Senhas: aprenda mudanças simples que fazem toda a diferença

Somos capazes de lembrar de apenas duas ou três senhas - e a maioria das pessoas escolhe combinações relativamente curtas e previsíveis. É hora de mudar.

Markus Jakobsson, TechHive.com 

Há 20 anos, uma das maiores preocupações de segurança era que um colega poderia descobrir a sua senha por conta do post-it que você colocou na sua tela do computador. A solução era simples: não escreva suas senhas! Isso foi um bom conselho, e a maioria das pessoas podiam facilmente lembrar as duas ou três combinações de que precisavam.

Desde então, as ameaças contra a segurança evoluíram além do conhecimento, mas a nossa capacidade de lembrar de senhas manteve-se inalterada. Ainda somos capazes de lembrarmos de apenas duas ou três senhas - e a maioria das pessoas escolhem combinações relativamente curtas e bastante previsíveis, a fim de serem capazes de recordá-las.

Gerenciadores de senhas resolveram esse problema, mas eles apareceram com seus próprios. E se um malware invadir e roubar todas as senhas? E o que você faz, em termos práticos, quando tem um dispositivo novo ou emprestado?

Camadas de segurança

Primeiro de tudo, devemos revisar o conselho dos anos 90. Hoje, o adversário típico não é um colega olhando por cima do ombro, mas um hacker sem rosto a milhares de quilômetros de distância. 

Anotar as senhas em pedaços de papel pode não ser uma má ideia - embora ainda não recomendamos deixá-los em sua tela. Isto faz sentido particularmente quando o número de senhas aumenta.

Para implementar uma camada adicional de segurança à sua "cola", você pode fazer todas as senhas serem compostas por duas partes. Uma que você memoriza - esta parte é a mesma para todas as suas senhas dentro de uma determinada categoria - e outra que você anota (e essa é única). Usando este método, qualquer pessoa pode gerenciar centenas de senhas enquanto ainda só terá que lembrar de duas ou três coisas.

Seja criativo

Em segundo lugar, precisamos criar senhas fortes. Quando os usuários são obrigados a incluir letras maiúsculas e minúsculas, bem como números e caracteres especiais, o que eles fazem? Reúnem esses requisitos de maneira que seja mais fácil para lembrar. Então, ao invés de usar senhas como "password" ou "seguro", eles usam "Password1!" E "Seguro1!".

Este não é muito inteligente, em termos de segurança, especialmente porque crackers sabem muito bem, provavelmente melhor do que ninguém, que tipo de senhas que as pessoas escolhem. 

Se exigimos caracteres maiúsculos em senhas, quase todo mundo vai capitalizar a primeira letra. Se exigimos um numeral, o número "1" é quase três vezes mais provável do que o número "9", e "3456" é mais de dez vezes mais comum que "4321". 

Da mesma forma, os caracteres "especiais" que as pessoas usam estão longe de ser especiais quando você olha quais são usados ​​e onde eles são colocados na senha. Portanto, técnicas tradicionais de força de senha criam uma falsa sensação de segurança, uma vez que eles contam caracteres, mas pecam em olhar para probabilidades.

O papel dos desenvolvedores

Os usuários não são os únicos culpados. A indústria está dando uma falsa sensação de segurança com a maneira como usam os verificadores de senhas. Em vez de considerar letras maiúsculas e minúsculas, números e caracteres especiais mais exigentes, verificadores de força de senhas deveriam entender as combinações e recusar senhas que são muito previsíveis.

E isso pode ser feito! Em um artigo recente que escrevi com meu aluno Mayank Dhiman mostramos como verificadores de força de combinações podem analisar senhas, quebrando-as em componentes, em seguida classificando tais componentes com base na sua semelhança, e computando uma pontuação para a senha com base na pontuação dos componentes.

É hora de ensinar os usuários a serem menos previsíveis.

Fonte IDGNOW

Leia Também:  

Diga adeus às senhas com letras e números

Diga adeus às senhas com letras e números

Por 

ANDREW BLACKMAN

Eis o problema fundamental das senhas: elas são mais eficazes para proteger uma empresa quando são longas, complicadas e trocadas com frequência. Ou seja, quando é mais difícil para os funcionários decorá-las.

Por isso, as firmas de tecnologia estão batalhando para oferecer soluções que sejam, ao mesmo tempo, mais seguras e mais convenientes. Muitos laptops já vêm com leitor de impressões digitais integrado. Os smartphones e outros dispositivos móveis também estão adotando opções biométricas, como reconhecimento facial e de voz.

No ano passado, a Apple Inc. AAPL +4.73% adquiriu a AuthenTec Inc., desenvolvedora de tecnologias para sensores de impressões digitais, e neste mês lançou um novo iPhone com um sensor de impressão digital instalado. A MicrosoftMSFT -0.16% anunciou que seu sistema operacional Windows 8.1, que deve ser lançado em outubro, é "otimizado para a biometria baseada em impressões digitais".

Enlarge Image

Yubico Inc

O token da Yubico gera senhas por uma entrada USB ou ao encostar no celular

Outras empresas, como Google Inc.,GOOG -1.87% PayPal Inc. e Lenovo Group Ltd., 0992.HK +3.14% formaram uma organização conhecida como Aliança Fido (Fast Identity On-line, ou Identidade Rápida On-line), que visa criar padrões para o setor de biometria e outras formas da chamada "autenticação forte".

O Google também está testando um novo tipo de dispositivo, criado pela Yubico Inc., de Palo Alto, na Califórnia. Tal como os tradicionais tokens que geram senhas numéricas aleatórias, já usadas por bancos e outras empresas há anos, os aparelhos da Yubico geram senhas temporárias para serem utilizadas como uma segunda forma de autenticação.

Mas em vez de ter que ler a senha no token e depois digitá-la, o funcionário pode simplesmente introduzir o token numa entrada USB ou encostá-lo num smartphone ou tablet, usando a comunicação de campo próximo (NFC, na sigla em inglês), tecnologia que permite aos dispositivos eletrônicos se comunicarem fazendo contato físico.

O Google está testando os tokens com seus funcionários este ano e pretende oferecê-los aos consumidores em 2014, como uma forma de acessar o Gmail e outras contas do Google com mais segurança. Mayank Upadhyay, diretor de engenharia de segurança do Google, diz que os tokens são fáceis de usar e têm uma criptografia forte.

"Acreditamos que, ao usar esse token, elevamos o nível de segurança para os nossos funcionários para além do que estava disponível no mercado", diz Upadhyay. O token é compatível com o navegador Chrome, do Google, e "vem funcionando muito facilmente e sem problemas para as pessoas no seu fluxo de trabalho diário aqui no Google", diz.

Cálculo de risco e dados biométricos

Outra nova opção, vinda da RSA, a divisão de segurança da EMC Corp.EMC -0.72% e criadora dos tokens SecurID, muito usados, é a autenticação baseada no risco.

Essa tecnologia classifica grandes massas de dados vindas de usuários de diversos grupos numa empresa, definindo qual é o comportamento "normal". Então atribui uma nota de risco para cada usuário. Se um funcionário faz algo incomum, tal como fazer o login no sistema a partir de um novo local, usar outro computador ou tentar acessar um sistema diferente do habitual, sua nota de risco aumenta e pode ser solicitado a ele que forneça mais uma autenticação — por exemplo, confirmar sua identidade por telefone.

Muita gente acredita que o cenário da segurança vai mudar rapidamente à medida que mais pessoas levam seus próprios smartphones e outros dispositivos para o trabalho. Embora muitos considerem a proliferação desses aparelhos uma ameaça à segurança, alguns analistas acham que eles podem melhorar a segurança ao facilitar o uso da autenticação biométrica. A maioria dos dispositivos móveis tem microfone e câmera e pode identificar a localização do usuário.

Enlarge Image

John Chuang

O professor John Chuang, de Berkeley, usa um fone de ouvido projetado para ler possíveis "senhas mentais"

"Acreditamos que a autenticação biométrica será significativamente mais popular e o que vai impulsionar e viabilizar [essa tecnologia] é a computação móvel", diz Ant Allan, vice-presidente de pesquisas da firma americana Gartner Inc. IT +1.25%

Ele explica que para uma grande empresa instalar um novo hardware para cada funcionário pode sair muito caro. Então, um sistema baseado em dispositivos pessoais que já são comuns oferece uma clara vantagem econômica. Além disso, um funcionário com seu smartphone provavelmente vai achar muito mais fácil usar um leitor de impressões digitais do que lembrar e digitar senhas.

Outro desenvolvedor de ferramentas inovadoras de segurança é a empresa espanhola Agnitio SL, que fabrica um software de reconhecimento de voz usado pela polícia. Ela desenvolveu um sistema que permite a um funcionário fazer o login apenas falando uma frase simples.

Já a PixelPin Ltd., de Londres, quer substituir as senhas por fotos. Escolha uma foto da sua esposa, por exemplo, e faça o login clicando em quatro partes do rosto dela, numa sequência que você memorizou. É mais fácil para as pessoas lembrarem de uma foto do que de uma senha com letras e números e mais difícil para os outros replicarem, diz um dos fundadores da empresa, Geoff Anderson.

Eis uma ideia

Olhando para o futuro, pesquisadores da Universidade da Califórnia em Berkeley estão estudando o uso de ondas cerebrais como forma de autenticação. Os participantes de um teste usaram um fone de ouvido que mede os sinais das ondas cerebrais enquanto eles imaginavam executar uma determinada tarefa. Os pesquisadores puderam distinguir entre as diversas pessoas com 99% de precisão. Em teoria, isso pode se tornar a "senha mental" de um funcionário.

A maioria dos especialistas julga que as empresas vão utilizar várias medidas diferentes. O Hospital Saratoga, no Estado de Nova York por exemplo, usa leitores de impressões digitais como uma alternativa mais segura para as senhas. Mas embora eles tenham resolvido muitos problemas de segurança, não são viáveis para todos. Alguns voluntários idosos que trabalham no hospital têm dificuldade para manter a mão imóvel, e o leitor não funciona se alguém estiver de luvas ou com as mãos muito secas, diz Gary Moon, analista de segurança do hospital. Alguns funcionários também se recusaram a registrar suas impressões digitais. Então o hospital continua usando as senhas como um sistema de segurança de reserva.

"Não há nenhuma solução de autenticação que sirva para todos", diz Vance Bjorn, fundador da DigitalPersona Inc., da Califórnia, que forneceu os leitores de impressões digitais para o Hospital Saratoga. "Uma tecnologia resolve alguns problemas, mas pode não ser a combinação adequada de segurança, conveniência, custo e facilidade de implementação para todos."

Fonte:  The Wall Street Journal Via Paulo Pagliusi, Ph.D., CISM

Google pesquisa meios para que você não precise mais decorar senhas

Engenheiros da empresa têm feito experiências com hardware que agiria como uma chave mestra para serviços online

 

 

Para ajudar a Internet a superar nomes de usuários e senhas, o Google quer mudar a abordagem atual. Engenheiros da empresa têm feito experiências com hardware que agiria como chave-mestra para serviços online. Exemplos incluem um anel inteligente, um stick USB criptografado ou um token embutido em smartphones. O vice-presidente de segurança, Eric Grosse, e o engenheiro Mayank Upadhyay, delinearam a proposta em um trabalho de pesquisa para a edição deste mês da EEE Security & Privacy Magazine, de acordo com uma reportagem do Wired.
A ideia é evitar que hackers remotos acessem contas online através de nomes de usuários e senhas roubados. Sem roubar fisicamente o dispositivo de login, eles não têm outra maneira de invadir. Alguns serviços da Internet já oferecem este tipo de segurança por meio de autenticação de duas etapas. Por exemplo, quando você entra no Gmail em um PC não reconhecido, pode ser que o Google envie uma mensagem de texto para seu celular com um código de validação. Uma vez que você digita o código, o Gmail pode lembrar aquele PC por tempo determinado.

O problema com autenticação de duas etapas é que é complicado validar todos os seus computadores e passar pelo processo apenas para verificar seu e-mail no computador de um amigo. Tentar entrar quando seu telefone está fora de serviço também pode ser um problema, embora o Google forneça até 10 códigos de segurança para esse tipo de situação.

Um dispositivo físico - de preferência que possa se comunicar sem fios com computadores - tornaria o processo mais fácil. "Nós gostaríamos que seu smartphone ou smartcard com anel de dedo embutido autorizasse um novo computador com apenas um toque na máquina, mesmo em situações em que seu telefone possa estar sem conectividade celular," escreveram engenheiros do Google.

Desafios
Obviamente, contar com um anel ou outro dispositivo para fazer login traz seus próprios desafios. Teria que ser um método de login com backup - um que seja mais seguro do que apenas uma senha - caso o dispositivo seja perdido ou danificado. E, enquanto um anel ou um dispositivo de contato baseado em outro iria ajudar a proteger usuários de hackers distantes, seria mais fácil de ser roubado por cônjuges, colegas de trabalho ou crianças. Engenheiros do Google admitem que ainda podem precisar exigir senhas, mas estas não teriam de ser tão complexas como hoje, com fórmulas à prova de hacker. Além disso, nem todo mundo vai querer usar um anel ou levar seus celulares para todos os lugares só para poder usar seus computadores.

Os desenvolvedores web terão que embarcar nesta ideia também, ou pelo menos ‘abraçar’ serviços como o Account Chooser, o que permitiria que serviços maiores, como Facebook ou Google, agissem como um login mestre para sites menores. Caso contrário, teremos de lembrar um monte de senhas para sites que não usam autenticação via hardware.

O Google não é a única gigante de tecnologia que está interessada em substituir a senha. No ano passado, a Apple comprou a AuthenTec, empresa de scanner de impressões digitais, levando a rumores de que futuros iPhones poderão ter sensores de impressões digitais construídos em seus botões home.

A ideia de acabar com a senha se tornou uma noção popular no ano passado, depois que um hacker esperto conseguiu acabar com a vida digital do repórter Mat Honan, do Wired. Em certo sentido era um alerta, mas, levando em consideração quantas vezes grandes sites são hackeados, a melhor solução parece agora muito atrasada. Soluções de hardware dos grandes jogadores de tecnologia do mundo poderiam ser exatamente o que precisamos.

 Fonte: IDGNOW!

Leia Também: Autenticação no e-Commerce com Certificados Digitais.

O que você pode oferecer à 5 milhões de clientes especiais no mundo eletrônico? 

Resposta: Autenticação forte com certificados digitais.