Como quebrar senhas fracas

Diferentemente do que os caros leitores poderiam imaginar, este texto não vai tratar sobre como utilizar ferramentas sofisticadas para quebrar senhas em sistemas, portais, lojas online ou caixas eletrônicos, como foi demonstrado na conferência Black Hat deste ano.

Não. Este texto vai tratar, inspirado pela indicação do BR-Linux de um artigo simplesmente es-pe-ta-cu-lar sobre segurança, de algo até meio óbvio, mas que precisa ser dito e repetido até que as pessoas entendam, se conscientizem e adotem comportamentos mais seguros. Ou não. Mas precisamos fazer a nossa parte.

O referido texto faz uma das abordagens mais inteligentes que já vi sobre o processo de quebra de senhas de usuários. Ele mostra, numa linguagem simples e clara, de forma que os usuários possam entender, como o fato de utilizar a mesma senha em vários sites, serviços e sistemas, facilita enormemente o comprometimento da sua segurança.

E, mais importante, não apenas aponta o problema, mas a solução, indicando ferramentas e sites com informações sobre segurança como avaliação da complexidade de senhas, além de trazer dicas sobre como criar senhas seguras, distintas por serviço, mas fáceis de lembrar.

O mais incrível é que, diferentemente do que imaginamos, não são somente os "usuários leigos" que têm comportamentos inadequados em termos de utilização de senhas. Nos surpreendemos com a quantidade de pessoas "esclarecidas" que utilizam a mesma senha para serviços críticos, como bancos.

E por que isto ocorre ? Na minha opinião, porque a segurança tem um limite, que é a praticidade (não confundir com comodidade). Não há mecanismo de segurança que resista à necessidade do usuário de praticidade.

Uma senha complexa demais é anotada num papel e colada no monitor, um serviço que exige várias etapas de autenticação acaba caindo em desuso e recursos como tokens e outros apetrechos tecnológicos para aumentar a segurança são perdidos com frequência e causam insatisfação e desconforto aos usuários.

A equação é difícil de resolver, mas o importante é compreender que a segurança tem que ser adequada às necessidades dos usuários, caso contrário ela vai ser inviabilizada na prática. Neste ponto, a educação e conscientização são fundamentais, para instruir os usuários a adotarem comportamentos mais seguros, mas também, e principalmente, para entender que tipo de uso eles fazem dos serviços e tecnologias da organização e, portanto, que tipo de segurança eles precisam.

Os esforços de educação e conscientização não devem ser de "mão única", mas conduzidos através de diálogos entre a equipe de TI, especialmente de segurança, e os diversos setores da organização, caso contrário não haverá "acordo", e a idéia de segurança imposta será o primeiro passo para o fracasso da política de segurança institucional.

Não deixem de ler o texto completo indicado acima, é uma leitura extremamente interessante e educativa.

Christian Guerreiro

Professor por vocação, blogueiro e servidor público por opção, amante da tecnologia e viciado em informação.


Ensino a distância em Tecnologia da Informação: Virtualização com VMware, Big Data com Hadoop, Certificação ITIL 2011 Foundations e muito mais.


Suporte o Tecnologia que Interessa!

Você acha que as informações compartilhadas aqui são úteis?
Então me ajude a produzir ainda mais e melhores conteúdos!


É muito fácil. Basta divulgar nossos treinamentos pra alguém que conheça!


E se for de Salvador, podemos estruturar um curso presencial para sua empresa!

Eu vou ficar muito grato (e quem fizer os curso também :)!