senhasMesmo representando uma única combinação em 6,4 quartilhões de possibilidades, a chamada senha forte de computador (composta de oito caracteres alfanuméricos escolhidos nas 94 chaves de um teclado) já pode ser facilmente destruída, num prazo de apenas 5 horas, e utilizando-se uma máquina que custa não mais de US$ 34 mil. É com exemplos desse tipo que o especialista norte-americano em segurança de acesso John Richardson procura demonstrar às empresas que o atual modelo de senhas já não garante segurança para as informações e aplicações críticas dos negócios.

Segundo o especialista, mesmo não possuindo máquinas poderosas (e cada vez mais acessíveis) para a quebra de senhas fortes, os hackers também já dispõem hoje de computação colaborativa – também chamada ‘multitude-hacking’ – que torna ainda mais vulnerável a integridade das senhas. Pela avaliação de Richardson, além de perder boa parte de sua consistência estatística, as senhas alfanuméricas perderam o poder de proteção principalmente em função do modo como são usadas, de forma repetida e generalizada pelo portador. Ou seja, além de se manterem inalteradas durante longos períodos, as mesmas senhas que abrem acesso a uma aplicação importante da empresa são empregadas pelo usuário para acessar inúmeras outras contas, inclusive de caráter banal, em áreas de alta insegurança.

O executivo aponta ainda fatores, como o curioso hábito dos usuários globais, de construírem senhas com motivação e sintaxe próximas de um padrão e sobre o costume irresistível que ainda parece haver entre usuários em compartilhar suas senhas em algum momento. Em lugar do modelo atual de construção manual de senhas fixas e reutilizáveis por longo tempo, o executivo da Lieberman prevê que as grandes corporações irão rapidamente migrar para um sistema randômico de geração de senhas aleatórias e com algoritmos muito mais sofisticados. Batizado de Enterprise Random Password Manager (ERPM™), o novo modelo proposto pela Lieberman já está sendo empregado no Brasil por bancos, operadoras de telecom e pela maior empresa local de cadastro de crédito ao consumidor. Sua distribuição e implantação no País é feita pela NetBR.

Sua implementação compreende o emprego de senhas geradas dinamicamente (não controladas pelo usuário, mas por uma inteligência algorítmica) em combinação com uma nova sistemática de acesso na qual, ao invés de usar sempre a mesma senha para acessar um dado ou aplicação, o usuário passa acessar uma espécie de “tesouro de senhas” para obter a licença de acesso (segura e autenticada) cada vez que for usar o recurso.

Outras técnicas apontadas pelo especialista ajudam a manter um controle ainda mais efetivo. Uma delas é a “dupla custódia” (senha particionada em duas ou mais partes, exigindo a ação de mais um usuário para se obter um acesso). A outra é o “impersonation“, que é a combinação apenas temporária da relação usuário/senha, sendo que a senha fica automaticamente inativa após o uso.

Leia Também:

Senhas com imagens são promissoras, afirma especialista

Google agora permite que usuários Android mudem senha remotamente

Dica: Como alterar a senha de um volume criptografado no Mac OS X

Fonte: TI Bahia