outubro 31, 2014

[Segurança] O que está errado com nossas $enh4s ?

A Lorrie Faith Cranor, pesquisadora de segurança da Carnegie Mellon University, apresentou uma palestra em Março deste ano no TEDx sobre segurança das senhas. Chamada de "What’s wrong with your pa$$w0rd?", ela analisou 5000 senhas criadas por voluntários na Internet e avaliou como as senhas eram formadas baseado em algumas políticas de segurança pré-determinadas (por exemplo, senhas de 8 caracteres, senhas longas de no mínimo 16 caracteres ou senhas "fortes"com caracteres especiais, maiúsculas e minúsculas).

Em sua pesquisa, ela achou alguns padrões comportamentais, como o fato da maioria das pessoas usam apenas alguns caracteres espaciais na senha. Em ordem de preferência estão o @, $ e !

Afinal, o que devemos fazer quando temos contas em centenas de sistemas, e temos que ter uma senha diferente para cada sistema? Como criar senhas fáceis de lembrar e digitar?

A conclusão da Lorrie é que as pessoas se sentem mais confortáveis criando senhas longas (ex: iamaveryhappybaby) do que senhas complexas (ex: MadBby!1), e as senhas longas são mais facilmente usáveis e costumam ser mais seguras (difíceis de serem adivinhadas).

Para avaliar a melhor forma de criar uma senha ao mesmo tempo fácil e segura, ela em seguida analisou a teoria de uma tirinha clássica do Xkcd sobre tamanho das senhas, que defende a teoria de que uma senha formada por várias palavras randômicas seria muito difícil de ser descoberta.



Comparando senhas longas formadas por várias palavras com senhas curtas com caracteres especiais e senhas formadas por palavras pronunciáveis (várias letras unidas de forma a formar uma palavra que não existe mais pode ser proununciada e memorisada, como "vadasabi") a Lorrie concluiu que as senhas longas são mais difíceis de lembrar e são mais suscetíveis a erros de digitação do que as senhas com palavras pronunciáveis - para decepção dos fãs do Xkcd :(

Ou seja, devemos evitar palavras conhecidas em nossas senha se usar senhas o mais longo possível desde que sejam fáceis de lembrar e digitar.

Nenhum comentário:

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.