Quer uma senha mais forte? Use substantivos e adjetivos e evite verbos e pronomes. Esta descoberta veio de uma pesquisa escrita por Ashwini Rao, estudante de doutorado na Carnegie Mellon University, e mais dois colegas, intitulada “Effect of Grammar on Security of Long Passwords” (Efeitos da gramática na segurança de senhas longas). Rao apresentará a pesquisa na Conference on Data and Application Security and Privacy (Codaspy 2013) da Association for Computing Machinery, que ocorrerá no mês que vem, nos Estados Unidos.
Curta, no Facebook, a Fan Page do IT Web
“O uso de senha em forma de uma sentença ou frase como ‘umasenhamaioremelhor’ e ‘acomunidadedasfadas’ está aumentando”, disseram. Mas poderia alguns desses tipos de sequências de palavras serem menos seguros do que outros?
Para descobrir, eles construíram um decodificador de sequências de palavras que tinham conhecimento de gramática e o pré-carregaram com um dicionário para fala, bem como com um algoritmo para reconhecimento que são tipicamente usados para gerar sequência de palavras, como “substantivo-verbo-adjetivo-advérbio”.
Sequências de palavras são muitas vezes técnicas recomendadas para criar senhas complexas. Em vez de criar senhas como “ovelha”, por exemplo, especialistas indicam alternativas “lobos8ovelhas@dormir”. Resumindo, sequências podem adicionar complexidade – o que dificulta o trabalho de um invasor – apesar de ainda serem fáceis de lembrar.
Mas como é sempre o caso com senhas, alguns tipos de sequências de palavras são melhores do que as outras. Os pesquisadores testaram seu software conceito com 1.434 palavras, cada um contendo 16 ou mais caracteres e descobriram que ao levar a gramática em consideração, conseguiram quebrar três vezes mais senhas do que as ferramentas atuais. Além disso, a ferramenta delas quebrou 10% dos conjuntos de senhas.
Resultado de sua descoberta: a força de senhas longas não aumenta uniformemente com o comprimento.
Com base em suas pesquisas, a boa gramática vem com o custo da segurança, porque algumas estruturas gramaticais são mais escassas do que outras, o que torna a sequência de palavras mais fácil de quebrar. Em termos de escassez, os pesquisadores notaram que existem menos pronomes do que verbos, menos verbos do que adjetivos e, ainda, menos adjetivos do que substantivos.
Resultado: enfatize substantivos e adjetivos em sequências de palavras. Por exemplo, os pesquisadores descobriram que sequências com cinco palavras “Th3r3 can only b3#1!” (Só pode ter um número 1) é mais fácil de quebrar do que frases com três palavras “Hammered asinine requirements” (Exigências impostas por Asno). Enquanto isso, descobriram que frases como “My passow0rd is $uper Str0ng!” (Minha senha é superforte!) é cem vezes mais forte do que “Superman is $uper str0ng!” (Super-homem é superforte), e ainda essa frase é 10.000 mais forte do que “Th3r3 can only b3 #1!”.
Os pesquisadores disseram que suas descobertas podem ser aplicadas para ajudar usuários a selecionar senhas mais seguras. Também afirmaram que a pesquisa pode ser aplicada não apenas à sequências de palavras, mas também para outros tipos de estruturas como um endereço postal, de e-mail e URLs presentes dentro de senhas longas: ou talvez até mesmo conjuntos codificados de dados.
“Já vi políticas de senhas que dizem: ‘Usem cinco palavras’”, afirmou a autora do relatório. “Bem, se quatro dessas palavras são pronomes, elas não adicionam muito à segurança”.
Para manter essas recomendações em perspectiva, senhas complexas não imunizam as senhas contra todo o tipo de ataque: especialmente se elas são armazenadas de forma insegura.
Mas nos casos onde um invasor obter os passes armazenados que sofreram hash ou foram criptografados, quanto mais complexa fora a escolha,mais tempo levará para um invasor conseguir decodificá-la, isso se for possível. Qualquer atraso pode levar os proprietários de sites a visualizar a brecha, avisar os consumidores e imediatamente tirar do uso todas as senhas.
Tradução: Alba Milena, especial para o IT Web | Revisão: Adriele Marchesini
SpaceX, Anthropic e OpenAI estão no radar de Wall Street para possíveis aberturas de capital…
por Eduardo Honorato Falar sobre infraestruturas críticas na Era Digital tem sua própria complexidade dentro…
A adoção de inteligência artificial (IA) nas empresas não depende apenas da disponibilidade de ferramentas.…
A Cohesity anunciou a concessão da Patente Nº 12.619.501 pelo Escritório de Patentes e Marcas…
Diogo Cortiz, professor da PUC-SP e doutor em Tecnologias da Inteligência e Design Digital, tem…
DJ Sampath chegou aos Estados Unidos há 30 anos com oito dólares no bolso e…