A atual infraestrutura pública de senhas usada para assegurar a HTTPS possui falhas que – em alguns casos – podem ser exploradas por invasores para roubar dados e atacar servidores.
Esta descoberta veio de um artigo científico, que será apresentado na conferência Crypto 2012, em agosto, em Santa Barbara, Califórnia. O artigo foi escrito por uma equipe de matemáticos e codificadores europeus e norte-americanos, liderados pelo holandês Arjen K. Lenstra, na Ecole Polytechnique Federale de Lausanne (EPFL), na Suíça.
“Realizamos uma verificação nas senhas públicas coletadas na rede. Nosso principal objetivo era testar a validade de que diferentes escolhas eram feitas cada vez que uma senha era gerada. Descobrimos que a grande maioria de senhas públicas funciona bem”.
Mas os pesquisadores também descobriram que a codificação de senhas públicas usadas pelo algoritmo RSA 1.024 bits é somente 99,8% eficaz, o que significa que pelo menos duas de cada mil senhas públicas podem ser crackeada.
“Ficamos surpresos que milhares de módulos RSA 1.024 bits, incluindo milhares que ainda contêm certificados válidos X.509, são inseguros”. Os certificados X.509 são usados por autoridades de certificação para validar identidade do site, ajudando assim a proteger tudo, desde e-mail até transações bancárias.
Para sua pesquisa, a equipe EPFL usou dados de várias fontes, incluindo o projeto SSL Observatory, da Electronic Frontier Foundation (EFF), que armazena downloads de todos os certificados SSL visíveis na internet, o que permite que pesquisadores busquem vulnerabilidades HTTPS.
Qual a causa para a inesperada repetição ou compartilhamento dos códigos? Quando a senha RSA é gerada, exige a seleção de dois números escolhidos aleatoriamente que não tenham sido previamente apontados por alguém usando a senha RSA. Qualquer um que use a senha conhecerá esses números e os usará – juntamente com um código público criado por dois números – para codificar os dados.
Essas senhas vulneráveis figuram um sério risco para segurança na internet porque qualquer um que seja capaz de identificar os dois primeiros números usados para gerar a senha RSA pode passar pelas proteções.
Tradução: Alba Milena, especial para o IT Web | Revisão: Adriele Marchesini
Saiba mais:
Twitter aumenta segurança com protocolo HTTPS
A Cohesity anunciou a concessão da Patente Nº 12.619.501 pelo Escritório de Patentes e Marcas…
Diogo Cortiz, professor da PUC-SP e doutor em Tecnologias da Inteligência e Design Digital, tem…
DJ Sampath chegou aos Estados Unidos há 30 anos com oito dólares no bolso e…
A evolução da inteligência artificial nos serviços financeiros ainda esbarra em desafios relacionados à experiência…
A Motorola Solutions anunciou a assinatura de um acordo definitivo para adquirir a D-Fend Solutions,…
Nesta terça-feira (2), a Meta anunciou a expansão global de configurações de conteúdo para contas…