Segurança e senhas

Olá a todos. Recentemente um especialista em segurança, Fernando Cima, comentou em seu blog uma dúvida curiosa: o que é mais forte: uma senha pequena, mas complexa ou uma senha longa que usa caracteres simples, minúsculos? O texto é muito bom. A referência do artigo que ele selecionou também. Tanto que eu resolvi comentar lá e acabei escrevendo bastante, com alguma prova matemática embutida. Acabei de postar, mas ele deve aprovar nos próximos dias. Vejam o que eu concluí com o artigo dele, com o do Infoworld e com as minhas contas (início do comentário postado no blog do Fernando) Olá Cima, mto bom o post, gostei. Resolve, dentre outras coisas, um problema que incomoda muitos usuários, ainda mais os que não tem tanta experiência: a senha de 8 complexa caracteres. É realmente mais difícil memorizar uma senha complexa do que uma longa que seja mais simples. Só pra tornar o resultado do teste mais palpável, resolvi pedir ajuda pra minha namorada (que faz Mat. Aplicada/USP. Obrigado amor!) pra validar meu raciocínio: - Senha complexa: 94 caracteres possíveis, segundo link que você passou. Vou usar 100 pra facilitar as contas no meu exemplo, o que teoricamente deixa a senha complexa mais complexa ainda (até porque nem sei quais são esses 6 caracteres a mais...) - Senha simples: 26 caracteres (tô desconsiderando o cedilha). Usando esses dados, uma senha complexa de 8 caracteres tem, portanto, 100^8 = 10 quatrilhões. Uma simples de 11 caracteres tem 26^11 = pouco mais* que 3 quatrilhões. Só que, se você pegar 12 caracteres, esse número passa pra mais de 95 quatrilhões... e portanto a senha simples de 12 dígitos é só umas nove vezes e meia mais forte que a complexa de 8. No exemplo do artigo ele usa uma de 15, que passa de 1 sextilhão (nem sei se a palavra certa é essa). O desafio dele era, na verdade, uma complexa de 10 contra uma simples de 15, mas a de 10 daria 10 quintilhões, que continua sendo cerca de 16x mais fraca que a de 15. Ele sabia que a chance de perder os 100 dólares era pequena. No entanto, devemos tomar um certo cuidado. Incentivar senhas simples também pode complicar o trabalho se as senhas forem passphrases. Caso o programa usado pra quebrar a senha tenha um ótimo dicionário (nos termos da Física, um dicionário ideal =), o tempo pra se quebrar as senhas fica menor. Mesmo assim, o testador não tem como descobrir que a senha é uma passphrase, e um caractere fora do padrão dele complica tudo. Por outro lado, se tiver mais de um computador testando o hash, o tempo necessário para quebrar cai pela metade... e assim por diante quanto maior o número de computadores. Como vocês podem ver, as possibilidades de mudança no teste são grandes, e isso passa a não ter muita validade se você quiser levar em conta todas elas. Em resumo: senhas simples entre 15 e 17 caracteres são muito melhores do que as complexas de 8. Adicione à isso uma política de troca de senhas a cada dois meses, você estará "matematicamente seguro" contra o poder de processamento dos computadores dos dias de hoje. Abraços e parabéns. Essa vai pro meu blog também. -- Vinicius Canto MVP Visual Developer - Scripting MCP Windows 2000 Server, Windows XP e SQL Server 2000 Blog sobre Scripting: http://viniciuscanto.blogspot.com *pouco mais aqui foi uma ironia... qualquer arredondamento com números dessa ordem dá bastante diferença.

Categorias dessa postagem: ,

Comentários

Anônimo : Vinicius, tudo bem?

Seguinte, acompanho seu blog via Feed, mas ultimamente tenho percebido que tem acontecido alguns fatos estranhos, SEMPRE que tu posta um novo post, eu, via feed, recebo além desse ultimo, recém postado, mais uns 10 anteriores, postados por ti a muito tempo atrás.

Só uma dica ok? Continue com suas dicas, elas são de grande valia.

Obrigado,
Tarcisio Jr. [12/11/06 13:32 - link]

Vinicius Canto : Olá,

vou pesquisar sobre o assunto e posto aqui... eu também acompanho meu blog via RSS e percebi o problema. Talvez um email pra equipe do Blogger resolva nosso problema.

Obrigado! [12/11/06 19:20 - link]

Vinicius Canto : A propósito: acompanho todos meus feeds a partir do Google Reader. Nele tem uma opção que marca todos como lidos... procure uma opção semelhante no seu RSS reader como solução temporária pro problema...


Vinicius [12/11/06 19:24 - link]

Vinicius Canto : Descobri. O problema era um truque que eu usava no Blogger.

Uma das coisas usadas pelos sites de busca (leia-se Google, Live Search e Yahoo) é o nome do arquivo e o título da página. O que eu fazia era criar o post com palavras-chave fortes (boas pra serem buscadas na net) e depois dar um update, trocando pra um título mais longo e bonito.

O problema é que quando a gente faz o update, ele força os clientes que acessam pelo feed a baixar tudo novamente...

Enfim, vou parar de fazer isso... =(


Mas obrigado por me lembrar disso. Pensei que era só comigo e nem dei bola.


[]s,


Vinicius [12/11/06 21:36 - link]

Anônimo : Fala Vinicios, fico feliz que tenha achado o problema,

Também utilizo o Google Reader por aqui, e fazia o procedimento que tu citou anteriormente ;)

E continue com o bom trabalho!

Tarcisio Jr. [13/11/06 08:24 - link]