+ Responder ao Tópico
Resultados 1 a 1 de 1
  1. #1
    Data de Ingresso
    Apr 2008
    Localização
    Terra
    Posts
    3.683
    Pontos: 34.933, Nível: 26
    Nível completado: 96%,  Pontos requeridos para o próximo Nível: 117
    Atividade geral: 0%
    Conquistas:
    7 dias de registo31 dias de registo3 meses de registo1 ano de registoTagger de segunda classeTagger de primeira classe200 Pontos de Experiência
    Agradecimentos
    33
    Agradecido 944 vez(es) em 392 tópico(s)
    Reputação
    781

    Como criar senhas difíceis e não esquecê-las?

    Existem diversos artigos que abordam a necessidade do uso de senhas seguras e que expõem a preocupação da baixa qualidade na formação de senhas e da falta de conscientização do usuário final. Sem ter o objetivo de se tornar mais um artigo maçante sobre o uso de senhas em geral, tive a preocupação de fazer analogias e citar exemplos observados ao longo de alguns projetos que realizei.

    No mundo da segurança o fator humano sempre será o elo mais fraco da corrente para a manutenção do princípio básico da confidencialidade. Com o crescimento digital de nossa sociedade, cada vez mais o número de pessoas que fazem uso de sistemas computacionais e transações eletrônicas cresce a todo vapor, existe a necessidade de lembrar o excesso número de contas, PINs e senhas. Eu possúo, no mínimo, 7 contas em diferentes Internet Service Providers, diversas contas de rede, códigos de acesso para entrada em edifícios (bulding access codes) e senhas para acesso a transações bancárias de pelo menos 2 bancos. A conta ainda cresce de acordo com o número de web sites de Provedores de Informação que possúo acesso (jornais on-line, revistas, sites de tecnologia, listas de discussão entre outros). Tudo o que fazemos necessita de um código especial para que consigamos acessar as informações que hoje são personalizadas ao gosto do usuário. Senhas, Pins, códigos de acesso…

    Sobrecarga de informações!

    Em um mundo perfeito não precisaríamos de todas essas senhas para resguardar as informações pois poderíamos confiar em nossos semelhantes a não invadirem nossas casas, telefones, contas bancárias ou enviar e-mails ofensivos a terceiros fazendo-se passar por nós. Infelizmente não vivemos em um mundo perfeito e as senhas são necessárias para proteger nossa pessoa, nossos negócios e as comunicações e transações eletrônicas que fazemos uso diariamente.

    Com tanto código para decorar muitas pessoas fazem uso das técnicas de “exercício de memória” utilizando os famosos bloquinhos amarelados do Post-it e combinando senhas com datas de nascimento, nomes familiares e fazendo uso de letras ou frases que não são recomendadas. Posso lembrar do dia em que, auditando a qualidade das senhas utilizadas por uma grande empresa, recebi a reclamação de um usuário informando sobre a dificuldade de se lembrar de tantas senhas, assim como a necessidade de trocá-las em tempos periódicos. Sua solução foi utilizar o nome de sua esposa por três meses, modificar para a data de aniversário durante os próximos três e retornar ao nome da esposa, caracterizando um ciclo fácil e previsível para dedução da senha utilizada pelo mesmo.

    Durante o processo de criação de senhas faz-se necessário observar dois focos principais: segurança e eficiência. Senhas devem ser difíceis de quebrar ao mesmo tempo em se necessitam ser fáceis de criar e de se lembrar. Então, falando em eficiência de senhas, vamos a algumas dicas para fazer com que este processo seja mais efetivo. Uma dica simples é utilizar duas letras juntas. Este processo confunde a maior parte dos ataques simples de força bruta que são executados a partir de uma simples varredura em um dicionário de palavras (wordlist). Grande parte das senhas que tenho observado baseiam-se em nomes de times de futebol.

    Cuidado com as senhas fracas

    A pesquisa das 500 piores senhas teve foco nos EUA mas posso afirmar a vocês que aqui no Brasil é muito comum ver nomes como Flamengo, Corintians, mengao2005, gavioesdafiel, rubronego entre outras analogias aos times de futebol comporem senhas de usuários. Essas senhas, em sua maioria, são descobertas durante um ataque de força bruta através de um bom dicionário com letras em nosso idioma. O simples fato de utilizar letras juntas já faria com que metade dos ataques fossem evitados. Por exemplo, observei que mais de 60% das ocorrências de um teste de senhas que realizei trouxe a palavra “Flamengo” como resultado bem sucedido de minha varredura utilizando-se uma boa “wordlist”. Com a alteração do nome “Flamengo” adicionando-se duas letras juntas poderíamos exercitar muitas combinações que não seriam descobertas no teste de dicionário (Fflamengo Flammengo, Flamenggo, Flamengoo, Flaamengo, Flameengo, Fllamengo ou Flamenngo).

    Outro método muito utilizado, principalmente em sistemas que são sensíveis a caracteres maiúsculos e minúsculos como o Unix, é formatar nomes misturando ocorrências de letras maiúsculas e minúsculas. Por exemplo, a senha flamengo poderia ser modificada para FlAmeNgO, o que iria prejudicar consideravelmente o tempo destinado a um ataque de força bruta, principalmente aos ataques realizados sem o uso de dicionários.

    Fácil lembrar, difícil quebrar

    Cito agora matéria do amigo Marlos Mendes (O Dia) em que conversamos sobre métodos para criação de senhas complexas porém de fácil memorização.

    Aprenda a criar senhas muito seguras para e-mail, Orkut, MSN e outras aplicações

    Tudo aquilo que amamos e nos identifica é mais fácil de lembrar. O nome da amada, o aniversário do filho, o time do coração, o número do CPF. Não à toa, é tentador associar essas informações tão marcadas na memória a senhas. E como muitas tentações, perigoso, já que os piratas exploram essas fraquezas humanas na tentativa de roubar senhas.

    Mas num mundo em que tudo, do cartão do banco ao Orkut, exige uma senha, como criar códigos fáceis de lidar e difíceis de quebrar? Segundo especialistas em segurança da informação, o usuário
    pode inventar suas próprias fórmulas para criar senhas ou usar um programa para criar e gerenciar senhas, como o KeePass (que é livre e gratuito).

    Para ter uma senha forte é preciso seguir algumas regrinhas. A senha não deve ser uma informação fácil de identificar, como nome, número de identidade ou CPF. Deve ter ao menos oito dígitos e não pode ser uma palavra registrada em dicionário. Nos ataques de “força bruta”, os piratas usam programas específicos que combinam caracteres e palavras para tentar advinhar a senha.

    Por isso, Otorrinolaringologista pode parecer uma senha forte, mas não é. Portanto, quanto maior a quantidade e variedade de caracteres, maior a dificuldade para quebrar a senha.

    “O ideal é criar uma senha que não esteja no dicionário, não seja nome próprio e que contenha além de letras, maiúsculas e minúsculas, números e caracteres não alfabéticos. E que tenha no mínimo oito caracteres”, explica o especialista em Segurança da Informação Reinaldo de Medeiros.

    Então o ideal é uma senha como 35açWP&$. O problema é que não adianta criar uma senha desse tipo se não for possível para memorizá-la. “Não se deve anotar a senha em papéis ou post-its. Há quem anote e cole o papel no monitor. Isso é uma sentença de morte para ter a credencial violada”, explica
    o especialista em Segurança da informação, Alexandre Freire, autor do livro“Como Blindar seu PC”, da Editora Campus.

    Freire dá outra dica: jamais compartilhar usuário e senha com outras pessoas, principalmente no trabalho.“Isso dificulta rastrear e identificar culpados por mal uso dos computadores”, explica


    Truques para fazer uma senha dura na queda

    Boas senhas como !Q@W#E$R4r3e2w1q. Parece imemorizável, não? Agora busque os caracteres no seu teclado. Notou que seguem uma ordem? Eis um exemplo de senha fácil de memorizar e difícil de quebrar. Outro: stj@ttdm. Essaé feita com as primeiras letras de versos da música“Tempo Perdido”, da Legião Urbana (Somos tão jovens. Temos todo tempo do mundo). Outro macete é trocar letras por números em palavras simples. Por exemplo, R31n@ld0 em vez de Reinaldo.“Obviamente, é uma senha fácil se o sujeito se chamar Reinaldo”, brinca Medeiros.

    Outro recurso é apelar para gerenciadores de senhas, como o KeePass ([Conteúdo visível apenas a membros clique aqui para se registar]). Ele guarda todas as suas senhas num arquivo criptografado. Para abri-lo, é preciso uma senha mestra, a única que é necessário saber de cor. “Funciona como um papelzinho em que você anota suas senhas, só que ele mesmo é protegido por uma senha”, explica.


    Senhas é tema da cartilha do CERT-BR

    A entidade máxima de segurança da Internet Brasil divulgou recomendações sobre senhas em sua cartilha. Veja seção sobre o assunto contida na Cartilha do Cert.br


    Gerador de senhas complexas on-line

    A Universidade de Cambridge, Inglaterra, tem um gerador de senhas difíceis [Conteúdo visível apenas a membros clique aqui para se registar]. Boa sorte na criação de seu novo padrão de senhas e um ambiente computacional mais seguro a todos nós!
    Última edição por JackEstripador; 14-01-2009 às 00:54.

Tags para este Tópico

Marcadores

Permissões de Postagem

  • Você não pode iniciar novos tópicos
  • Você não pode enviar respostas
  • Você não pode enviar anexos
  • Você não pode editar suas mensagens