Quer senhas mais fortes? Experimente erros gramaticais

Quer uma senha mais forte? Use substantivos e adjetivos e evite verbos e pronomes. Esta descoberta veio de uma pesquisa escrita por Ashwini Rao, estudante de doutorado na Carnegie Mellon University, e mais dois colegas, intitulada “Effect of Grammar on Security of Long Passwords” (Efeitos da gramática na segurança de senhas longas). Rao apresentará a pesquisa na Conference on Data and Application Security and Privacy (Codaspy 2013) da Association for Computing Machinery, que ocorrerá no mês que vem, nos Estados Unidos.

“O uso de senha em forma de uma sentença ou frase como ‘umasenhamaioremelhor’ e ‘acomunidadedasfadas’ está aumentando”,  disseram. Mas poderia alguns desses tipos de sequências de palavras serem menos seguros do que outros?

Para descobrir, eles construíram um decodificador de sequências de palavras que tinham conhecimento de gramática e o pré-carregaram com um dicionário para fala, bem como com um algoritmo para reconhecimento  que são tipicamente usados para gerar  sequência de palavras, como “substantivo-verbo-adjetivo-advérbio”.

Sequências de palavras são muitas vezes técnicas recomendadas para criar senhas complexas. Em vez de criar senhas como “ovelha”, por exemplo, especialistas indicam alternativas “lobos8ovelhas@dormir”. Resumindo, sequências podem adicionar complexidade – o que dificulta o trabalho de um invasor – apesar de ainda serem fáceis de lembrar.

Mas como é sempre o caso com senhas, alguns tipos de sequências de palavras são melhores do que as outras. Os pesquisadores testaram seu software conceito com 1.434 palavras, cada um contendo 16 ou mais caracteres e descobriram que ao levar a gramática em consideração, conseguiram quebrar três vezes mais senhas do que as ferramentas atuais.  Além disso, a ferramenta delas quebrou 10% dos conjuntos de senhas.

Resultado de sua descoberta: a força de senhas longas não aumenta uniformemente com o comprimento.

Com base em suas pesquisas, a boa gramática vem com o custo da segurança, porque algumas estruturas gramaticais são mais escassas do que outras, o que torna a sequência de palavras mais fácil de quebrar. Em termos de escassez, os pesquisadores notaram que existem menos pronomes do que verbos, menos verbos do que adjetivos e, ainda, menos adjetivos do que substantivos.

Resultado: enfatize substantivos e adjetivos em sequências de palavras. Por exemplo, os pesquisadores descobriram que sequências com cinco palavras “Th3r3 can only b3#1!” (Só pode ter um número 1) é mais fácil de quebrar do que frases com três palavras “Hammered asinine requirements” (Exigências impostas por Asno). Enquanto isso, descobriram que frases como “My passow0rd is $uper Str0ng!” (Minha senha é superforte!) é cem vezes mais forte do que “Superman is $uper str0ng!” (Super-homem é superforte), e ainda essa frase é 10.000 mais forte do que “Th3r3 can only b3 #1!”.

Os pesquisadores disseram que suas descobertas podem ser aplicadas para ajudar usuários a selecionar senhas mais seguras. Também afirmaram que a pesquisa pode ser aplicada não apenas à sequências de palavras, mas também para outros tipos de estruturas como um endereço postal, de e-mail e URLs presentes dentro de senhas longas: ou talvez até mesmo conjuntos codificados de dados.

“Já vi políticas de senhas que dizem: ‘Usem cinco palavras’”, afirmou a autora do relatório. “Bem, se quatro dessas palavras são pronomes, elas não adicionam muito à segurança”.

Para manter essas recomendações em perspectiva, senhas complexas não imunizam as senhas contra todo o tipo de ataque: especialmente se elas são armazenadas de forma insegura.

Mas nos casos onde um invasor obter os passes armazenados que sofreram hash ou foram criptografados, quanto mais complexa fora a escolha,mais tempo levará para um invasor conseguir decodificá-la, isso se for possível. Qualquer atraso pode levar os proprietários de sites a visualizar a brecha, avisar os consumidores e imediatamente tirar do uso todas as senhas.

Tradução: Alba Milena, especial para o IT Web | Revisão: Adriele Marchesini

via Quer senhas mais fortes? Experimente erros gramaticais

Sou bacharel em Sistemas de Informação pela Estácio de Sá (Alagoas), especialista em Gestão Estratégica da Tecnologia da Informação pela Univ. Gama Filho (UGF) e pós-graduando em Gestão da Segurança da Informação pela Univ. do Sul de Santa Catarina (UNISUL). Certificações que possuo: EC-Council CEH, CompTIA (Security+, CySA+ e Pentest+), EXIN (EHF e ISO 27001), MCSO, MCRM, ITIL v3. Tenho interesse por todas as áreas da informática, mas em especial em Gestão e Governança de TI, Segurança da Informação e Ethical Hacking.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *