Adeus 8, Bem-Vindo 12 — ou, “que se lasque…”

Por: em 21/08/10 na(s) categoria(s): Dicas, Indústria, Internet, Meio Bit

comentários 35

VaultDoor.jpg

Segundo o Georgia Institute of Technology, todos já entramos na nova era das senhas de 12 dígitos. Isso quer dizer que aquelas palavrinhas depravadas e secretas, que de tão vergonhosas jamais poderiam ser pronunciadas (senão apenas usadas como a sua senha), já eram. No seu lugar, o lance agora pode até ser uma senha-historinha…

Os pesquisadores empregaram clusters combinatórios por meios de processamento com hardware gráfico para crackear senhas de até oito dígitos… em menos de duas horas. Quando os mesmos procedimentos foram empregados em senhas com 12 dígitos, eles descobriram que o crack levaria no mínimo 17.134 anos para que a senha se ‘auto-confessasse’.

“A quantidade de dígitos de uma senha ou assinatura digital muitas vezes dita e compromete a segurança”, diz Joshua Davis, cientista da Georgia Tech Research Institute.

Aparentemente, a segurança da informação e a senha de 12 caracteres serão mesmo o padrão. Assume-se que um hacker com um nível mínimo de sofisticação consiga ‘tentar’ uma quantidade não inferior a um trilhão de combinações por segundo. Nada mal… Nesse cenário, uma senha de 11 caracteres levaria em média 180 anos para ser descoberta. Com algum jeitinho, dá para enxugar esse tempo. Agora, com uma senha de 12 dígitos a coisa salta incrivelmente para 17.134 anos e… não tem jeitinho.

Os especialistas da pesquisa acabaram descobrindo que muitos de nós utilizam frases inteiras como senhas, por exemplo:

“Sim, o Meio Bit é a capital do mundo e as japinhas são VIPs”

Frases bastante comuns envolvem o nome de familiares, filmes, documentos, etc etc etc (Eu tenho dois filhos: João e Maria), como sugere a Universidade Carnegie-Mellon. Mas, nem sempre isso é possível. Sabe-se que muitos websites, softwares e serviços não estão preparados para senhas muito longas e, inadvertidamente, acabam colaborando para que a segurança vá sendo vencida e ‘exploitada’ numa velocidade bem maior do que eu e você gostaríamos.

login_key.pngEntretanto, toda vez que for possível utilizar caracteres complexos – adicionalmente aos algarismos romanos comumente aceitos – você deve sempre procurar inserir alguns deles no meio. Das 26 letras do alfabeto gregoriano/romano e as 95 letras e símbolos contidos em um teclado QWERTY padrão, apenas uma fração normalmente não maior do que 35% delas é utilizada para ‘senhar’ a informação.

Alguns websites dão de fato o devido suporte às super senhas, mas ainda a passos lentos e em quantidades longe de um padrão para a indústria. O maior de que se tem notícia é o Fidelity.com, um site de finanças que lhe permite criar senhas de até 32 caracteres.

No teste, os técnicos utilizaram a técnica de ‘brute force‘ para tentar crackear senhas de no mínimo 12 dígitos utilizando placas gráficas de computadores – que por sua vez são baratas e podem ser reprogramadas para funções computacionais básicas muito rapidamente. O lance é o processador e suas velocidades dentro das placas. Um hacker decente usaria várias delas, combinadas ao mesmo tempo com hardware simples e programação fácil. McGyver do mal mesmo….

Os processadores destes componentes rodavam em simultãneo, procurando adivinhar as senhas através de todas as alpha-combinações possíveis e disponíveis. Obviamente, quanto maior o número de dígitos, maior o número de tentativas.

Uma das outras coisas observadas foram os fatores que muitas vezes levam as pessoas a evitar senhas mais longas e não repetidas: a dificuldade de se lembrar de qual senha vai em qual lugar…

Serviços como cofres virtuais de senhas (online/offline) apareceram na tentativa de resolver o problema, furada que não funciona muito bem pois, para um hacker com um conhecimento um pouquinho mais avançado é muito mais fácil invadir um local virtual e afanar toda uma lista de diversas senhas, do que ficar pelejando a dura tarefa de quebrar apenas uma em particular. Sem contar que é menos arriscado, mais rápido e mais fácil evitar de ser detectado, cobrir rastros, confundir IPs, blá blá blá (…).

Alguns websites tem colocado a disposição do mercado (isso, venda mesmo) alguns IDs de usuários para fins de propaganda e relações mercantis/comerciais. Isso é um grande perigo pois, uma vez que um hacker acesse uma senha por exemplo, é muito provável que ele tenha acesso a múltiplos bancos de informação associados à aquele ID ou senha hackeada. Caso parecido com o exploit ocorrido nos iPhones 4 e o escândalo da AT&T que, entre outras brechas, favorecia o mesmo tipo de invasão. Veja também a constante pressão sobre o social Facebook, paizão-líder na venda destes dados e que tem incitado o hating técnico da indústria de open source coding e segurança. Tipo, os cabras que você não ia querer irritar.

Segundo os técnicos da universidade a razão óbvia para que o padrão de senhagem passe a aumentar se dá em virtude das máquinas e suas placas gráficas (com alto potencial de processamento conjugado e facilmente configuráveis para estes fins) que tem ficado cada vez mais baratas e mais potentes. O danado vai e desmantela, monta e combina hardware, reprograma, acessa e abandona (queima) tudo. Não fosse assim, sairia muito mais caro pilantrar nesse nível.

Mas veja pelo lado bom… Ao menos você vai manter o cérebro a fritar de saudável, tendo que exercitá-lo a todo o instante.

Tá na hora de ligar para aquela sua tia distante. Sim, para pedir que ela mande umas garrafinhas de Fosfozol e Biotônico Fontoura…

Assuntos: #, #, #, #, #

Mais textos de | Twitter

  • T E Lawrence

    Já está difícil de lembrar as de 8… as de 12 então!
    E, o pior, não é só a senha, tem-se de lembrar do userid também… para serviços acessados esporadicamente, muitas vezes eu até me lembro da minha senha (de 6 caracteres), mas, e o user id?! é com o @NNNN.COM ou sem?! foi esse mesmo que eu usei nessa vez!?

    WTF, que vençam os hackers!

    Ah, excelente post!
    _______
    42

  • luizfelipestang

    Eu sempre pensei que com 10 digitos estava seguro, ja que a maioria das pessoas usava 6 ou 8. nao custa nada colocar mais 2 digitos para ficar com 12.

  • gutokiske

    Sempre que possível utilizo o máximo de caracteres permitidos para criar senhas, minha conta do Windows no trabalho tem 28 digitos …. acho que levaria um bom tempinho para descobrirem ela rs

  • http://ceticismo.net Pryderi

    “Entretanto, toda vez que for possível utilizar caracteres complexos – adicionalmente aos algarismos romanos comumente aceitos – você deve sempre procurar inserir alguns deles no meio. Das 26 letras do alfabeto gregoriano/romano e as 95 letras e símbolos contidos em um teclado QWERTY padrão, apenas uma fração normalmente não maior do que 35% delas é utilizada para ’senhar’ a informação.”
    .
    Algarismos romanos? Tipo IVXCLDM ? Eu pensava que usávamos algarismo hindu-arábicos. Pelo menos, minhas senhas bancárias são assim. Outra, o alfabeto gregoriano e romano não possuem 26 letras. O alfabeto romano possui 20 letras. JKUWYZ inexistem no latim clássico, só mais tarde que J e o U passaram a ser usados, qdo o Império estava em declínio. KWY jamais fizeram (e ainda não fazem) parte do latim. Outrossim: o que é alfabeto gregoriano? Algo estipulado pelo Papa Gregório I? Pq se for alfabeto grego temos muitos problemas, já que a letra minúscula ômega (ω) não tem nada a ver com dáblio (W). Queira desculpar, mas não vi o menor sentido neste parágrafo.

  • Max Power

    Você não está confundindo dígidos com caracteres?

    Combinações de oito dígitos resultam em 100.000.000 de combinações possíveis. Combinações de caracteres (letras e números) do meu teclado resultam em 2.821.109.907.456 de combinações possíveis, evidentemente muito mais difícil de quebrar com força bruta. Isso é vinte e oito mil vezes mais difícil de quebrar.

  • Max Power

    dígitos

  • criscmaia

    Nao vejo a hora de fazer reconhecimento com iris.
    Enquanto isso me contento com reconhecimento facial e impressao digital, mas bem que podia ser mais popular

  • http://www.facebook.com/profile.php?id=100000083193191 Felipe Lorenz

    Acho interessante esses artigos. Assustam o povo até não poderem mais. Acredito sim que alguem possa descobrir a minha senha em poucas horas. Mas eu pergunta: e daí? Quero dizer, o que pode acontecer se acessarem a minha conta no Twitter? Facebook? Orkut? e tantos outros serviços que tenho cadastro por aí?

    Os que realmente me importo, como e-mail, banco, etc eu cuido bem… mas do resto não me incomodo. Senha do windows? Se acessarem, vão conseguir um monte de arquivos bagunçados, programas perdidos e alguns jogos.

    Acredito que esse tipo de artigo seja mais direcionado a administradores em geral, mas esses com certeza (quero acreditar nisso) já possuem senhas bem fortes!!

  • Max Power

    @criscmaia, até alguém clonar o seu olho…

  • http://www.lordpinguim.blogspot.com lordtux

    @Max Power, Ou arranca-lo!

  • criscmaia

    @lordtux, ok. ok. eu vou decorar minha senha de 12 digitos oO

  • Xeiling

    @criscmaia, O mais acessivel de se fazer atualmente seria por voz.
    Ja tem vários programas quando instaladas no seu PC so ligam atraves de sua voz e senha.
    E não acho que seje muito seguro mesmo assim…

  • http://ceticismo.net Pryderi

    @criscmaia, minha mente escatológica pensou uma coisa bizarra que é melhor eu manter silenciada.

  • http://ceticismo.net Pryderi

    @Xeiling, daí vc pega um resfriado, fica com voz de pato (como eu estou agora) e não conseguirá logar em nada.

  • criscmaia

    @Pryderi, diga Mr André, diga.

  • criscmaia

    @Xeiling, não me sinto bem conversando com eletronicos por enquanto, por isso que não uso os recursos do meu Android, ainda.

  • http://cid-db57d0f7f8dc02fb.spaces.live.com/ Paulo Eduard

    Mais uns 3 anos, e estaremos falando em mais de 20 caracteres

  • marcoscs

    12 dígitos?
    Po, assim fica difícil, é só eu ou tem mais alguem que pensa que essa escalada de senhas e algoritmos para quebra-las está tornando nossas vidas digitais um inferno?

  • http://www.facebook.com/biasuz Gustavo Biasuz

    Comprei o 1password pra mac e iphone… faz tempo que não me preocupo com senhas.
    Todas com 25 digitos… alfanuméricos e simbolos.
    Acho que essas ainda vão demorar pra quebrar.

    Sem contar que a base de dados fica no dropbox! então mesmo sem meu mac/pc/iphone tenho acesso ao banco de dados.

    Alguem ai ja experimentou o software?

  • http://meiobit.com/author/Max_Laguna/ Emanuel Laguna

    Só lembro que “placa gráfica” é um falso cognato, termo usado em traduções imprecisas à la Google Translator (embora seja até um termo popular entre leigos por conta do abuso dessas péssimas traduções), para placa de vídeo.
    8-)
    Seja como for, os atuais processadores gráficos conseguem obter um desempenho em cálculos na casa dos bilhões de operações em ponto flutuante, o que realmente seria bastante útil para quem quer desvendar alguma senha na força bruta.

  • danieldhdds

    Os Transformers conseguem decifrar uma senha de 12 dígitos em 2.3 segundos. \o/

  • danieldhdds
  • danieldhdds

    @danieldhdds, (…) *descobriram o nº ‘pi’ (…)

    A little mistake!!!

  • qiqgclub

    Eu não consigo lembrar de nenhum site ou sistema decente que eu acesse que não trave o login depois da terceira tentativa errada em um intervalo X.

    Sem contar o recaptcha que vai estar presente em alguns desde o ínicio e em outros depois do primeiro erro. O sistema de login que cair para uma tentativa de força bruta simplesmente merece a situação.

  • juliocesar757

    Podem ficar tranquilos que os ladrões ou FBI ou o raio que o parta não vão usar super computares e algoritmos avançados para quebrar senhas de simples mortais como nós.

    Obs.: que título mais bocó é desse tópico né?
    Obs.2: eu sei. Virei especialista em reclamar de títilos no MB, mas é preciso…

  • Rhephius

    Criação de senhas longas é complicado. Mas tem um macete que aprendi com o uso de vários jogos Onlines que joguei. Criar um padrão de senha mais alguma coisa referente à ferramenta que você está acessando com essa senha.

    Dar um exemplo simples.

    Crie o padrão usando as informação de uma pessoa ilusória:
    Nome: João Agusto Andrade
    Nascimento: 22/07/1989

    Senha: JoAa@2207mB

    JoAa << nome da criança
    2207 << dia e mês do nascimento/aniverssário
    mB << Meio Bit

    Simples não? E muito fácil de decorar e extremamente difícil de descobrir!

  • DSousa

    Existem alguns métodos pra memorizar senhas de diferentes contas, como criar senhas derivadas de uma senha base, que vai variando de acordo com o nome do site/serviço usado. Isso facilita MUITO a memorização. Mas cada um tem que usar a criatividade na hora de decidir de que maneira essa derivação vai acontecer, ou seja, de que maneira o nome do do serviço vai alterar sua senha. Se for uma maneira fácil de supor, perder duas senhas pode significar perder todas as outras.

    Aqui alguns links interessantes sobre a elaboração de senhas seguras:
    http://lifehacker.com/5516188/shift-your-fingers-one-key-to-the-right-for-easy+to+remember-but-awesome-passwords
    http://lifehacker.com/5505400/how-id-hack-your-weak-passwords

  • http://profiles.yahoo.com/fernandgoncalves fernandgoncalves

    Paz e Bem, Comunidade.

    Criei uma pasta onde guardo todos os Logins e senhas que sou obrigado a fazer. Inclusive este do MB. Mesmo assim me aborrece muito ter que recorrer a essa pasta sempre que a memória falha.

    Acho um saco ter que logar em cada sitio interessante que me cobra esse procedimento.

    E por falar em hackers o artigo me faz lembrar que uma das coisas que esse pessoal mais preza é a Liberdade e o direito de preservar seus rastros da curiosidade alheia. Se não estou enganado hacker que é hacker (pessoa que ama a lberdade de usar a Tecnologia como melhor lhe aprouver ) não aprova essa inda de login e senha em todo sitio qu vá!!!

    Pergunt: Qual seria a ‘alternativa’ ao login e senha a cada sitio da vida.

  • http://bilgi.com.br/mr Moisés Robles

    Solução para o problema das senhas “à la brasilis”: Proibir/Taxar as placas de vídeo de forma que ninguém possa comprar uma :P .
    .
    Esse negócio das senhas é complicado, eu já tive muita dor de cabeça pra explicar pra um usuário o que é a complexidade mínima de senhas do Windows ou que se o login de rede dele é ronaldo.carvalho a senha carvalho123 não vale.

  • http://meiobit.com/author/Max_Laguna/ Emanuel Laguna

    @Moisés Robles, isso aí quase aconteceu. :-?

  • http://sanpicciarelli.co.cc San Picciarelli

    @juliocesar757, Obs.2: te asseguro que será um trabalho ingrato e não recompensador… :)

  • http://sanpicciarelli.co.cc San Picciarelli

    @Gustavo Biasuz, Eu uso nos dois tbem, mas só para guardar senhas de clientes… funfa nota 11. Seria a minha opção/recomendação para OSX.

  • thE Masterkey Blaster

    @lordtux,
    #demolitionmanfeelings…. Simon Phoenix diz: Ursinho Tedy

  • Hawk

    @fernandgoncalves, Guarde tudo no KeePass.

    Eu decorei apenas uma senha, que é a que uso para abrir o KeePass, as demais estão todas guardadas nele.

  • luizfelipestang

    @Moisés Robles, a minha veio do paraguay. o governo feudal não ficará com metado do que eu produzo.