Freqüentemente os sites - e não só os sites - nos pedem para criar senhas complexas, com números, letras e caracteres diversos para que tenhamos uma maior segurança. Onde está a usabilidade? Quem é que consegue decorar senhas todas malucas e sem nexo algum? E se eu te disser que uma senha maluca pode ser menos confiável do que uma senha: “doce de goiaba”?
MANEIRAS DE DESCOBRIR SENHAS
Um cracker pode usar de diversas maneiras para descobrir sua senha, dentre elas:
Perguntando: Pessoas são más, elas sabem ser persuasivas. Não espere que alguém te pergunte diretamente: Hey, qual a sua senha? Mas com certeza alguém já deve ter descoberto(ou tentado descobrir) sua senha de formas mais inteligentes. Ter uma senha do tipo “ag7zs3″ não vai adiantar ou vai adiantar tanto quanto “doce de goiaba”.
Adivinhando: É né? Danadinho(hahah). Lembrou do tempo em que você brincava de crackerzinho com a galera da escola, eu sei, todo mundo já tentou adivinhar senhas, no começo é divertido inclusive. Funcionou? Bom alguns aqui diriam que sim, outros diriam que não. O importante é frisar que, se você gosta de futebol, talvez a senha futebol ou jogo de futebol não funcione tão bem quanto a senha dedo no nariz(ou qualquer outra que não tenha relação nenhuma com você, espero que esse exemplo não tenha).
“Ataque de força bruta”(mais conhecido como brute force): O negócio aqui é tentar, tentar e tentar diversas combinações de caracteres diferentes. Pode ser manualmente ou “automagicamente”(via software) até o programa - ou o cracker - adivinhar a senha. A única forma de se proteger do brute force é criando uma senha complexa(complexa para o programa não significa complexa para você).
“Ataque de palavras comuns”: Neste ataque ao invés de tentar várias combinações de letras, números e etc o cracker tenta adivinhar sua senha utilizando palavras e frases que possuem alguma relação com você.
“Ataque do dicionário”: O “Ataque do dicionário” funciona igual ao brute force mas usa, adivinhe só, palavras do dicionário ao invés de combinações de letras sem sentido.
COMO FAÇO UMA SENHA SEGURA E COM BOA USABILIDADE?
A senha do nosso exemplo lá em cima, a ag7zs3, demoraria através do método de brute force, oito meses para ser descoberta. Achou muito? Acha que está seguro?
A frase this is fun em uma simulação demorou 2,537 anos para ser descoberta, no método: “Ataque de palavras comuns”. Doce de goiaba se enquadra na mesma categoria, da “senha com 3 palavras comuns” porém tem mais caracteres do que a frase this is fun, ou seja, é ainda mais segura!
E palavras incomuns que são fáceis de lembrar, tem segurança?
Veja você mesmo:
Fluffy is puffy em uma simulação no método “Ataque do dicionário” demorou 39,637,200 anos para ser desvendada!
du-bi-du-bi-dub em uma simulação no método brute force demorou 531,855,448,467 anos!
Senhas podem ser seguras e ter boa usabilidade, basta usar a imaginação.
Comente! Não basta ler o blog, tem que participar!
–
Referência: The Usability of Passwords
Complemento: Novas Aventuras da Autenticação
Eu ainda uso senhas com palavras que vêm de dicionários, porém, ainda misturo com números. No fim das contas, ainda tenho que viver com eles: sou neurótico. Mas a verdade é que combinações de palavras, ainda mais se não tiverem relação umas com as outras, podem ter como resultado senhas dificeis ou mesmo impossíveis de serem detectadas.
Ótimo artigo!
ok, você não me surpreendeu.
Eu já pensava mais ou menos assim, apesar de não ter os dados exatos.
Nunca usei combinações de números e caracteres idiotas e sem sentido, mesmo porque TENHO CERTEZA que esqueceria.
o pior são os cadastros que lhe obrigam a digitar um caractere numérico para assegurar a sua segurança (?)
às vezes o cara até lembra da senha escrita mas esquece o maldito do número que ele botou lá só porque o webmaster quis :\
você que prima tanto pela usabilidade; um post útil, de fato. (y)
Jonas , Achei super interessante esse post , muitos “webmaxers” (que se axam designers e programadores web) tem a mania besta de fazer um sistema de validação de senha ultra complexo com digitos numericos + letras + caracteres especiais , uma vez um amigo meu que trabalha na area de segurança de uma empresa de hospedagem me disse que em média 10 pessoas por dia enviam email de suporte pois esqueceram a sua senha , pois além de ser algo do tipo acima , ela é gerada automaticamente e impossibilitam que o usuário altere a senha , é interessante sim o usuário colocar senhas que te lembre algo, mas com muito cuidado , pois o q te lembre algo , pode ser que alguem descubra de convivência com você , procure usar iniciais de cada palavra ou pedaços de palavras assim não deixando 100% aberta a sua senha e dando mais possibilidades
espero que meu comentário nao tenha sido inútil , mas como trabalho nessa parte de segurança não podia ficar sem comentar
Abraços !
Pra que tentar quebrar senha? pra que colocar senhas complexas?
Já ouviram falar de Keylogger?
Podem perde tempo tentando colocar uma Super senha q só quebra com 2mil anos ehhehehe com menos de 5 mim um hacker descobre a sua senha usando aum spyware
o q eu quero dizer e que não existe segurança… e melhor vc não ter um PC se vc q segurança…
Sim Ítalo, mas nós não queremos segurança aqui no blog, queremos usabilidade!
O assunto do post foi como fazer senhas fáceis de lembrar e ainda assim com a mesma - ou até mais - segurança do que aquelas senhas recomendadas pelos sites por ai, cheia de caracteres estranhos, números, letras, etc e tal.
Marcus,
Da forma como você falou é a que muitas pessoas fazem, mas também não funciona, a senha fica parecia com aquele meu exemplo: ‘ag7zs3′ (aqui poderia ser ‘a’ de Alberto, ‘g’ de Gustavo(nome dos filhos do proprietário da senha), o ‘7′ seria a idade do filho mais velho, etc e tal).
As pessoas se esquecem também quando fazem assim e a segurança e usabilidade não fica tão boa como as senhas: “this is fun”.
Uma senha como “ag7zs3″ é menos segura porque a pessoa anota em um papel ou num arquivo do computador.
Meus parabéns.. pela matéria das senhas…
Muito interessante