Home > Notícias

Excesso de contas na web é principal risco à segurança do usuário

Rotinas inseguras de verificação comprometem segurança, diz estudo; hábito de usar mesma senha em vários sites agrava o problema.

IDG News Service/EUA

07/06/2010 às 20h06

Foto:

Dois pesquisadores da Universidade de Cambridge, na Inglaterra, fizeram importantes descobertas ao analisar mais de uma centena de sites que armazenam senhas de usuários. O resultado do estudo mostra que esses usuários estão com a segurança dos dados pessoais postos em xeque por padrões de verificação de senhas pouco robustos.

Mais especificamente, as rotinas de verificação de senhas de baixa segurança representam o maior perigo para usuários, acostumados a usar  mesma senha em servidores de segurança aprimorada, afirmam Joseph Bonneau e Soren Preibusch. A descoberta foi apresentada durante o Workshop on the Economics of Information Society (evento sobre a economia do setor de TI), em Cambridge, Massachusetts (EUA), na segunda-feira (7/6).

Segundo Bonneau, criminosos virtuais aproveitam a baixa segurança de alguns sites para desvendar as senhas ligadas a determinados endereços de email, e garantir acesso a sites importantes, como os de comércio eletrônico, por exemplo.

150 sites
Em uma operação que representa a maior pesquisa prática sobre implantação de senhas já realizado, 150 sites foram examinados e revelam a prática de opções questionáveis, inconsistências e de inegáveis brechas nos sistemas de segurança.

No lugar de culpar os usuários por escolherem senhas fáceis de quebrar, os pesquisadores afirmam que a maioria das pessoas têm contas demais na web para exercer controle efetivo e definir um código de acesso para cada servidor.

++++

A decisão dos sites em armazenar as senhas dos usuários pode ser interpretada como uma tragédia resultante da competição entre diversas páginas na conquista por mais contas ativas, minando a capacidade dos internautas em lembrar da combinação de caracteres que lhes garante acesso aos serviços dos sites.

Mais de 75% das páginas apresentaram falhas em princípios básicos, como instruir o usuário sobre a criação de senhas de segurança robustas. Entre os sites analisados, apenas cinco oferecem aos internautas a opção de escolher dicas que os lembrem de senhas de acesso exclusivas.

Outra minoria, composta por sete serviços, exigiu dos donos das contas a criação os códigos de acesso com letras e números. E apenas duas páginas exigiram a inclusão de caracteres especiais nas senhas.

Formato texto
Um quesito importante na verificação de senhas é o processo de seu envio para os servidores. De todas as rotinas de autenticação analisadas, apenas três transmitiam as informações de maneira a impedir que fossem capturadas em formato de texto no momento do login.

Essa segurança, porém, foi verificada apenas no processo de login; no ato de registro e definição de novas contas, as senhas eram transmitidas em formato texto puro em dois casos.

++++

Outra medida pouco eficiente na proteção dos dados de usuários é possibilitar a tentativa de logins repetidos, aceitando que a senha seja testada ilimitadamente. No total, 126 servidores permitiam essa modalidade de brute force (segundo qual combinações randômicas são informadas).

Para chegar a esses números, os pesquisadores usaram um script que tentou realizar o login por cem vezes, sempre informando senhas erradas. Após essa centena de tentativas, o usuário ainda conseguia conectar-se informando o código correto, o que evidencia pouca importância no quesito proteção de dados de usuários, dispensada por esses sítios.

Práticas ignoradas
“Práticas largamente reconhecidas para proteção de senhas de acesso são simplesmente ignoradas”, afirma a dupla de estudiosos.

Uma medida amplamente conhecida de autenticação em cada estágio do processo de verificação de senha, chamada TSL (Transport Layer Security, ou, segurança nas camadas de transporte – em tradução livre) era dispensada em mais da metade dos sites averiguados.

Houve casos em que o TSL era utilizado no ato de registro de novas contas, mas não nos momentos de login posteriores.

++++

No que Bonneau define como “a pior prática possível”, os sites enviavam aos usuários as senhas em formato texto puro. Esse foi o caso de 29%. Outros 83% permitiam tentativas de login ilimitados, em que são informados nomes de usuários até um ser aceito.

Piores esquemas
As páginas com os piores esquemas de segurança foram aquelas que não armazenavam qualquer informação confidencial dos internautas, como foi o caso de páginas de notícias. Servidores de comércio eletrônico, que mantinham números de cartão de crédito, ofereciam rotinas mais robustas de autenticação.

Depois de ver as informações apresentadas pelos pesquisadores, é natural que se pergunte o que motiva diversas páginas a investir de maneira tão displicente na manutenção de dados de contas. Ocorre que não raramente o objetivo dessas páginas é de formar grandes bases de dados de usuários e e-mails com as mais diversas finalidades e propósitos.

Sim, existem soluções ao alcance de todos os administradores de sites para tornar o processo de verificação de senhas algo mais seguro, como é o caso do uso das OpenID. No entanto, Bonneau e Preibusch são pessimistas em relação à adoção dessas tecnologias, já que isso significaria reduzir as chances de coletar informações sobre os usuários.

Tags

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter por e-mail Newsletter por e-mail