Há bastante tempo, muitas plataformas exigem o uso de senhas com uma combinação de letras maiúsculas, números e símbolos. Esse requisito, que visa aumentar a segurança de nossas contas, pode se tornar um incômodo. Depois de um tempo, é possível que o serviço em questão nos notifique que a senha expirou, forçando-nos a repetir o processo periodicamente.
O Instituto Nacional de Padrões e Tecnologia (NIST) acredita que essas práticas já estão obsoletas.
Quando falamos do NIST, nos referimos a uma organização dos EUA que emite recomendações sobre como empresas e usuários podem proteger suas contas da maneira mais eficaz possível. Primeiro, vejamos alguns dos itens mais relevantes da Minuta Pública Inicial das Diretrizes de Identidade Digital e depois vamos analisá-los em detalhes.
- “Os verificadores e os CSP não devem impor outras regras de composição (por exemplo, exigir combinações de diferentes tipos de caracteres) para as senhas.”
- “Os verificadores e os CSP não exigirão que os usuários alterem as senhas periodicamente". No entanto, os verificadores deverão forçar uma alteração caso haja evidência de comprometimento do autenticador.”
A forma como navegamos pela Web mudou substancialmente nos últimos anos. Estamos registrados em mais serviços do que nunca, e as senhas já não são o único método de autenticação disponível. Na verdade, algumas empresas como a , enquanto outras estão implementando as passkeys como uma nova forma de login.
Nesse contexto, a exigência de trocar periodicamente de senha pode nos levar a criar senhas mais fracas, simplesmente porque são mais fáceis de memorizar. Se, por outro lado, pudéssemos escolher uma senha de longo prazo, provavelmente escolheríamos por uma mais longa e, consequentemente, mais robusta. Isso nos leva diretamente ao próximo ponto das diretrizes do NIST.
Os benefícios de uma senha suficientemente longa, como uma frase de música ou um poema, superam os das senhas curtas com caracteres especiais, letras maiúsculas e números. Aqui está um dos grandes desafios do modelo utilizado por muitas empresas atualmente. Um exemplo claro dessa realidade é o relatório anual da Hive Systems, que mostra quanto tempo um atacante levaria para decifrar nossa senha usando uma GPU.
Na tabela a seguir, podemos ver quanto tempo um invasor precisaria para "quebrar" uma senha utilizando 8 GPUs NVIDIA A100.
|
Quantidade de Caracteres |
TIPO DE SENHA |
TEMPO DE DECIFRAÇÃO |
|---|---|---|
|
4 |
Números, símbolos e letras maiúsculas e minúsculas |
23 segundos |
|
6 |
Números, símbolos e letras maiúsculas e minúsculas |
16 horas |
|
8 |
Números, símbolos e letras maiúsculas e minúsculas |
17 anos |
|
12 |
Letras maiúsculas e minúsculas |
2.000 anos |
|
13 |
Letras maiúsculas e minúsculas |
75.000 anos |
De modo geral, não existem senhas invencíveis, mas sim níveis de dificuldade tão altos que ninguém estaria disposto a pagar o preço necessário para decifrá-las. Imagine ter um rack de GPUs, avaliadas em milhares de euros, funcionando a todo vapor durante anos apenas para quebrar uma senha.
Em todos os casos, como mencionamos, é crucial ter um sistema de verificação em dois passos, de preferência que não dependa de mensagens de texto.
Por fim, vale destacar que as empresas privadas não são obrigadas a adotar as diretrizes do NIST, a menos que seus serviços estejam, de alguma forma, envolvidos com o governo dos Estados Unidos. No entanto, essa organização tem sido um respeitado ponto de referência no mundo da cibersegurança, por isso, é possível que vejamos suas recomendações sendo implementadas em diversos serviços online no futuro.
Imagens | freepik
Ver 0 Comentários