Tweet
As Senhas
Quando estamos conectados a um sistema informático, este pede, na maior parte do tempo, um identificador (em inglês login ou username) e uma senha/palavra-passe (em inglês password) para acessar. Este par identificador/senha forma assim a chave que permite obter um acesso ao sistema.
Diz Alvin Que:
Se o identificador é geralmente atribuído automaticamente pelo sistema ou pelo seu administrador, a escolha da senha é deixada freqüentemente à escolha do usuário. Assim, a maior parte dos usuários, considerando que não têm nada de realmente secreto a proteger, contenta-se de utilizar uma senha fácil a reter (por exemplo o seu identificador, o nome do seu cônjuge ou a sua data de nascimento).
Além disso, a partir de uma máquina da rede, a pessoa pode eventualmente obter um acesso à rede local, o que significa que pode elaborar uma cartografia dos outros servidores que estão lado a lado daquele a que obteve um acesso.
As senha dos usuários representam por conseguinte a primeira defesa contra os ataques contra um sistema, é a senha suficientemente protegida.
Métodos de ataque
A maior parte dos sistemas é configurada de maneira a bloquear temporariamente a conta de um utilizador após diversas tentativas de conexão infrutíferas. Assim, uma pessoa pode dificilmente infiltrar-se sobre um sistema desta maneira.
Por outro lado, um pirata pode servir-se deste mecanismo de auto-defesa para bloquear o conjunto das contas usuários a fim de provocar uma recusa de serviço.
Na maior parte dos sistemas, as senha são armazenadas de maneira codificada (“cifrado”) num ficheiro ou numa base de dados.
Quando uma pessoa obtém um acesso ao sistema e obtém este arquivo, é-lhe possível tentar desvendar a palavra-passe de um utilizador em especial ou o conjunto das contas usarias
Ataque por força bruta
Chama-se “ataque por força bruta” (em inglês “brute force cracking”, às vezes igualmente ataque exaustivo) à quebra de uma palavra-passe testando todas as senhas possíveis. Existe um grande número de instrumentos para cada sistema de exploração, permitindo realizar este tipo de operação. Estes instrumentos servem para os administradores sistema provarem a solidez das senhas dos seus utilizadores, mas o seu uso é desviado pelos piratas informáticos para se introduzirem nos sistemas informáticos.
Ataque por dicionário
Segundo Alvin existe o ataque por dicionário
Os instrumentos de ataque por força bruta podem demorar horas, ou mesmo dias, de cálculo mesmo com máquinas equipadas com processadores potentes. Assim, uma alternativa consiste em efectuar “um ataque por dicionário”. Com efeito, na maior parte das vezes, os utilizadores escolhem senhas que têm um significado real. Com este tipo de ataque, a palavra-passe pode ser desvendada em alguns minutos.
Ataque híbrido
O último tipo de ataques deste tipo, chamado “ataques híbridos”, visa particularmente as senhas constituídas por uma palavra tradicional seguida de uma letra ou de um número (como “marechal6”).
Existem, por último, meios que permitem ao pirata obter as senha dos utilizadores.
- Os key loggers (literalmente “registadores de teclas”), são softwares que, quando são instalados no posto do utilizador, permitem registar as teclas marcadas pelo utilizador. Os sistemas de exploração recentes possuem memórias tampão protegidas que permitem reter temporariamente a palavra-passe e acessíveis unicamente pelo sistema.
- A engenharia social consiste em explorar a ingenuidade dos indivíduos para obter informações. Um pirata pode assim obter a palavra-passe de um indivíduo fazendo-se passar por um administrador da rede ou, pelo contrário, chamar a equipa de apoio pedindo para reinicializar a palavra-passe sob o pretexto de uma emergência;
- A espionagem representa o mais velho dos métodos. Com efeito, às vezes basta que um pirata observe os papéis em redor do ecrã do utilizador ou sob o teclado para obter a palavra-passe. Além disso, se o pirata fizer parte do ambiente da vítima, uma simples espreitadela por detrás do seu ombro aquando da introdução da palavra-passe pode permitir-lhe vê-la ou adivinhá-la.
Escolha da senha
É facilmente compreensível que quanto mais uma palavra-passe é longa, mais difícil é de desvendar. Por outro lado, uma palavra-passe constituída unicamente por números será muito mais simples de desvendar que uma palavra-passe que contém letras:
Uma palavra-passe de 4 números corresponde a 10.000 possibilidades (104). Apesar deste número parecer elevado, um computador dotado de uma configuração modesta é um capaz de o descobrir em alguns minutos.
Será preferível uma palavra-passe de 4 letras, para a qual existem 456972 possibilidades (264). Na mesma ordem de idéias, uma palavra-passe que misture números e letras, ou mesmo maiúsculas e caracteres especiais, será ainda mais difícil de quebrar.
Senhas a evitar :
- o seu identificador
- o seu nome
- o seu nome ou o de um familiar (cônjuge, criança, etc.);
- uma palavra do dicionário;
- uma palavra ao contrário (os instrumentos de quebra de senha prevêem esta possibilidade);
- uma palavra seguida de um número, do ano corrente ou de um ano de nascimento (por exemplo “password1999”).
Política em matéria de senha
O acesso à conta de um só empregado de uma empresa pode comprometer a segurança global de toda a organização. Assim, toda a empresa que deseje garantir um nível de segurança excelente instituir uma política efetiva de segurança em matéria de senhas. Trata-se nomeadamente de impor aos empregados a escolha de uma palavra-passe conforme a certas exigências, como por exemplo
- Um comprimento mínimo da palavra-passe
- A presença de caracteres específicos
- Uma mudança de formatação (minúscula e maiúsculas)
Além disso, é possível reforçar esta política de segurança impondo uma expiração das senhas, a fim de obrigar os utilizadores a alterar regularmente a sua palavra-passe. Isto complica a tarefa dos piratas que tentam quebrar senha a longo prazo. Além disso, trata-se de um excelente meio para limitar a duração de vida das senha descobertas.
Por último, é recomendado aos administradores sistema a utilização de software para descobrir senhas internamente, a fim de provar a resistência das senhas dos seus utilizadores. No entanto, isto deve fazer-se no âmbito da política de segurança e deve ser escrito preto no branco, para ter a aprovação da direção e dos utilizadores.
Senha múltiplas
Não é bom ter só uma palavra-passe, assim como não seria bom ter como código do cartão bancário o mesmo código que para o seu telemóvel e que o código para entrar no edifício.
Por conseguinte, é aconselhável possuir várias senhas por categoria de uso, em função da confidencialidade do segredo que protege. O código de um cartão bancário deverá assim ser utilizado unicamente para este fim. Em contrapartida, o código PIN de um telemóvel pode corresponder ao do cadeado de uma mala.
Ref:ALVIN, Deorore.Passwords and attacks,Books 11 de Outubro 2009
Comment