Home > Notícias

Microsoft Research descomplica criação de senhas seguras

Nova técnica proposta por pesquisadores usa controle estatístico para barrar senhas populares que poderiam ser adivinhadas

Robinson dos Santos, do IDG Now!

20/07/2010 às 18h17

Foto:

Cansado das restrições impostas à criação de senhas seguras
que desafiam a memória? Uma alternativa mais amigável - e bem mais fácil de
lembrar - tem sido proposta pela Microsoft Research, braço de pesquisas da
fabricante do Windows. O segredo: limitar, estatisticamente, o uso de senhas
populares, para diluir o risco de adivinhação e desestimular cibercriminosos.

A ideia – proposta em artigo assinado pelos pesquisadores Stuart Schechter e
Cormac Herley, da Microsoft Research, e Michael Mitzenmacher, da Universidade
de Harvard – consiste na criação de um software “oráculo”, que seria consultado
a cada momento de criação de senha. Uma senha muito utilizada seria barrada;
por sua vez, uma palavra pouco utilizada, mesmo que fácil de lembrar, seria
permitida.

No estudo, que será apresentado na conferência Hot Topics in
Security 2010
, em Washington DC, em 10 de agosto, os pesquisadores lembram que as
senhas geradas por usuários são vítimas comuns de ataques de adivinhação
estatística – um método pelo qual o cibercriminoso testa senhas tendo como base
um dicionário de palavras, classificadas por popularidade.

Normalmente, um site tenta se defender de ataques baseados em adivinhação de dois modos: 1)
limitar o número de adivinhações que se pode fazer e 2) reduzir a fração de
contas que usam as senhas mais populares. Este último caso tem sido reforçado
pela aplicação de regras para criação de senhas – as mais comuns exigem a
combinação de letras e números, tamanho mínimo e uso de caracteres especiais,
como "Ne$1o7".

++++

Tais critérios são utilizados para definir se uma senha é
fraca ou forte, mas os pesquisadores questionam esses modelos. “A maioria dos
medidores de força (de senha) identificará uma sequência de caracteres de 32
letras minúsculas quaisquer como uma senha fraca, enquanto o Windows Live ID
dirá que ‘@Aaaaaa’ é uma senha forte e o Yahoo dirá que ‘P@ssword’ é uma senha
forte”, ressalta o estudo.

Dados probabilísticos
Como alternativa, eles propõem a adoção de uma “estrutura de
dados probabilísticos” que seria utilizada para rastrear a popularidade de uma
senha qualquer. Senhas cuja popularidade tenha atingido certo nível passariam a
ser negadas, e o usuário teria que encontrar outra palavra, igualmente fácil de
decorar, como senha.

Para os pesquisadores, uma senha perigosamente popular é aquela cuja frequência
de uso exceda certo limite – digamos, tenha sido usada uma vez a cada milhão de
usuários. Se esse limite tiver sido implantado com sucesso, um eventual invasor
que quisesse testar uma senha supostamente popular – por exemplo, ‘123456’ - poderia
comprometer no máximo um milionésimo dos usuários.

“A substituição de regras de criação de senha por um sistema
baseado em limites de popularidade pode aumentar potencialmente tanto a
segurança como a usabilidade”, sustentam os pesquisadores, no artigo. “Nossa
proposta tem um precedente. O Twitter, em resposta a um ataque de adivinhação
de senha
que explorou sua falha em bloquear invasores, agora proíbe 390 das
senhas mais comuns. Parece que o Twitter decidiu que essa medida causaria menos
inconveniência para os usuários do que a introdução de políticas complicadas de
criação de senha.”

Os autores da pesquisa lembram, contudo, que o controle
estatístico de senhas se aplica melhor a bases de senhas de grande escala, como
é o caso de serviços de Internet como o Twitter ou o Facebook. 

Tags

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter por e-mail Newsletter por e-mail