Publicidade
RAFAEL GARCIA
da Folha de S.Paulo
Uma empresa que obriga funcionários a trocarem senhas de seus e-mails constantemente e os impede de usar palavras simples para se conectar não está necessariamente mais protegida contra ataques de piratas virtuais. Segundo estudo de um cientista brasileiro a serviço da Microsoft, esse procedimento tende a se tornar uma prática "datada" e nada oferece de sigilo contra as formas mais comuns de roubo de senhas.
O autor principal do trabalho, Dinei Florêncio --da unidade de pesquisas da gigante da informática em Redmond (EUA)--, chegou a essa conclusão após conduzir uma análise teórica considerando ataques eletrônicos a senhas com graus diferentes de complexidade.
Segundo ele e dois colegas que colaboraram no estudo, a prática de incentivar senhas difíceis tem como único resultado o aborrecimento dos usuários, que ficam com a memória sobrecarregada. A ideia de fazer a análise, aliás, surgiu daí.
"Percebemos que muitos dos conselhos de segurança dados por "experts" são baseados num modelo de risco que não corresponde mais à realidade", disse Florêncio à Folha, ressaltando que sua conclusão é pessoal, não a "posição oficial" da Microsoft. E seu trabalho também leva em conta, claro, que senhas fáceis demais -datas de aniversário, nomes de filhos etc.- são mesmo frágeis.
"A pergunta básica é se a conveniência adicional da senha complexa vale o "custo" adicional do inconveniente."
O trabalho de Florêncio considerou apenas ataques "on-line", mas com o risco "off-line" --bisbilhoteiros de gavetas e porta-lápis-- as senhas complicadas podem até ser um tiro pela culatra, porque incentivam o uso de lembretes em post-it soltos e cadernetas.
No estudo, os pesquisadores explicam que as combinações esdrúxulas de letras não evitam as duas formas mais comuns de roubo de senhas, o "phishing" e o "keylogging". Sites continuam obrigando ou recomendando usuários a complicar suas senhas, porém, temendo ataques eletrônicos de "força bruta", com programas criados para chutar uma combinação atrás da outra, até acertar.
Nos cenários simulados no estudo de Florêncio, porém, esse tipo de ataque é facilmente barrado com a chamada "regra das três tentativas", na qual o programa trava se o usuário erra os primeiros chutes. "O ponto básico é que, tipicamente, o acesso é limitado, e quem faz o ataque não pode tentar tantas senhas quanto quiser."
Segundo seu estudo, o que ajuda aí é tornar a identificação do usuário mais completa, sem apelar para senha complicada.
O trabalho, disponível no site research.microsoft.com, questiona se as senhas consideradas "fortes" servem para alguma coisa, afinal. "Senhas fortes são tão suscetíveis a roubo por "phishing" ou "keylogging" quanto fracas, e mudar a senha com frequência só ajuda se quem ataca é lento demais para explorar as credenciais [dados] colhidas", diz o estudo.