estados Unidos, órgão semelhante à Associação Brasileira de Normas Técnicas (ABNT), já havia alertado sobre a ineficácia das trocas de senha em um documento de 2009 intitulado "Guia de Gestão Corporativa de Senhas".
Segundo o documento, a troca da senha é ineficaz "quando o atacante pode comprometer a nova senha com o mesmo método usado para comprometer a antiga (como um ladrão de senhas presente no computador de usuário) ou quando um atacante tem um meio de manter o acesso ao alvo sem a senha, como pela instalação de um 'backdoor' [programa de controle remoto] no alvo. A expiração de senhas também é frequentemente uma fonte de frustração para os usuários, que precisam criar e lembrar de novas senhas a cada um ou dois meses para dezenas de contas", afirmou o órgão.
No mesmo documento, o órgão também menciona que não há mais tanto sentido em se preocupar apenas com a força das senhas, porque invasores conseguem obter senhas com vírus ou ataques de "phishing". Esses ataques funcionam independentemente da complexidade da senha criada pelo usuário.
Esse cenário levou à adoção da chamada "autenticação de dois fatores" que, em muitos serviços, pode funcionar por meio de SMS.
Porém, um novo documento do NIST, ainda em discussão aberta, já decreta o "fim" do SMS para o uso em sistemas de segurança. Se a versão final do documento mantiver essa recomendação, serviços que usam SMS para verificar usuários - o que inclui diversos serviços da web como Facebook, Google e WhatsApp - teriam uma recomendação oficial do governo para mudarem suas práticas.
Embora esses serviços já utilizem autenticação por geração de senha no celular (e não SMS), em alguns casos ainda é possível recuperar uma conta com perdida por SMS. Se os serviços seguirem a orientação do NIST, deve começar uma busca ou recomendação de novos métodos para autenticação e recuperação de contas.
Imagem: Senha de desbloqueio no celular. (Foto: Altieres Rohr/Especial para o G1)
Dúvidas sobre segurança, hackers e vírus? Envie para g1seguranca@globomail.com
.JPG)
0 comentários:
Postar um comentário