Segurança & Auditoria de Sistemas AULA 04 Eduardo Silvestri www.eduardosilvestri.com.br Senhas A senha é o nível de identificação enormemente utilizado em sistemas que lidam com informações particulares. Ela se torna muitas vezes o único vínculo de segurança entre o usuário e o sistema. Por isso mesmo, é indispensável pensar seriamente na escolha de suas senhas, o que muitas vezes impedirá que pessoas mal intencionadas tragam conseqüências desagradáveis ao acessarem dados que só você deveria possuir acesso. Senhas Elaborar bem suas senhas, de forma que sejam simples de usar no dia a dia e ao mesmo tempo difíceis de serem quebradas por alguém interessado em fazê-lo, é a melhor maneira de reforçar o cadeado que você dispõe para proteger seus dados de mãos estranhas e objetivos nefastos. Senhas Pensar previamente sobre o que digitar num campo de cadastro geralmente é uma boa idéia, pois lhe dará mais tempo para a utilização de técnicas na criação e memorização de suas senhas, algumas delas listadas nessa apresentação. Senhas Muitos truques podem ser utilizados na tarefa de criação do "password" perfeito. Concomitantemente existem regras gerais e condutas que devem ser sempre seguidas à risca. Uma delas, por exemplo, é nunca anotar nada referente à sua senha, sendo o processo de memorização puramente mental. Uma vez que senhas são "assinaturas" do usuário que as utilizam, devem somente fazer parte dele, para que somente ele seja capaz de acessar suas informações. Senhas O contexto onde ela será utilizada é algo igualmente importante, já que é muito provável que você tenha vários lugares onde é necessária a autenticação, e é muito difícil lembrar-se de todos eles. Uma bom truque é criar sua senha a partir de uma particularidade do lugar para onde ela foi escolhida junto de uma "assinatura" sua. Dessa forma, a senha se torna ao mesmo tempo algo pessoal e de simples memorização. Senhas Também é necessário medir a importância dos lugares onde você se autentica. O acesso à sua conta no banco é bem mais delicado que o acesso ao conteúdo personalizado de seu site de notícias. A regra é que a dificuldade na descoberta de uma senha seja proporcional ao controle e às informações fornecidas a quem consegue se autenticar. Senhas No caso do site de notícias, talvez a única possibilidade do usuário dentro do sistema seja cancelar o recebimento de notícias por e-mail, enquanto que na conta de banco a história é diferente. Senhas O conceito de uma senha bem construída está diretamente ligada à facilidade de descobri-la, seja utilizando recursos computacionais ou informações pessoais do usuário. Na verdade, o primeiro pensamento que se deve ter, é quanto ao valor da informação que está sendo protegida pela senha. Fica evidente, que não será necessária uma senha complicadíssima para proteger o acesso à um computador que mantém apenas documentos escolares, contudo, passa a ser fundamental para proteger o acesso à sua conta bancária. Senhas A manutenção de senhas é algo simplesmente indispensável. Impede o uso de força bruta(1) por possíveis crackers e auxilia a mente na tarefa de memorização, sempre mantendo-a em processo de produção. Atente sempre para o nível de importância dos lugares em que pretende trocar de "password". Muitas vezes pode não valer a pena, enquanto em outras pode impedir um ataque iminente. Senhas Por fim, sempre ao definir uma nova senha, como prova final, tente adivinhá-la sabendo o que os outros sabem e podem saber a seu respeito. Se não conseguir, poderá utilizá-la com tranqüilidade por algum tempo. Se, no entanto, admitir que pessoas realmente empenhadas poderão uma hora colocar em risco a privacidade de seus dados, comece de novo o processo de criação. Nunca é tarde para aumentar a segurança de seus cadeados pessoais. O Difere uma boa senha de uma ruim Prepare-se para mais uma chata explicação técnica sobre invasão de sistemas. Vamos citar o exemplo dos sistemas Unix: todo usuário deste sistema precisa de uma senha. Alguns usuários possuem níveis maiores, onde podem fazer muitas coisas; outros, níveis menores, onde não podem fazer quase nada. O Difere uma boa senha de uma ruim Você sendo o responsável por um sistema desses, jamais daria um tipo de acesso "liberal demais" para um irresponsável (que não tem responsabilidades para com o sistema), mas todos eles possuem acesso ao arquivo de senhas, que é um arquivo geral que contém as senhas de todos os usuários. Então, o fulano irresponsável que possui um nível baixo pode pegar uma cópia deste arquivo e tentar descobrir a senha de usuários com um nível maior. O Difere uma boa senha de uma ruim A senha, evidentemente, é codificada e não pode ser lida de forma alguma depois da codificação. Não existe maneira de se recuperar a senha original apenas com o resultado de sua codificação no arquivo de senhas. Então, como o sistema faz para saber se a senha que o usuário digitou está correta? Toda vez em que o usuário tentar entrar no sistema, a senha que ele digitar é codificada, e o resultado comparado com o que consta no arquivo de senhas. Se for igual (o cálculo de codificação é sempre o mesmo) então o acesso àquele usuário é liberado. O Difere uma boa senha de uma ruim Piorou! Como é então que o fulano vai fazer para descobrir as senhas de outros usuários? Simples: ele codifica uma palavra, se o resultado for igual ao código constante do seu arquivo de senhas, ele sabe, por referência, qual a palavra (senha) que deve ser utilizada. Então ele deve tentar várias palavras até encontrar alguma que se encaixe na codificação? Exatamente! E é aqui que entramos no mérito de "como escolher sua senha". Vejamos.... O Difere uma boa senha de uma ruim Imagine se todas as senhas fossem numéricas, de apenas 4 dígitos? Seria muito simples criar um arquivo que contivesse todas as combinações possíveis dos números em 4 posições diferentes. Pronto o arquivo, codifica-se cada uma delas, depois é só comparar para ver qual a senha de cada usuário e correr para o abraço. O Difere uma boa senha de uma ruim Acontece que nenhum sistema sério utiliza regras tão falhas para as senhas. Muitos, inclusive, proíbem até o uso de palavras que existam no dicionário. Assim se evita que algum fulano codifique um arquivo contendo palavras do dicionário e descubra as senhas. Agora, você já deve concordar conosco que, quanto maior em comprimento e mais variados forem os caracteres da senha, melhor. Não? O Difere uma boa senha de uma ruim Mas imagine só: o que é maior, um arquivo contendo a combinação de todas as letras minúsculas formando palavras de no máximo 6 letras, ou um arquivo contendo a combinação de todas as letras minúsculas, maiúsculas (são diferentes), números, e símbolos (como vírgula, ponto, hífen, asterisco etc.) formando palavras de no máximo 8 letras? Assuma que cada letra deste arquivo ocupará 1 byte, que tamanho ele terá? Sem falar no tempo que se leva na criação, codificação e comparação com o arquivo de senhas. Todo o processo é automatizado, mas mesmo assim leva muito, muito tempo. O Difere uma boa senha de uma ruim Conclusão: sua senha deve ser absurdamente complexa, JAMAIS igual ao seu login, NUNCA a placa do seu carro, NEM PENSAR em data de nascimento, ela não pode ser lembrada (pelos outros, claro!). Ela deve beirar o limite do absurdo. Senhas DICAS AUXILIARES Use senhas alfanuméricas - Isso irá dificultar o uso de força bruta e outros processo semelhantes de quebra. Enquanto tentativas alfabéticas e numéricas demandam cada uma alguns dias de trabalho, a mistura entre as duas pode fazer com que um cracker fique meses à espera de uma senha válida. Senhas DICAS AUXILIARES Utilize as letras iniciais de uma frase que você gosta - Dessa forma a senha final pode se tornar simples a você e complicada ao resto do mundo. Frases como "até que a morte os separe" produziria a senha "aqamos". Para digitá-la, você só precisa se lembrar da frase que a originou. Utilize combinações com outras técnicas. Senhas DICAS AUXILIARES Memorize assinaturas para utilizar em vários lugares - As técnicas aglutinadas de assinatura e particularidade do local torna sua senha pessoal e intransferível. Como exemplo, suponha que você tivesse a assinatura "era46" e precisasse de uma senha para seu disco virtual. Uma boa escolha poderia ser "virtera46disc". Senhas DICAS AUXILIARES Nunca utilize senhas idênticas em mais de um lugar importante - Uma vez que exista alguém interessado em quebrar a segurança de seus dados, ela poderá trabalhar paralelamente em todos os lugares onde você deve se autenticar para conseguir alguma pista da senha que realmente necessita. Não copiar senhas torna o trabalho dessa pessoa inútil. Senhas GLOSSÁRIO (1) força-bruta. Processo linear de quebra de senhas que se caracteriza pela tentativa e erro. Devido ao tempo gasto nessa tarefa, senhas muito grandes tornam-se praticamente impossíveis de serem quebradas por esse método. Dúvidas Perguntas 1- Qual a importância da senha em sistema de Segurança ? 2- Quais regras devem ser utilizadas na criação de Senhas? 3- Crie 5 senhas seguras utilizando o processo ? Publicações -Mapa Conceitual. Dúvidas www.eduardosilvestri.com.br Eduardo Silvestri [email protected]