você está aqui: Home  → Arquivo de Mensagens

Qual password é mais segura?

Colaboração: Rubens Queiroz de Almeida

Data de Publicação: 14 de junho de 2012

No site da empresa Gibson Research, podemos encontrar um texto muito interessante sobre segurança de senhas.

Decida, qual das duas senhas abaixo é mais segura?

  D0g.....................

ou

  PrXyc.N(n4k77#L!eVdAfp9

Intuitivamente, certamente escolhemos a segunda. Mas sentimos no ar o cheiro de uma pegadinha, e realmente é uma pegadinha. Segundo o site, a primeira senha é muito mais segura.

Traduzindo livremente o que está no site:

Apesar do fato de que a primeira senha é muito mais fácil de usar e de lembrar, ela é também a mais forte das duas! De fato, como ela possui um caractere a mais do que a segunda, possui caracteres em caixa alta e baixa, um número e caracteres especiais, esta senha iria demandar de um atacante 95 vezes mais tempo para ser quebrada do que a segunda senha que é impossível de ser lembrada.

ENTROPIA: Se você possui facilidade para matemática, ou se possui algum conhecimento e treinamento em segurança, você pode ter conhecimento da idéia de entropia, ou aleatoriedade e imprevisibilidade de dados. Se for o caso, você terá notado que a primeira senha é mais forte mas possui muito menos entropia do que a segunda senha (mais fraca). Virtualmente todo mundo sempre acreditou ou ouviu dizer que senhas derivam sua força do fato de possuirem entropia alta. Mas como podemos ver agora, quando a única alternativa possível de ataque é a adivinhação, esta crença antiga .... não ... é ... correta.

Mas algo como "D0g" não estaria em um dicionário, mesmo que o "o" seja um zero?

Certamente, estaria. Mas isto não importa, porque o atacante está totalmente cego à forma como a sua senha se parece. A velha expressão Perto só tem sentido no caso de ferradura de cavalos e granadas de mão. A única coisa que um atacante pode saber é se a senha é um casamento exato . . . ou não. O atacante não sabe qual o tamanho da senha, ou qualquer coisa acerca de sua provável aparencia. Então, depois de exaurir todas as listas possíveis de adivinhação de senhas, bancos de dados e dicionários, o atacante não tem nenhuma outra opção a não ser desistir e seguir em frente para outra pessoa, ou então começar a adivinhar todas as senhas possíveis.

E aqui está a principal sacada desta página, Acolchoamento de Senha:

Uma vez que uma busca exaustiva por senhas começe,
o fator mais importante é o tamanho da senha!

  • A senha não precisa ter um comprimento complexo, porque um comprimentno simples é tão desconhecido para o atacante e precisa ser pesquisado da mesma forma.
  • "Comprimento simples"", que é facilmente criado acolchoando uma senha de fácil memorização com um acolchoamento também fácil de lembrar, cria senhas inquebráveis que são ao mesmo tempo fáceis de usar.
  • E observe que um acolchoamento simples também vence todas as consultas de dicionário, pois mesmo senhas "fracas", uma vez que estejam acolchoadas com caracteres adicionais de qualquer tipo, não irão bater com tentativas de adivinhação baseadas apenas em uma palavra.

Nesta mesma página encontram-se diversas outras informações interessantes sobre como calcular o tempo que uma senha levaria para ser adivinhada e vários outros pontos interessantes.

Esta dica foi uma recomendação do Fábio Mengue, a quem agradeço pela indicação.



 

 

Veja a relação completa dos artigos de Rubens Queiroz de Almeida

Opinião dos Leitores

Arion
20 Jun 2012, 14:42
Não tenha dúvida que alguém que veja, mesmo que de longe, você digitando a primeira senha, saberá que você pressionou algumas teclas e depois pressionou umas 20 vezes a mesma tecla.

Quando essa pessoa for tentar quebrar a sua senha, vai lembrar disso, criando uma regra do tipo "4 caracteres aleatórios, repetindo o último deles de 1 a 20 vezes".

É claro que uma tentativa por força bruta não teria conhecimento disso, então, realmente, nesse caso a primeira senha seria mais forte. Devemos lembrar, porém, que a engenharia social é uma ameaça muito importante quando o assunto é segurança da informação.

Ambas as senhas são inviáveis de serem quebradas, devido ao tamanho. Por isso, fico com a segunda senha.
Wilton Araújo Câmara
14 Jun 2012, 23:41
Eu acho que a primeira senha fica vulnerável para o pessoal de engenharia social...!
Se eu entendi bem, o que vocês estão chamando de acolchoamento de senha é a substituição de letras por caracteres especiais, maiúsculo e minúsculo...É isto?
Eu normalmente escolho um frase de um livro que eu gosto, por exemplo: A Bíblia. Memorizo e depois substituo as letras e outros...!

Wilton
F.O.
14 Jun 2012, 17:56
Depende do ponto de vista. Se você ver alguém digitar uma única vez a senha D0g..................... conseguirá quebrar a senha apenas testando algumas vezes para saber a quantidade de pontos a ser inserido. Já a outra senha, nem se você digitar lentamente, a pessoa pegará (ao menos que ela tenha memória dinâmica e você digitar muito lentamente). O que acho interessante é criar senhas com comprimento razoável com acolchoamento e uma senha de fácil memorização com um acolchoamento também fácil de lembrar. Tipo Eu*g04tO.d3.mu13Pr4.C4r4l3O# kkkkkkkkkkkkk
Loyola
14 Jun 2012, 17:15
O problema desse tipo de senha é que fica fácil visualizar o que foi digitado, já que os dedos se movimentam pouco no teclado.
*Nome:
Email:
Me notifique sobre novos comentários nessa página
Oculte meu email
*Texto:
 
  Para publicar seu comentário, digite o código contido na imagem acima
 


Powered by Scriptsmill Comments Script