|
Próximo Texto | Índice
Senha complicada falha em impedir roubo na internet
Combinação esdrúxula que pessoa não consegue decorar não ajuda contra hacker, mostra pesquisador da Microsoft
Exigir troca frequente ainda pode estimular os usuários a memorizar seus códigos em papéis, o que os torna mais vulneráveis a bisbilhoteiros
RAFAEL GARCIA
DA REPORTAGEM LOCAL
Uma empresa que obriga
funcionários a trocarem senhas
de seus e-mails constantemente e os impede de usar palavras
simples para se conectar não
está necessariamente mais
protegida contra ataques de
hackers. Segundo estudo de um
cientista brasileiro a serviço da
Microsoft, esse procedimento
tende a se tornar uma prática
"datada" e nada oferece de sigilo contra as formas mais comuns de roubo de senhas.
O autor principal do trabalho, Dinei Florêncio -da unidade de pesquisas da gigante da
informática em Redmond
(EUA)-, chegou a essa conclusão após conduzir uma análise
teórica considerando ataques
eletrônicos a senhas com graus
diferentes de complexidade.
Segundo ele e dois colegas
que colaboraram no estudo, a
prática de incentivar senhas difíceis tem como único resultado o aborrecimento dos usuários, que ficam com a memória
sobrecarregada. A ideia de fazer a análise, aliás, surgiu daí.
"Percebemos que muitos dos
conselhos de segurança dados
por "experts" são baseados num
modelo de risco que não corresponde mais à realidade",
disse Florêncio à Folha, ressaltando que sua conclusão é pessoal, não a "posição oficial" da
Microsoft. E seu trabalho também leva em conta, claro, que
senhas fáceis demais -datas de
aniversário, nomes de filhos
etc.- são mesmo frágeis.
"A pergunta básica é se a
conveniência adicional da senha complexa vale o "custo"
adicional do inconveniente."
O trabalho de Florêncio considerou apenas ataques "on-line", mas com o risco "off-line"
-bisbilhoteiros de gavetas e
porta-lápis- as senhas complicadas podem até ser um tiro
pela culatra, porque incentivam o uso de lembretes em
post-it soltos e cadernetas.
No estudo, os pesquisadores
explicam que as combinações
esdrúxulas de letras não evitam as duas formas mais comuns de roubo de senhas, o
"phishing" e o "keylogging". Sites
continuam obrigando ou recomendando usuários a complicar suas senhas, porém, temendo ataques eletrônicos de "força bruta", com programas criados para chutar uma combinação atrás da outra, até acertar.
Nos cenários simulados no
estudo de Florêncio, porém,
esse tipo de ataque é facilmente barrado com a chamada "regra das três tentativas", na qual
o programa trava se o usuário
erra os primeiros chutes. "O
ponto básico é que, tipicamente, o acesso é limitado, e quem
faz o ataque não pode tentar
tantas senhas quanto quiser."
Segundo seu estudo, o que
ajuda aí é tornar a identificação
do usuário mais completa, sem
apelar para senha complicada.
O trabalho, disponível no site research.microsoft.com,
questiona se as senhas consideradas "fortes" servem para
alguma coisa, afinal. "Senhas
fortes são tão suscetíveis a roubo por "phishing" ou "keylogging" quanto fracas, e mudar a
senha com frequência só ajuda
se quem ataca é lento demais
para explorar as credenciais
[dados] colhidas", diz o estudo.
Próximo Texto: De volta à "Terra" Índice
|