O fundador do CSIRT.UBI e do blog Segurança Informática, Pedro Tavares aponta as falhas do tradicional sistema de palavras-chave.
Pedro Tavares, fundador do CSIRT.UBI e do blog Segurança Informática
Vivemos actualmente numa era digital onde a informação é considerada por muitos como o novo petróleo. Olhando à nossa volta, temos a Internet das Coisas (IoT) a entrar-nos pela porta dentro, a Big Data e a Inteligência Artificial que trabalham grandes grupos de informação. Nos últimos dez anos tudo aconteceu num passo um tudo-nada aligeirado.
A transformação digital tem sido vivida numa correria constante e com ela também têm emergindo novos ciber-problemas. Por exemplo, as redes sociais tornam-se uma necessidade para a sociedade. Em contraste tornam-se um alvo apetecível para o cruzamento e perfilagem de informação. A IoT dispara no mercado e de imediato surgem agentes de ameaças prontos a explorar o pequeno dispositivo que é utilizado para controlar o ar condicionado lá de casa.
Por um lado, tanta velocidade e inovação na concepção de sistemas de informação, e por outro lado, lentidão para implantar um meio forte para estabelecer uma autenticação segura entre dois pontos de comunicação.
O problema das palavras-passe
A morte das palavras-passe foi prevista há mais de 10 anos. Foi várias vezes realçado que os métodos alternativos para autenticação seriam adoptados para controlar o acesso à infraestrutura de TI, portais, redes sociais e tudo o que exigisse ao utilizador reter uma combinação de letras e números. Mas, desde então, o uso de palavras-passe só tem aumentado. Este aumento deve-se essencialmente ao crescimento exponencial dos serviços online, incluindo os serviços fornecidos pelos governos e sector público em geral.
As palavras-passe são uma medida de segurança de baixo custo e de fácil implementação com atracções óbvias para os gestores de sistemas corporativos. No entanto, a proliferação do seu uso e as políticas associadas à sua complexidade colocam o utilizador num desafio totalmente irreal.
Para combater este desafio, os utilizadores usam os seus próprios mecanismos de forma a lidar com a evidente sobrecarga de palavras-passe. Estes mecanismos incluem anotar palavras-passe em post-its, utilizar a mesma palavra-passe em diversos sistemas e até utilizar estratégias simples para definição das suas palavras-passe.
Se por acaso tiver 5 minutos, pergunte aos seus colegas de trabalho se eles reutilizam as suas palavras-passe
Se por acaso tiver 5 minutos, pergunte aos seus colegas de trabalho se eles reutilizam as suas palavras-passe.
A reutilização de palavras-passe é uma estratégia e não pode ser um problema exclusivamente do utilizador. Ele tem de ser encarado como um problema de implementação deste mecanismo de autenticação fraco.
Os utilizadores não são particularmente criativos quando se trata de escolher uma palavra-passe. E a originalidade tende a diminuir rapidamente a cada alteração sucessiva.
Uma palavra-passe tem uma relação e um padrão; o que permite memorizá-la. Tipicamente uma palavra-passe faz referência a pessoas, animais de estimação, datas de nascimento, equipas de futebol, heróis e lugares favoritos. Se uma política de segurança de palavras-passe exigir números, muitos utilizadores tendem a adicionar um número ao final da palavra-passe, e o seu incremento é realizado sempre que precisarem alterá-la.
A sequência mais comum de palavras-passe parece ser de seis letras e dois números, seguida da combinação de sete letras e um número. O ser humano, em geral, tende a ser bastante previsível, é por isso que, a palavra-passe “cworld10” parece fazer mais sentido para um mortal comum do que a variação “c1world0”.
Pedro Tavares, fundador do CSIRT.UBI e do blog Segurança Informática