Conceito de senha forte foi grande erro

Se você tem vontade de xingar toda vez que é obrigado a trocar suas senhas, ainda por cima utilizando caracteres especiais, números, letras maiúsculas e minúsculas, saiba que o alvo de seu ódio é o Sr. Bill Burr. E ele concorda com você.

Em recente artigo publicado no Wall Street Journal, Burr confessou que o modelo de criação de senhas definido por ele e utilizado há quase 15 anos foi um grande erro. Em 2003, quando trabalhava no NIST (National Institute of Standards and Technology), o Sr. Burr desenvolveu o modelo de criação de senhas utilizado até hoje, descrito no documento “NIST Special Publication 800-63. Appendix A”.

Suas diretrizes – como utilização de diferentes caracteres, substituição periódica e até o tamanho que a senha deve ter, entre outras – figuram desde as recomendações de segurança da Microsoft aos padrões de segurança do governo norte-americano.

O modelo culminou na recomendação de substituições de letras já na criação da senha, com a troca por números ou caracteres especiais. Algo como “senhaforte” seria reescrito como “$3nh@F0rt3”, por exemplo, conforme as definições de cada usuário.

A obrigatoriedade da substituição periódica da senha criou um outro problema: os usuários passaram a fazer pequenas alterações, tentando burlar o sistema implantado. De “Senh@F0rt31”, passava-se para “Senh@F0rt32”.

Para quebrar uma senha, um hacker utiliza diversos métodos, cada um mais demorado que o anterior. Vão desde os mais óbvios, como utilização de informações pessoais e interesses do usuário, até o uso de algoritmo de força bruta, que testa todas as possibilidades de combinações de letras, números e caracteres especiais possíveis. Este método é infalível quando o atacante tem acesso ao banco de dado de senhas, mas pode ser extremamente demorado.

O site “How Secure Is My Password?” fornece estimativas sobre segurança. A senha S3nh@S#gur@, por exemplo, levaria quatrocentos anos para ser quebrada. 

Muito tempo? Não se comparado a “carro cachorro churrasco lua”: 15 octilhões de anos. Lembrar uma senha dessas é muito mais fácil, principalmente quando se utiliza palavras de interesse.

Por conta disso, as novas recomendações para criação de senha são para a utilização de frases que façam sentido ao usuário, mas que não sejam diretamente ligadas a ele. 

Por exemplo um pedaço de letra de música ou de um poema. Quatro ou cinco palavras de uso comum são o suficiente para criar uma senha praticamente inquebrável.

Hoje, aos 72 anos e aposentado, o Sr. Burr se arrepende do que criou. O modelo amplamente utilizado aterrorizou a vida de muitas pessoas e resultou em inimizades entre usuários e o departamento de TI das empresas. Além disso, dificultou a vida das equipes de suporte, obrigadas a desbloquear contas de usuários incautos que esqueciam suas senhas minutos após sua criação.

(*) Eduardo Sanches é sócio-diretor da VSI (Ventiv Solutions International)