Segurança & Auditoria
de Sistemas
AULA 04
Eduardo Silvestri
www.eduardosilvestri.com.br
Senhas
A senha é o nível de identificação enormemente
utilizado em sistemas que lidam com
informações particulares. Ela se torna muitas
vezes o único vínculo de segurança entre o
usuário e o sistema. Por isso mesmo, é
indispensável pensar seriamente na escolha de
suas senhas, o que muitas vezes impedirá que
pessoas mal intencionadas tragam
conseqüências desagradáveis ao acessarem
dados que só você deveria possuir acesso.
Senhas
Elaborar bem suas senhas, de forma que sejam
simples de usar no dia a dia e ao mesmo tempo
difíceis de serem quebradas por alguém
interessado em fazê-lo, é a melhor maneira de
reforçar o cadeado que você dispõe para
proteger seus dados de mãos estranhas e
objetivos nefastos.
Senhas
Pensar previamente sobre o que digitar num
campo de cadastro geralmente é uma boa idéia,
pois lhe dará mais tempo para a utilização de
técnicas na criação e memorização de suas
senhas, algumas delas listadas nessa
apresentação.
Senhas
Muitos truques podem ser utilizados na tarefa de
criação do "password" perfeito.
Concomitantemente existem regras gerais e
condutas que devem ser sempre seguidas à risca.
Uma delas, por exemplo, é nunca anotar nada
referente à sua senha, sendo o processo de
memorização puramente mental. Uma vez que
senhas são "assinaturas" do usuário que as
utilizam, devem somente fazer parte dele, para
que somente ele seja capaz de acessar suas
informações.
Senhas
O contexto onde ela será utilizada é algo
igualmente importante, já que é muito provável
que você tenha vários lugares onde é necessária
a autenticação, e é muito difícil lembrar-se de
todos eles. Uma bom truque é criar sua senha a
partir de uma particularidade do lugar para onde
ela foi escolhida junto de uma "assinatura" sua.
Dessa forma, a senha se torna ao mesmo tempo
algo pessoal e de simples memorização.
Senhas
Também é necessário medir a importância dos
lugares onde você se autentica. O acesso à sua
conta no banco é bem mais delicado que o
acesso ao conteúdo personalizado de seu site de
notícias. A regra é que a dificuldade na
descoberta de uma senha seja proporcional ao
controle e às informações fornecidas a quem
consegue se autenticar.
Senhas
No caso do site de notícias, talvez a única
possibilidade do usuário dentro do sistema seja
cancelar o recebimento de notícias por e-mail,
enquanto que na conta de banco a história é
diferente.
Senhas
O conceito de uma senha bem construída está
diretamente ligada à facilidade de descobri-la, seja
utilizando recursos computacionais ou informações
pessoais do usuário. Na verdade, o primeiro
pensamento que se deve ter, é quanto ao valor da
informação que está sendo protegida pela senha. Fica
evidente, que não será necessária uma senha
complicadíssima para proteger o acesso à um
computador que mantém apenas documentos escolares,
contudo, passa a ser fundamental para proteger o
acesso à sua conta bancária.
Senhas
A manutenção de senhas é algo simplesmente
indispensável. Impede o uso de força bruta(1)
por possíveis crackers e auxilia a mente na
tarefa de memorização, sempre mantendo-a em
processo de produção. Atente sempre para o
nível de importância dos lugares em que
pretende trocar de "password". Muitas vezes
pode não valer a pena, enquanto em outras pode
impedir um ataque iminente.
Senhas
Por fim, sempre ao definir uma nova senha, como
prova final, tente adivinhá-la sabendo o que os
outros sabem e podem saber a seu respeito. Se
não conseguir, poderá utilizá-la com
tranqüilidade por algum tempo. Se, no entanto,
admitir que pessoas realmente empenhadas
poderão uma hora colocar em risco a
privacidade de seus dados, comece de novo o
processo de criação. Nunca é tarde para
aumentar a segurança de seus cadeados pessoais.
O Difere uma boa senha de uma ruim
Prepare-se para mais uma chata explicação
técnica sobre invasão de sistemas. Vamos citar o
exemplo dos sistemas Unix: todo usuário deste
sistema precisa de uma senha. Alguns usuários
possuem níveis maiores, onde podem fazer
muitas coisas; outros, níveis menores, onde não
podem fazer quase nada.
O Difere uma boa senha de uma ruim
Você sendo o responsável por um sistema desses,
jamais daria um tipo de acesso "liberal demais"
para um irresponsável (que não tem
responsabilidades para com o sistema), mas
todos eles possuem acesso ao arquivo de senhas,
que é um arquivo geral que contém as senhas de
todos os usuários. Então, o fulano irresponsável
que possui um nível baixo pode pegar uma
cópia deste arquivo e tentar descobrir a senha de
usuários com um nível maior.
O Difere uma boa senha de uma ruim
A senha, evidentemente, é codificada e não pode ser lida
de forma alguma depois da codificação. Não existe
maneira de se recuperar a senha original apenas com o
resultado de sua codificação no arquivo de senhas.
Então, como o sistema faz para saber se a senha que o
usuário digitou está correta? Toda vez em que o
usuário tentar entrar no sistema, a senha que ele digitar
é codificada, e o resultado comparado com o que
consta no arquivo de senhas. Se for igual (o cálculo de
codificação é sempre o mesmo) então o acesso àquele
usuário é liberado.
O Difere uma boa senha de uma ruim
Piorou! Como é então que o fulano vai fazer para
descobrir as senhas de outros usuários? Simples:
ele codifica uma palavra, se o resultado for
igual ao código constante do seu arquivo de
senhas, ele sabe, por referência, qual a palavra
(senha) que deve ser utilizada. Então ele deve
tentar várias palavras até encontrar alguma que
se encaixe na codificação? Exatamente! E é
aqui que entramos no mérito de "como escolher
sua senha". Vejamos....
O Difere uma boa senha de uma ruim
Imagine se todas as senhas fossem numéricas, de
apenas 4 dígitos? Seria muito simples criar um
arquivo que contivesse todas as combinações
possíveis dos números em 4 posições diferentes.
Pronto o arquivo, codifica-se cada uma delas,
depois é só comparar para ver qual a senha de
cada usuário e correr para o abraço.
O Difere uma boa senha de uma ruim
Acontece que nenhum sistema sério utiliza regras
tão falhas para as senhas. Muitos, inclusive,
proíbem até o uso de palavras que existam no
dicionário. Assim se evita que algum fulano
codifique um arquivo contendo palavras do
dicionário e descubra as senhas. Agora, você já
deve concordar conosco que, quanto maior em
comprimento e mais variados forem os
caracteres da senha, melhor. Não?
O Difere uma boa senha de uma ruim
Mas imagine só: o que é maior, um arquivo contendo a
combinação de todas as letras minúsculas formando
palavras de no máximo 6 letras, ou um arquivo
contendo a combinação de todas as letras minúsculas,
maiúsculas (são diferentes), números, e símbolos
(como vírgula, ponto, hífen, asterisco etc.) formando
palavras de no máximo 8 letras? Assuma que cada letra
deste arquivo ocupará 1 byte, que tamanho ele terá?
Sem falar no tempo que se leva na criação, codificação
e comparação com o arquivo de senhas. Todo o
processo é automatizado, mas mesmo assim leva muito,
muito tempo.
O Difere uma boa senha de uma ruim
Conclusão: sua senha deve ser absurdamente
complexa, JAMAIS igual ao seu login, NUNCA
a placa do seu carro, NEM PENSAR em data de
nascimento, ela não pode ser lembrada (pelos
outros, claro!). Ela deve beirar o limite do
absurdo.
Senhas
DICAS AUXILIARES
Use senhas alfanuméricas - Isso irá dificultar o
uso de força bruta e outros processo
semelhantes de quebra. Enquanto tentativas
alfabéticas e numéricas demandam cada uma
alguns dias de trabalho, a mistura entre as duas
pode fazer com que um cracker fique meses à
espera de uma senha válida.
Senhas
DICAS AUXILIARES
Utilize as letras iniciais de uma frase que você
gosta - Dessa forma a senha final pode se tornar
simples a você e complicada ao resto do mundo.
Frases como "até que a morte os separe"
produziria a senha "aqamos". Para digitá-la,
você só precisa se lembrar da frase que a
originou. Utilize combinações com outras
técnicas.
Senhas
DICAS AUXILIARES
Memorize assinaturas para utilizar em vários
lugares - As técnicas aglutinadas de assinatura e
particularidade do local torna sua senha pessoal
e intransferível. Como exemplo, suponha que
você tivesse a assinatura "era46" e precisasse de
uma senha para seu disco virtual. Uma boa
escolha poderia ser "virtera46disc".
Senhas
DICAS AUXILIARES
Nunca utilize senhas idênticas em mais de um
lugar importante - Uma vez que exista alguém
interessado em quebrar a segurança de seus
dados, ela poderá trabalhar paralelamente em
todos os lugares onde você deve se autenticar
para conseguir alguma pista da senha que
realmente necessita. Não copiar senhas torna o
trabalho dessa pessoa inútil.
Senhas
GLOSSÁRIO
(1) força-bruta. Processo linear de quebra de
senhas que se caracteriza pela tentativa e erro.
Devido ao tempo gasto nessa tarefa, senhas
muito grandes tornam-se praticamente
impossíveis de serem quebradas por esse
método.
Dúvidas
Perguntas
1- Qual a importância da senha em sistema de Segurança ?
2- Quais regras devem ser utilizadas na criação de Senhas?
3- Crie 5 senhas seguras utilizando o processo ?
Publicações
-Mapa Conceitual.
Dúvidas
www.eduardosilvestri.com.br
Eduardo Silvestri
[email protected]
Download

POLSEG-Aula04 - 126 Kb