Esqueça tudo o que você aprendeu sobre senhas seguras

Sabe aquelas velhas recomendações sobre misturar caracteres especiais, números e letras maiúsculas e minúsculas para criar as suas senhas? Elas não passavam de um estudo mal feito, pelo qual o seu criador pede desculpas publicamente.


A gênese desta “prática de segurança”, que muitos tinham até recentemente como um mantra sagrado, está em um estudo publicado pelo órgão do governo americano NIST (National Institute of Standards and Technology) em 2003. Tal estudo, chamado de “Special Publication 800-63”, foi feito pelo funcionário público Bill Burr, que não era lá muito versado em segurança de dados.

Passados 14 anos da “Publicação Especial 800-63”, o seu autor veio a público pedir desculpas e afirmar que tal prática para a criação de senhas não traz nenhum benefício, ou seja, não as torna mais seguras. Para piorar, Burr admitiu que o seu estudo foi baseado em outro feito no início dos anos 1980, ou seja, quando as ameaças de hoje e mesmo a Web como a conhecemos tinham ares de ficção científica.

O pedido de desculpas de Burr, hoje aposentado, veio em face à luz dos fatos. Uma senha do tipo “$€n11@ƒ@Jμt@” pode ser quebrada por força bruta em poucos dias, enquanto que uma senha em forma de frase como “esta é a minha senha bastante fajuta” pode levar até séculos para ser quebrada, além de ser muito mais fácil de memorizar.

O que há de sistemas e serviços cujo campo de senhas é baseado nos conceitos da “Publicação Especial 800-63” não está no gibi, exigindo os tais caracteres especiais para considerar uma senha como válida. Sem falar que muitos destes sistemas possuem uma limitação do tamanho do campo em poucos caracteres, o que impede que senhas em forma de frases sejam utilizadas. Levará décadas para que isto seja normalizado.

Para finalizar, é válido reforçar que as boas práticas de não usar a mesma senha em mais de um serviço e as alterar periodicamente continuam válidas – e com o uso de frases como senhas, isto fica muito mais fácil.

Veja também:
Dicas para não cair em golpes baseados em Engenharia Social
Ladrões virtuais pé de chinelo (4)

Comentários

Postar um comentário