Microsoft proíbe senhas longas nos serviços online. Por que isso é um problema?

A Microsoft decidiu que você não pode mais usar senhas longas nos serviços online da empresa. Se você é paranoico por segurança e forma sua senha dando cabeçadas no teclado dezenas de vezes, na próxima vez que tentar entrar na sua conta da Microsoft receberá uma mensagem dizendo para digitar somente os primeiros 16 caracteres. E isso pode esconder um grande problema.

A limitação dos 16 caracteres começou quando a Microsoft lançou o Outlook.com, no final de julho. Mas usuários mais antigos podiam usar senhas maiores. Quem tem conta nos serviços concorrentes também pode formar combinações mais longas: são até 32 caracteres no Yahoo e até 200 caracteres no Gmail, segundo a Sophos.

“Ok, e qual o problema?”, você pode estar me perguntando. Afinal, uma senha com 16 caracteres, se bem formada, é suficientemente segura para não ser descoberta após anos de força bruta. Mas o buraco é mais embaixo. A mensagem de erro informa claramente: “Se você usa uma senha com mais de 16 caracteres, insira os primeiros 16 caracteres.”

Isso pode significar duas coisas, segundo a Kaspersky. A primeira é que a Microsoft armazena as senhas dos usuários em texto puro, o que pode causar um estrago enorme se alguém obtiver acesso aos servidores da empresa, afetando mais de 360 milhões de contas. A segunda é que o sistema de login da Microsoft calcula o hash apenas dos 16 primeiros caracteres.

Os dois casos são graves. Armazenar senhas em texto puro é um erro primário; o mais correto seria salvar o hash da senha, tornando a recuperação praticamente impossível se a combinação não estiver em um dicionário de hashes. A segunda opção também é ruim: se o sistema calcula o hash apenas dos 16 primeiros caracteres, isso significa que todos os usuários que utilizavam senhas mais longas, pensando estarem mais seguros, não estavam.

A Microsoft ainda não se pronunciou oficialmente sobre o assunto. O The Next Web acredita que o problema pode não ser tão grave assim: durante todo esse tempo, a Microsoft estaria armazenando sua senha em pelo menos dois formatos (uma curta, com 16 caracteres, e outra completa), tornando possível a implementação do novo sistema de login. Assim esperamos.

Atualização às 17h55 | Um tópico no site da Microsoft explica o que aconteceu. Segundo a empresa, as senhas das contas da Microsoft sempre tiveram esse limite. Ou seja, se você conseguiu se cadastrar com uma senha maior que 16 caracteres, os caracteres seguintes foram automaticamente ignorados e não foram armazenados no banco de dados.

Fonte: TecnoBlog – Paulo Higa

Sou bacharel em Sistemas de Informação pela Estácio de Sá (Alagoas), especialista em Gestão Estratégica da Tecnologia da Informação pela Univ. Gama Filho (UGF) e pós-graduando em Gestão da Segurança da Informação pela Univ. do Sul de Santa Catarina (UNISUL). Certificações que possuo: EC-Council CEH, CompTIA (Security+, CySA+ e Pentest+), EXIN (EHF e ISO 27001), MCSO, MCRM, ITIL v3. Tenho interesse por todas as áreas da informática, mas em especial em Gestão e Governança de TI, Segurança da Informação e Ethical Hacking.

Deixe um comentário

O seu endereço de e-mail não será publicado.