Há uma tendência entre as pessoas onde a gente tende a achar que se algo é bom, mais daquele algo é melhor ainda, mas da mesma forma que sorvete demais enjoa e Snu-Snu mata, até mesmo segurança demais se torna um incômodo que tende a ser contornado, como já vi inúmeras vezes.
Muito tempo atrás comecei a trabalhar em um lugar com altas seguranças, no primeiro mês eu tinha que chamar no interfone para abrirem a porta, pois eu não tinha direito à senha. Um belo dia estava esperando alguém vir abrir a maldita porta, quando sai do elevador o entregador da padaria que ficava no térreo. Ele foi até o tecladinho, digitou a senha 1212 e bingo, a porta abriu.
Eu, contratador, Analista Senior, CLT e o escambau não tinha acesso, o sujeito que entregava suco e coxinha, tinha. As secretárias tinham dado a senha pra ele, a justificativa era que toda hora ele estava entregando alguma coisa e era “mais fácil assim”.
Políticas de segurança restritas demais sempre acabam em casos assim, mas vá explicar pros administradores.
Claro, nada de errado definir regras mínimas, pra ninguém usar “12345” como senha, e todo bom sistema deve proibir senhas óbvias e curtas, mas o sistema mais simples e eficiente é simplesmente definir um comprimento razoável de caracteres e deixar o usuário escolher a senha mais confortável para ele se lembrar.
Uma sequência simples como “00000000000000000” levaria 10 meses para ser descoberta por força bruta. Adicionando um caracter temos 19 zeros e o tempo passa para 7 anos. E isso só com números. Uma senha como “000000000000000000A” levaria 294 bilhões de anos para ser encontrada.
O motivo é bem simples: O invasor não sabe quantos caracteres tem a senha, ou se ela é numérica, alfanumérica ou ainda com símbolos. “00000000000000000/A” levaria 924 trilhões de anos para ser encontrada. Minha senha principal? 465 decilhões de anos.
Então como tanta gente é hackeada?
Simples, pequeno gafanhoto: As pessoas escolhem senhas simples ou óbvias, nomes de filhos, animais de estimação, “vendramini”, coisas assim. Esses hábitos ruins são exacerbados pelas políticas de segurança igualmente ruins, que forçam mudanças de senha e limitam seu escopo, o que é MUITO ruim.
Vários sistemas colocam um monte de restrições, tipo:
- A senha precisa ter entre 6 e 12 caracteres
- A senha precisa ter um caracter em maiúscula
- A senha precisa ter pelo menos um numeral
- A senha não pode ser nenhuma usada antes
- A senha não pode ser uma palavra válida
Na cabeça dos administradores eles estão reforçando a senha, mas para quem vai tentar uma invasão por força bruta, estão é dando uma receita de bolo, restringindo os parâmetros e facilitando enormemente a vida do cracker.
De todas as ameaças à segurança, a maior talvez seja… o Post-It.
Sim, durante uma entrevista no Centro de Emergências no Hawaii um computador ao fundo tinha um Post-It com uma senha anotada. A culpa disso não é dos usuários, mas de quem exige senhas obscuras ou novas toda hora.
Agora, FINALMENTE estão começando a mudar essas políticas. Depois de décadas a Microsoft parou de recomendar a mudança periódica de senhas. Eles perceberam que não faz sentido. Se a senha atende aos requisitos mínimos de comprimento e complexidade, se “klaatubaradanikto123” levaria 11 trilhões de anos pra ser fatorada, não faz a MENOR diferença se a senha está ativa por mais de 3 meses.
CASO a senha seja roubada, faz diferença se o invasor tem acesso por 3 meses ou 15 dias? Um dia basta para causar todo dano possível.
A decisão da Microsoft agora tem que ser assimilada pelos administradores de sistemas, que com sorte entenderão que nesse caso menos políticas de segurança significa melhor segurança.
Source link