Como medidores de força de senha podem melhorar segurança

Você quer que os usuários de seu site tenham senhas mais fortes? Então ofereça medidores de “força de senha” para mostrar se uma determinada opção de senha tem nível baixo (vermelho), médio (amarelo) ou alto (verde) de segurança.

De acordo com o primeiro estudo já realizado sobre a eficiência dos medidores de força de senha – entregue na semana passada durante o evento de Interação Humano-Computador, IHC, em Paris – tais medidores não são apenas enfeites insignificantes para a segurança.  Os medidores resultam em senhas mais fortes quando os usuários são obrigados a mudar senhas existentes em contas “importantes”, de acordo com o estudo “Does my password goes up to eleven?”, realizada por pesquisadores da Universidade de Califórnia em Berkeley, Universidade de British Columbia e Microsoft Research. Além disso, eles descobriram que as variações gráficas de design entre diferentes tipos de medidores “geralmente têm impacto marginal” na adoção de usuários.

A utilidade de medidores de senhas não era conhecida; nenhuma pesquisa anterior explorou seu impacto nas escolhas por senhas mais fortes. “O objetivo original do experimento era analisar se medidores baseados em pressão social renderiam aprimoramento, já que não esperávamos que os medidores existentes fossem eficientes”, disse o autor principal do relatório e cientista da Universidade da Califórnia em Berkeley, Serge Egelman, via e-mail.

“Fomos surpreendidos pelos fatos de que, um: o design do medidor parece não importar muito; e, dois: os medidores funcionam em determinadas circunstâncias”.

Como foi enfatizado pela referência ao filme “This is spinal tab” no título do relatório, quando se trata de senhas, mais (entropia) é igual a mais (segurança). É por isso que o conselho padrão de segurança de senha – atualmente – é escolher uma senha que tenha, pelo menos, 12 caracteres, misturando letras, números e símbolos. Quaisquer que sejam as regras, porém, os medidores de senhas oferecem um feedback visual simples e imediato sobre o que constitui “forte o bastante”.

As conclusões dos pesquisadores são baseadas em comparações de reconfigurações forçadas de senha na presença de medidores de senhas e na ausência deles. “Realizamos um experimento em laboratório para examinar se esses medidores influenciam a seleção da senha dos usuários quando eles são forçados a mudar suas senhas reais”, explicaram os pesquisadores. “Notamos que a presença de um medidor resultava em senhas significantemente mais fortes”.

Eles descobriram, também, que os medidores não parecem causar problemas de memória nos usuários, e sugeriram que as pessoas que se esquecem de suas senhas estão mais relacionadas às datas de expiração forçada, que nem todos os especialistas em criptografia veem como necessárias.

As descobertas dos pesquisadores sobre os medidores de força de senha, no entanto, vêm com um alerta. Em um segundo estudo conduzido por eles, os usuários deveriam criar uma senha para uma conta importante. “Neste cenário, descobrimos que os medidores não fizeram uma diferença notável: os participantes simplesmente reutilizam senhas fracas que usam para proteger contas similares de baixo risco”, disseram.

Egelman disse que apesar dos medidores de senha serem eficientes quanto usados para senhas importantes, talvez eles não devessem ser usados para todas as senhas não importantes. “As pessoas têm memória finita, que não deveria ser desperdiçada protegendo recursos que não são importantes, por exemplo, contas de baixo valor. Acho o maior problema é que a maioria das senhas é altamente suscetível a ataques offline”, disse ele. “Enquanto que quando os usuários não selecionam senhas populares – por exemplo, 100/1.000/10.000 – ataques online são relativamente mal sucedidos. Isto sugere que uma solução muito mais eficiente é prevenir que ocorram ataques offline”.

Utilizando controles de segurança de rede apropriados e criptografia forte para assegurar que senhas não sejam ser roubadas por hackers ou decodificadas offline, no entanto, não têm nada a ver com os medidores de força de senha. “Esta responsabilidade é somente dos websites que armazenam as senhas, não dos usuários”, disse Egelman.