As senhas de computadores precisam ser fáceis de lembrar e seguras. A maioria das pessoas esquece da segurança. Pesquisadores estão tentando tornar mais fácil cumprir esses dois requisitos.
As senhas estão por todo lado na segurança de computadores. Muito frequentemente, elas são inúteis. Um senha boa precisa ser fácil de lembrar e difícil de adivinhar, mas na prática as pessoas parecem priorizar o aspecto da facilidade de lembrança. Nomes de parceiros e filhos são escolhas comuns. Alguns levam a simplicidade a extremos: um ex-editor de The Economist usou a letra z como senha por muitos anos. E quando hackers roubaram 32 milhões de senhas de um site de jogos chamado RockYou, foi revelado que 1,1% das 365 mil pessoas optaram pelas senhas “12345” ou “123456”.
Esta previsibilidade permitiu a pesquisadores de segurança (e hackers) criar dicionários que listam senhas recorrentes, uma dádiva para aqueles com fins invasores. Mas apesar de alguns pesquisadores saberem que as senhas são inseguras, tem sido difícil descobrir exatamente o quão inseguras elas são.
Contudo, um estudo a ser apresentado numa conferência de segurança organizada com o patrocínio do Institute of Electrical and Electronics Engineers, uma associação profissional baseada em Nova York, em maio, joga alguma luz sobre o assunto. Com a cooperação do Yahoo!, Joseph Bonneau da Universidade de Cambridge obteve a maior amostra de senhas jamais coletada – 70 milhões delas, que apesar da garantia de anonimato, revelam úteis dados demográficos a respeito de seus usuários.
Bonneau encontrou algumas variações intrigantes. Usuários mais velhos têm senhas melhores que seus pares mais novos. (Tanto se fala da familiaridade tecnológica dos mais novos). Pessoas cujas línguas escolhidas foram coreano ou alemão escolheram as senhas mais seguras; aqueles de idioma indonésio, as menos. Senhas projetadas para proteger informações importantes como números de cartões de crédito eram apenas um pouco mais seguras do que aquelas protegendo coisas menos importantes, como acesso a jogos. Telas que advertiam usuários que sua senha era fraca quase não fizeram diferença alguma. E usuários cujas contas haviam sido invadidas não fizeram escolhas de senhas muito mais seguras em comparação àqueles que nunca passaram por uma violação.
Mas é a análise mais geral da amostra que é de maior interesse para os pesquisadores de segurança. Pois, apesar de suas diferenças, os 70 milhões de usuários eram previsíveis o bastante para que um dicionário genérico de senhas fosse eficiente para toda a amostra bem como para qualquer grupo demograficamente organizado desta. Bonneau é franco: “Um atacante que tenha dez chances por usuário… conseguirá comprometer cerca de 1% dessas contas”.
E isso, do ponto de vista do hacker, é um resultado satisfatório. Uma reação óbvia dos sites poderia ser a limitação ao número de tentativas antes do bloqueio da conta, como fazem os caixas eletrônicos
Nenhum comentário:
Postar um comentário
SEU COMENTÁRIO É MUITO IMPORTANTE!