Segurança da Informação

Ξ 1 comentário

As suas senhas são seguras?

publicado por Evandro Ribeiro

As suas senhas são seguras?

Senhas. Todo mundo tem, todo mundo odeia. Senhas roubadas são as chaves da casa, senhas esquecidas são a perdição da vida, de um administrador.

Mas eles são a maneira mais simples para proteger um ativo digital, necessitando apenas de um teclado e um cérebro humano, por isso eles estão aqui para ficar. Os pesquisadores da Microsoft descobriram em 2007 que o usuário Web média tem cerca de 25 contas protegidas por senha, e utiliza cerca de 6,5 senhas diferentes. A Web não poderia funcionar como faz hoje sem eles.

Criando uma senha

As senhas são os alvos mais procurados no submundo do crime. O sucesso rápido de ataques de phishing ao longo dos últimos anos se deve diretamente ao fato de que as senhas são muitas vezes a única proteção permanente entre um atacante e algo de valor que podem ser roubados, tais como o conteúdo da conta bancária de uma pessoa. Com isso em mente, você poderia esperar que os usuários da Web, fossem criar rotineiramente senhas mais fortes.

Infelizmente, mas talvez não surpreendentemente, este não parece ser o caso. Estudos de grandes conjuntos de senhas recuperadas a partir de phishers descobriram que as pessoas notavelmente poucas use as práticas recomendadas para gerar senhas.

É universalmente reconhecido de melhores práticas para uso uma mistura de letras maiúsculas e minúsculas, números e outros símbolos para criar as senhas mais segura, mas apenas 6% dos usuários fazem isso, de acordo com um estudo de 10.000 senhas do Hotmail vazaram no ano passado. As senhas mais comuns, usados ??por 42% das vítimas, eram compostas inteiramente de letras minúsculas.

Apenas 30% dos usuários tinham comprometido senhas contendo uma mistura de letras e números. (A falha em tais estudos, é claro, é que eles são empiricamente único capaz de avaliar as tendências de senha entre o subconjunto de usuários que já caíram para um ataque de phishing e portanto não são provavelmente mais preocupados com a segurança de pessoas no mundo. Mas cada administrador do sistema tem mais de alguns desses em sua rede.)

Fácil de lembrar, difícil de adivinhar

A regra de ouro para senhas é encontrar o equilíbrio, senhas devem ser fáceis para os defensores de lembrar, mas difícil para os atacantes de adivinhar, senhas difíceis de lembrar irão comprometer sua própria segurança, ‘resetando’ , ou até mesmo escrevendo , fica fácil de capturar a senha que já está comprometida.

Criando senhas complicadas, complicado demais cadeias que não têm nenhum valor semântico é uma estratégia perdedora. Informar a um usuário que a senha que tem que usar é SdD83yw% rGh4 $ GTY, a primeira coisa que eles vão fazer é anotá-la em um Post-It e colá-la em seu computador, derrotando o objeto de ter uma senha forte no primeiro lugar.

Agora, qualquer pessoa com acesso ao espaço de trabalho, tem acesso a todos os seus dados confidenciais e podem roubar qualquer funcionalidade que a senha deveria proteger. Da mesma forma, acredito que forçar os usuários a sempre a mudar suas senhas a cada mês ou assim com outra string indecifrável como o descrito acima, inevitavelmente, reduzir a qualidade de senha ou levar para o problema Post-It.

Por outro lado, se uma senha tem um significado muito, ela se torna muito fácil de adivinhar. Os bancos têm alertado clientes para anos para evitar strings seqüenciais ou repetitivos, tais como 1234 ou 1111 em seus PINs, usuários usando o nome de um cônjuge, filho ou outro parente, ou o nome da rua um usuário vive, por exemplo, deve ser desencorajado . Na era do Facebook, descobrir detalhes sobre você é muito mais fácil do que nunca.

Outro cenário, que é provavelmente mais comum, envolve um ataque de força bruta, em que um invasor tenta comprometer uma conta por muito rapidamente tentando como muitas combinações de caracteres possível até que ele bate em cima de uma senha correta. Aqui, os usuários podem reduzir o risco de comprometer por muito tempo escolhendo, strings complicados.

Quando as senhas recebem aumentos de um único caractere, o número de tentativas necessárias para adivinhar /quebrar aumenta exponencialmente.

Criando senhas

Devido ao risco de “ataques de dicionário”, os usuários muitas vezes são aconselhados a se afastarem das palavras do dicionário. Se o vocabulário Inglês-falante média é de cerca de 10.000 palavras, um ataque de dicionário pode ser bem sucedido em questão de segundos. A complexidade do ataque aumentaria consideravelmente se a senha correta utilizada uma mistura de letras maiúsculas e minúsculas, e simplesmente substituindo uma ou mais letras por números ou símbolos – talvez usando um 4 em vez de uma vez A ou US $ de um S – faz ataques de força bruta ainda mais improvável para ter sucesso.

Senhas mais fortes oferecem, melhor proteção contra ataques de força bruta, e não necessariamente sempre tem que ser complexo. Se o sistema protegido é capaz de armazenar senhas grande, então uma breve citação ou frase pode ser tanto fácil de lembrar e difícil de adivinhar.

Um método útil é usar “gatilhos” para ajudar a lembrar sua senha. Estes poderiam basear-se em locais ou eventos, por exemplo. Se você criar ou alterar uma senha em um Starbucks em seu café da manhã, você pode escolher frappuccino, ou melhor, Fr4ppu ((1n0. Se um atacante posteriormente alvos que você, não há como eles poderiam saber os como e os porquês de sua escolha senha , mas você deve achar muito fácil mentalmente imagens do local, acionando o ‘gatilho’. Os seres humanos são geralmente muito melhores em lembrar as imagens ao invés de palavras, então mentalmente ligando os dois podem fazer uma estratégia eficaz.

A maioria dos usuários da Web, têm ainda de encontrar o equilíbrio certo na escolha de senhas, com a maioria ainda errando para a simplicidade com a segurança. Use estas etapas para reduzir as duvidas, mantendo memorização. Estes passos são extremamente fáceis de aprender, e deve ser parte de toda organização política de educação de segurança.

Até a proxima!

Autor

Analista de Segurança da Informação, 7 anos de experiencia. Graduado em redes de computadores, Pós Graduado em Segurança da Informação. MCP, ISO27002, COBIT 4.1 RISK MANAGER

Evandro Ribeiro

Comentários

You must be logged in to post a comment.

Busca

Patrocínio

Publicidade



Siga-nos!

Newsletter: Inscreva-se

Para se inscrever em nossa newsletter preencha o formulário.

Artigos Recentes