Início > Segurança da Informação, Tecnologia > Seja invadido: use senhas de fácil dedução!

Seja invadido: use senhas de fácil dedução!

Recentemente estudei algumas centenas de senhas (de usuários) de aplicações usadas por alguns clientes e pude constatar que, de uma forma geral, o vazamento de informações e o acesso lógico não autorizado só não acontece se o hacker não quiser ou estiver muito ocupado para isso.

O “estudo”

Leitor, não fique chateado se encontrar a sua senha preferida na minha lista de senhas mais usadas. Aproveite a oportunidade e troque a sua senha. Ou melhor, as suas senhas, no plural mesmo. Afinal, tão fácil quanto encontrar senhas de fácil dedução é encontrar usuários que usam a mesma senha em vários serviços diferentes. Por exemplo, um usuário que usa uma senha para sua conta pessoal de email, perfil de rede social, Twitter, conta de email da empresa, etc. Acredito que em alguns casos a invasão se torna um convite, de tão fácil que é, podendo o hacker alegar simplesmente clicou em ‘login’ e conseguiu acesso. É possível, tem gente que usa uma senha em branco (usuário sem senha).

Melhor do que isso só se o usuário resolver, ainda por cima, anotar sua senha em um post-it colado no monitor, ou embaixo do teclado, escrita em uma borracha em cima da mesa, etc. Temos também os usuários que dão uma ajudinha àqueles que querem roubar informações, permitindo o shoulder surfing ou deixando o computador destravado.

Enfim, assim fica fácil demais. Chega a perder a graça. Talvez o hacker, perca o interesse na vítima, a não ser que realmente queira roubar aquelas informações. (Brincadeira. O hacker não vai perder o interesse na vítima.)

Daí a importância da política de senhas, não apenas no papel, mas também forçada através de controles tecnológicos nos sistemas para impedir que o usuário crie senhas que possam ser “quebradas” em alguns minutos.

Resultado

Esse não é um complexo estudo científico, é apenas a compilação dos meus achados. Segue a lista:

1. 123abc (campeão disparado)
2. 123123
3. 123456
4. 123
5. Senha padrão criada pela administração de redes
6. Datas comemorativas, como aniversários (somente números, geralmente com 6 caracteres)
7. Outras senhas somente numéricas (geralmente com 5, 6 ou 7 caracteres)
8. Nome do conjuge, filho, pais, animal de estimação, etc. (normalmente com todas as letras minúsculas)
9. O primeiro nome do próprio usuário (geralmente com todas as letras minúsculas)
10. Palavras ou nomes que existem em dicionários (geralmente com todas as letras minúsculas)

Menos de 10% das senhas analisadas por mim podem ser consideradas seguras.

Recomendações

De uma forma geral, para serem consideradas seguras as senhas devem:

  • Possuir pelo menos 8 caracteres;
  • Utilizar caracteres de 3 grupos diferentes, como letras maiúsculas, minúsculas e números; ou letras maiúsculas, números e símbolos; ou letras minúsculas, números e símbolos.
  • Ser trocadas regularmente (recomenda-se uma troca a cada 60 ou 90 dias, de acordo com a complexidade da senha);

O motivo dessa recomendação é a facilidade que o hacker encontra em alguns sistemas junto com a capacidade de processamento dos computadores atualmente. Eu explico. Um programa de força bruta (ou brute force, em inglês) é usado para testar sequencialmente as senhas. Esses programas geralmente suportam o uso de um “dicionário”, que é um arquivo de texto onde cada linha contém uma palavra. Esses arquivos são separados por idiomas. Por isso recomenda-se que nunca seja usada uma palavra que exista em um dicionário, a não ser que seja precedida e sucedida por outros caracteres, como “1@Laranja$)”, por exemplo.

Além do dicionário, os programas de brute force também fazem testes sequenciais. O teste pode ser feito para cada usuário se houver uma relação de usuários. Não é difícil de conseguir tal relação, já que as empresas seguem uma regra de formação de nomes, como por exemplo, primeira letra do primeiro nome + último sobrenome. No caso do usuário João da Silva seria jsilva e por aí vai. Também é possível ligar o computador e recuperar o último usuário que fez logon em cada estação de trabalho. Com isso o programa testa a senha aaaaa e depois aaaab, aaaac e assim sucessivamente, permitindo que o hacker informe se pretende testar cada caracter com letras maiúsculas, minúscula, números e símbolos, além de poder especificar a quantidade de caracteres para teste. Assumindo que a maioria das pessoas usa senhas de menos de 8 caracteres, esse pode ser o limite superior do teste.

Para aqueles que usam a mesma senha em serviços diferentes, a minha dica é a seguinte: se a sua senha é “1@Laranja$)” você pode usar em outro serviço a senha “8@Laranja%)”. A troca de apenas dois caracteres fará com que o usuário não autorizado não consiga acesso e pela complexidade tornará o brute force praticamente inviável. Outra dica: se você tem dificuldade em criar uma senha complexa, pense em uma frase que faça sentido para você e que seja algo difícil de esquecer. Por exemplo, “Eu fui a São Francisco em 98!”. Uma senha criada a partir dessa frase pode ser: “EfaSFe98!” que usa a primeira letra de cada palavra (maiúsculas e minúsculas), os dois números da data e um ponto de exclamação no final, ou seja, um caracter de 4 grupos diferentes.

Forçar a troca de uma senha muito complexa em um período muito curto pode ser um tiro no pé, já que tornará a memorização muito difícil e o usuário eventualmente acabará anotando a senha em um papel de pão qualquer, tornando inútil todo o esforço do controle tecnológico em forçar a complexidade de uma senha. Portanto, é necessário achar um período que seja conveniente de acordo com a complexidade da senha e que reduza o risco de utilização da conta por parte de um usuário não autorizado. A troca da senha serve também para cortar o acesso de um hacker que pode ter descoberto a senha de uma conta e frequentemente faz acessos em busca de informação.

As brechas

É claro que uma senha de fácil dedução não é a única vulnerabilidade de um sistema ou de um ativo de informação. Contribuem também outras vulnerabilidades como sistemas desatualizados, antivírus não instalado ou não atualizado, e configuração permissiva ou insegura. No entanto, as senhas parecem ser sempre uma brecha maior, já que não dependem apenas de controles tecnológicos mas também de conscientização das pessoas.

Para os usuários corporativos é importante lembrar que determinados acessos a sistemas podem ser comprometedores se não for possível comprovar que outra pessoa efetuou o acesso naquela conta. É como o acesso ao banco ou internet banking: se você anota a senha ou passa a senha para outra pessoa é o seu dinheiro que está em risco. Portanto, lembre-se: a sua senha é pessoal e intransferível.

Anúncios
  1. Francis Linhares
    29 . janeiro . 2010 às 10:24 AM

    Fala Marcelo,
    realmente é difícil conscientizar. Principalmente porque voce argumenta e o chefe fala “ah mas nao vai acontecer isso nao”. Pessoas so aprendem depois que tomam prejuízo =/
    Abraços

  2. 2 . fevereiro . 2010 às 8:43 AM

    Excelente artigo! Até escrevi sobre ele no meu blog:

    http://rodrigoguedes.wordpress.com/2010/02/02/senhas-seguras/

    Abraço!

  3. 22 . fevereiro . 2010 às 4:36 PM

    Normalmente crio lógica nas minhas senhas pra nao esquecer, e uma delas é a conhecida troca de letras por numeros e os dois ultimos digitos um numero que informa a quantidade de digitos do alfabeto e de onde iniciar.

    EX: Macaco46

    ela ficaria assim:

    M4c4c0fghi onde a letra a foi trocada por 4 e a letra o por 0 e os ultimos digitos são 4 caracteres iniciados na 6. letra.

    AdministrandoRiscos83 ficaria: 4dm1n15tr4nd0r15c05cdefghij

    Obs. Uma boa alternativa é a lógica que reconhece “case sensitive” (entre maiusculas e minúsculas). Onde a senha “redes” teriam várias combinações que não são reconhecidas em algus keyloggers por se pressionar a tecla shift antes de digitar a letra em maiuscula.
    EX: RedEs, rEDes, ReDEs.

  1. 2 . fevereiro . 2010 às 8:43 AM

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

%d blogueiros gostam disto: