Troca frequente de senha não melhora a segurança, diz especialista

Logo que se tornou chefe de tecnologia do Federal Trade Commission (FTC), uma agência reguladora do governo dos Estados Unidos equivalente à Anatel brasileira, a professora de ciência da computação Lorrie Cranor se incomodou com uma dica dada pela instituição no Twitter: de que as pessoas deviam trocar suas senhas periodicamente.
Senha de segurança Essa orientação, frequentemente repetida em manuais de segurança e muitas vezes adotada por sistemas de empresas que obrigam trocas a cada 30 ou 60 dias, não ajuda a aumentar a segurança e pode até contribuir para práticas inseguras. Foi isso que Cranor afirmou em uma palestra na conferência de segurança BSides, em Las Vegas, nos Estados Unidos, segundo o site de tecnologia “Ars Technica”.

 

Cranor se sentiu incomodada com essa orientação, já que ela mesma tinha seis senhas que precisavam ser modificadas a cada 60 dias.

 

Ela levou sua crítica dentro do FTC até os diretores de segurança e tecnologia da informação da agência, que solicitaram pesquisas comprovando que a troca de senhas não trazia benefícios.

 

Entre os estudos que demonstram a ineficácia da troca de senhas está um levantamento da Universidade da Carolina de Norte feito em 2010. Uma análise de 10 mil senhas dos funcionários da instituição mostrou que as pessoas não usam senhas diferentes, mas sim “transformam” senhas anteriores com pequenas mudanças, como “dança#7” por “dança#78” ou alterando as letras maiúsculas como em “dAnça#7” e, na próxima troca, “daNça#7”.

 

A ideia por trás das modificações periódicas da senha é bloquear um invasor que, de algum modo, obteve a senha. Após a troca, ele ficaria sem o acesso. Porém, essas transformações aplicadas pelos usuários não são suficientes para impedir que um invasor adivinhe a senha nova, visto que ele já tinha a senha antiga.

 

Diante disso, as alterações de senhas acabam não conseguindo interromper um ataque em andamento.

 

Cranor conseguiu convencer alguns dos diretores e, das seis senhas que ela tem, duas já não precisam mais de alteração periódica.

 

Novos ataques e autenticação de dois fatores
O Instituto Nacional de Padrões e Tecnologia dos Estados Unidos, órgão semelhante à Associação Brasileira de Normas Técnicas (ABNT), já havia alertado sobre a ineficácia das trocas de senha em um documento de 2009 intitulado “Guia de Gestão Corporativa de Senhas”.

 

Segundo o documento, a troca da senha é ineficaz “quando o atacante pode comprometer a nova senha com o mesmo método usado para comprometer a antiga (como um ladrão de senhas presente no computador de usuário) ou quando um atacante tem um meio de manter o acesso ao alvo sem a senha, como pela instalação de um ‘backdoor’ [programa de controle remoto] no alvo. A expiração de senhas também é frequentemente uma fonte de frustração para os usuários, que precisam criar e lembrar de novas senhas a cada um ou dois meses para dezenas de contas”, afirmou o órgão.

 

No mesmo documento, o órgão também menciona que não há mais tanto sentido em se preocupar apenas com a força das senhas, porque invasores conseguem obter senhas com vírus ou ataques de “phishing”. Esses ataques funcionam independentemente da complexidade da senha criada pelo usuário.

 

Esse cenário levou à adoção da chamada “autenticação de dois fatores” que, em muitos serviços, pode funcionar por meio de SMS.

 

Porém, um novo documento do NIST, ainda em discussão aberta, já decreta o “fim” do SMS para o uso em sistemas de segurança. Se a versão final do documento mantiver essa recomendação, serviços que usam SMS para verificar usuários – o que inclui diversos serviços da web como Facebook, Google e WhatsApp – teriam uma recomendação oficial do governo para mudarem suas práticas.

 

Embora esses serviços já utilizem autenticação por geração de senha no celular (e não SMS), em alguns casos ainda é possível recuperar uma conta com perdida por SMS. Se os serviços seguirem a orientação do NIST, deve começar uma busca ou recomendação de novos métodos para autenticação e recuperação de contas.

 

 

15 Comments

  1. I simply want to mention I’m very new to blogging and definitely liked you’re web blog. Likely I’m planning to bookmark your blog post . You certainly come with incredible articles. Appreciate it for sharing your web site.

  2. Sorry for the huge review, but I’m really loving the new Zune, and hope this, as well as the excellent reviews some other people have written, will help you decide if it’s the right choice for you.

  3. We’re a group of volunteers and starting a new scheme in our community. Your web site offered us with valuable information to work on. You’ve done a formidable job and our entire community will be grateful to you.

  4. Of course, what a great blog and illuminating posts, I will bookmark your website.Best Regards!

  5. I¡¦ve been exploring for a bit for any high-quality articles or weblog posts on this kind of house . Exploring in Yahoo I at last stumbled upon this site. Reading this info So i¡¦m glad to show that I’ve a very good uncanny feeling I came upon just what I needed. I such a lot without a doubt will make sure to do not put out of your mind this site and give it a glance regularly.

  6. Hi there, just became aware of your blog through Google, and found that it’s really informative. I’m gonna watch out for brussels. I’ll appreciate if you continue this in future. A lot of people will be benefited from your writing. Cheers!

  7. There is clearly a lot to identify about this. I think you made certain nice points in features also.

  8. you are actually a good webmaster. The site loading speed is incredible. It kind of feels that you are doing any unique trick. In addition, The contents are masterwork. you’ve done a wonderful process on this topic!

  9. Hi, Neat post. There is a problem along with your site in web explorer, might test this¡K IE nonetheless is the market leader and a good component to people will pass over your magnificent writing because of this problem.

  10. Hey There. I found your blog using msn. This is an extremely well written article. I’ll make sure to bookmark it and come back to read more of your useful information. Thanks for the post. I’ll definitely return.

  11. Wonderful beat ! I would like to apprentice while you amend your website, how can i subscribe for a blog website? The account helped me a acceptable deal. I had been tiny bit acquainted of this your broadcast offered bright clear concept

  12. I’ll right away take hold of your rss as I can not in finding your email subscription hyperlink or e-newsletter service. Do you’ve any? Kindly allow me understand in order that I may just subscribe. Thanks.

  13. It is in point of fact a nice and helpful piece of information. I’m glad that you shared this useful information with us. Please keep us up to date like this. Thanks for sharing.

Submit a Comment

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *