Um pouco de tudo e nada ao mesmo tempo.

Remembering passwords

Image by hardeep.singh via Flickr

Hoje em dia diz-se necessário criar uma senha do tipo “f34_@jk#* Ad89$!” (sim, também tem um espaço) para que a senha seja considerada segura. Enquanto isso, várias pessoas ainda tem uma senha com o texto “senha” (é verdade!). A combinação de letras, números, caracteres especiais e espaço já não é tão segura quanto se imaginava antes.

Pra fazer um exercício rápido, imagine a senha “fjR8n” pode ser quebrada pelo PC em até 24 segundos!! Com um nível de tentativas de 9.8 milhões de tentativas por segundo é um nível razoável. Lembre-se, é uma senha de 5 caracteres apenas. Esta mesma senha pode ser quebrada em menos de 1 segundo pois uma placa de vídeo básica (tá, não tão básica no Brasil) como a ATI Radeon 5770 pode fazer 3.3 bilhões de tentativas por segundo.

As placas de vídeo (GPUs) são extremamente boas nesse tipo de trabalho. E a combinação preço/performance foi alterada dramaticamente nos últimos anos, fazendo com que jogos com qualidades que pareciam impossíveis a 3 anos atrás sejam perfeitamente possíveis hoje no seu computador.

Neste teste, o autor do artigo original (link abaixo) utiliza-se de uma placa de vídeo Radeon 5770  e usou um programa gratuíto chamado ighashgpu to para executar um programa de “força bruta” (brute-force)  que quebra as senhas na GPU. Para fazer a comparação com a CPU o autor usou um programa chamado “Cain & Abel”. Não vou fazer o link para os programas por motivos óbvios.

Fazendo este teste contra senhas de uma rede NTLM (Windows Network Lan Manager) foi que o autor deste estudo conseguiu fazer as quebras citadas acima. 24 segundos para a senha “fjR8n” no PC e menos de 1 segundo usando a placa de vídeo.

Aumente a senha para 6 caracteres (pYDbL6) e a CPU demora 1 hora e meia enquanto a GPU quebra a senha em apenas 4 segundos. Indo além, para 7 caracteres (fh0GH5h) e a CPU iria precisar ficar trabalhando por 4 dias e a GPU precisaria de apenas 17 minutos e 30 segundos. Se for adicionados símbolos para criar algo como “F6&B is” (tem um espaço ali) então a CPU precisaria de 75 dias, a GPU levaria 7 horas.

Agora imagine que alguém conseguiu fazer com que seja obrigatório uma senha de pelo menos 9 letras, maiúsculas e minúsculas, com símbolos, geradas aleatoriamente. Se esta pessoa já não foi enforcada (ou demitida) no final do dia e as senhas foram alteradas então usando apenas a CPU precisariamos de 43 anos para quebrar esta senha e usando a GPU precisariamos de 48 dias.

O que isso nos diz? Bem, para que o manto da realidade desça sobre nós temos que lembrar que senhas longas e complexas já eram e que obrigar os usuários a lembrar destas senhas só os fará escrever estas senhas em um papel que estará grudado no monitor ou dentro da carteira. A única forma de resolver isto é criar um sistema totalmente novo de como os usuários irão acessar suas contas. Uma combinação de senha, com o TPM (Trusted Platform Module, um chip de criptografia presente em alguns computadores hoje em dia) com uma autenticação biométrica mais uma senha ou alguma outra forma totalmente nova ainda não pensada.

A verdade é que as senhas que usamos hoje em dia estão com os dias contados.

0000—-0000—-0000—-0000—-0000—-0000—-0000—-0000—-0000—-0000—-0000

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

%d blogueiros gostam disto: