Que tal uma senha que seja uma frase? Novo padrão de segurança!

Que tal uma senha que seja uma frase? Diretrizes revisadas.

Reportagem em áudio aqui: https://vocaroo.com/i/s1r9yMjAW8wq

Matéria escrita aqui: https://www.tudocelular.com/tech/noticias/n97947/criador-regras-de-senha-eu-errei.html


E para os bichos preguiça que não vão escutar o áudio nem ler a matéria:

-Bill Burr, que trabalhou para o governo dos Estados Unidos no ano de 2003, e escreveu o que recomendava o uso de letras maiúsculas e minúsculas, símbolos não-alfabéticos e números nas palavras-passe para que elas fossem mais difíceis de deduzir. "Eu me arrependo de muito do que fiz (...). No fim, as coisas só se tornaram mais complicadas para a maioria das pessoas e a verdade é que eu estava apontando para o suspeito errado."
-Agora a recomendação é que os usuários utilizem senhas em frase, sem a necessidade de símbolos ou números, e que sejam fáceis de lembrar. Por exemplo, a senha “horsecarrotsaddlestable” demoraria um trilhão de anos para ser decifrada pelos programas atuais, enquanto a senha “P@55w0rd” seria quebrada em um minuto.

O que as pessoas não entendem (nem deveriam) é que nenhum sistema decente armazena senhas descriptografadas. Sem contar que o acesso é bloqueado após um número x de tentativas incorretas...

Usar uma senha "abc@987" ou "12345" (devidamente criptografadas com uma chave privada) não faz diferença alguma... É praticamente impossível de quebrar.

Coder escreveu:É praticamente impossível de quebrar.

Olha, não sou especialista desta área ai de senhas e tal para discutir com você, mas a todo instante vemos notícias de que quando os hackers querem quebrar a senha de alguém eles conseguem. Seja Facebook, Gmail, Yahoo, forumeiros, corporativa, ou qualquer outra que seja e que país for. Mas logicamente algo que tenha algum motivo específico, algum propósito. Não é a torto nem a direita. É como um conhecimento para ser utilizado para uma determinada CAUSA apenas. Eles não vivem quebrando e descriptografando o mundo todo.
Não estou nem falando de pegadinhas em sites phishing via email, convites pelo Face, links maliciosos pelo WhatsApp, que as donas de casa caem. É quebrar a senha mesmo; indo direto na página de login do usuário, pura e simplesmente assim.

Só não me pergunte como fazem nem tente me explicar de forma técnica o "porque não seria verdade" que é demais para o tico e o teco aqui. Talvez se desenhar ajude um pouco.

Daqui uns 5 anos o cara volta arrependido de novo, dizendo que foi um erro usar frases. O correto vai ser usar caracteres chineses de ponta-cabeça.

Moshe Bar Elohim escreveu:

Coder escreveu:É praticamente impossível de quebrar.

Olha, não sou especialista desta área ai de senhas e tal para discutir com você, mas a todo instante vemos notícias de que quando os hackers querem quebrar a senha de alguém eles conseguem. Seja Facebook, Gmail, Yahoo, forumeiros, corporativa, ou qualquer outra que seja e que país for. Mas logicamente algo que tenha algum motivo específico, algum propósito. Não é a torto nem a direita. É como um conhecimento para ser utilizado para uma determinada CAUSA apenas. Eles não vivem quebrando e descriptografando o mundo todo.
Não estou nem falando de pegadinhas em sites phishing via email, convites pelo Face, links maliciosos pelo WhatsApp, que as donas de casa caem. É quebrar a senha mesmo; indo direto na página de login do usuário, pura e simplesmente assim.

Só não me pergunte como fazem nem tente me explicar de forma técnica o "porque não seria verdade" que é demais para o tico e o teco aqui. Talvez se desenhar ajude um pouco.

Não conseguem! Todos esses ataques são feitos principalmente por engenharia social! É o próprio usuário que acaba fornecendo a senha! Cara, hoje em dia ainda tem gente que cai em golpes antigos, porque não cairiam em um golpe virtual? E outra, tem gente que adora usar wi-fi publico de aeroportos, shoppings e não sabem do perigo que estão correndo!

Eu posso muito bem criar uma "rede" falsa, exigir um login/senha pelo facebook (igual o que normalmente é pedido por aí) e logar todos os usuários senhas digitados, e ai? Um usuário comum nem desconfia...

Isso me lembrou no primeiro ano de faculdade quando conseguimos descobrir a senha dos professores pq o sistema la não rodava com HTTPS. Trafegava tudo em plain text! Só não alteramos nossas notas pq iria dar ruim! (e também pq sempre tive notas boas )

Só para exemplificar: Se você faz um cadastro no facebook e coloca uma senha = "moshe", o facebook irá gravar algo assim: "08f60ae5cf4500ccc86a0601c34855ce" e nunca o que você digitou. Quando você se autentica, o facebook pega o que você digitou, gera a criptografia novamente e compara com o que está cadastrado. Essa criptografia é definida através de uma chave própria. É simplesmente inquebrável...

joabi escreveu:
Daqui uns 5 anos o cara volta arrependido de novo, dizendo que foi um erro usar frases. O correto vai ser usar caracteres chineses de ponta-cabeça.

Por tudo que entendi que li na internet, nesta época ele trabalhava no NIST e precisava, digamos assim, criar um protocolo padrão de segurança para senhas. Era época da Web 2.0 e ainda não havia um método padrão de segurança.
Hoje, 14 anos depois, ele confessa que esta mistureba de caracteres não resolve absolutamente nada. Deve ter algum embasamento técnico. Até tem mas é uma uma papelada toda em inglês.

O negócio é o seguinte: as tecnologias vão avançando a cada dia e não podemos ficar obsoletos. Se daqui uns 5 anos o correto será utilizar caracteres chineses de ponta cabeça, é o que será mais seguro para aquela época.

Lembro até hoje meu professor de TI dizendo: "uma senha segura é composta pelo menos de cinco letras, dois números e dois caracteres especiais". Com certeza isto aí já era. Dependendo do site essa regrinha nem é mais aceita. A primeira coisa que vinha à mente dos alunos: "abcde12#$" ou "qwert12!@" ou "asdfg43@!".