terça-feira, 24 de agosto de 2010

Adeus 8, Bem-Vindo 12

Segundo o Georgia Institute of Technology, todos já entramos na nova era das senhas de 12 dígitos. Isso quer dizer que aquelas palavrinhas depravadas e secretas, que de tão vergonhosas jamais poderiam ser pronunciadas (senão apenas usadas como a sua senha), já eram. No seu lugar, o lance agora pode até ser uma senha-historinha…

Os pesquisadores empregaram clusters combinatórios por meios de processamento com hardware gráfico para crackear senhas de até oito dígitos… em menos de duas horas. Quando os mesmos procedimentos foram empregados em senhas com 12 dígitos, eles descobriram que o crack levaria no mínimo 17.134 anos para que a senha se ‘auto-confessasse’.

“A quantidade de dígitos de uma senha ou assinatura digital muitas vezes dita e compromete a segurança”, diz Joshua Davis, cientista da Georgia Tech Research Institute.

Aparentemente, a segurança da informação e a senha de 12 caracteres serão mesmo o padrão. Assume-se que um hacker com um nível mínimo de sofisticação consiga ‘tentar’ uma quantidade não inferior a um trilhão de combinações por segundo. Nada mal… Nesse cenário, uma senha de 11 caracteres levaria em média 180 anos para ser descoberta. Com algum jeitinho, dá para enxugar esse tempo. Agora, com uma senha de 12 dígitos a coisa salta incrivelmente para 17.134 anos e… não tem jeitinho.

Os especialistas da pesquisa acabaram descobrindo que muitos de nós utilizam frases inteiras como senhas, por exemplo:

“Sim, a Gitanes é a capital do mundo e as loiras são VIPs”

Frases bastante comuns envolvem o nome de familiares, filmes, documentos, etc etc etc (Eu tenho dois filhos: João e Maria), como sugere a Universidade Carnegie-Mellon. Mas, nem sempre isso é possível. Sabe-se que muitos websites, softwares e serviços não estão preparados para senhas muito longas e, inadvertidamente, acabam colaborando para que a segurança vá sendo vencida e ‘exploitada’ numa velocidade bem maior do que eu e você gostaríamos.

Entretanto, toda vez que for possível utilizar caracteres complexos – adicionalmente aos algarismos romanos comumente aceitos – você deve sempre procurar inserir alguns deles no meio. Das 26 letras do alfabeto gregoriano/romano e as 95 letras e símbolos contidos em um teclado QWERTY padrão, apenas uma fração normalmente não maior do que 35% delas é utilizada para ’senhar’ a informação.

Alguns websites dão de fato o devido suporte às super senhas, mas ainda a passos lentos e em quantidades longe de um padrão para a indústria. O maior de que se tem notícia é o Fidelity.com, um site de finanças que lhe permite criar senhas de até 32 caracteres.

No teste, os técnicos utilizaram a técnica de ‘brute force‘ para tentar crackear senhas de no mínimo 12 dígitos utilizando placas gráficas de computadores – que por sua vez são baratas e podem ser reprogramadas para funções computacionais básicas muito rapidamente. O lance é o processador e suas velocidades dentro das placas. Um hacker decente usaria várias delas, combinadas ao mesmo tempo com hardware simples e programação fácil. McGyver do mal mesmo….

Os processadores destes componentes rodavam em simultãneo, procurando adivinhar as senhas através de todas as alpha-combinações possíveis e disponíveis. Obviamente, quanto maior o número de dígitos, maior o número de tentativas.

Uma das outras coisas observadas foram os fatores que muitas vezes levam as pessoas a evitar senhas mais longas e não repetidas: a dificuldade de se lembrar de qual senha vai em qual lugar…

Serviços como cofres virtuais de senhas (online/offline) apareceram na tentativa de resolver o problema, furada que não funciona muito bem pois, para um hacker com um conhecimento um pouquinho mais avançado é muito mais fácil invadir um local virtual e afanar toda uma lista de diversas senhas, do que ficar pelejando a dura tarefa de quebrar apenas uma em particular. Sem contar que é menos arriscado, mais rápido e mais fácil evitar de ser detectado, cobrir rastros, confundir IPs, blá blá blá (…).

Alguns websites tem colocado a disposição do mercado (isso, venda mesmo) alguns IDs de usuários para fins de propaganda e relações mercantis/comerciais. Isso é um grande perigo pois, uma vez que um hacker acesse uma senha por exemplo, é muito provável que ele tenha acesso a múltiplos bancos de informação associados à aquele ID ou senha hackeada. Caso parecido com o exploit ocorrido nos iPhones 4 e o escândalo da AT&T que, entre outras brechas, favorecia o mesmo tipo de invasão. Veja também a constante pressão sobre o social Facebook, paizão-líder na venda destes dados e que tem incitado o hating técnico da indústria de open source coding e segurança. Tipo, os cabras que você não ia querer irritar.

Segundo os técnicos da universidade a razão óbvia para que o padrão de senhagem passe a aumentar se dá em virtude das máquinas e suas placas gráficas (com alto potencial de processamento conjugado e facilmente configuráveis para estes fins) que tem ficado cada vez mais baratas e mais potentes. O danado vai e desmantela, monta e combina hardware, reprograma, acessa e abandona (queima) tudo. Não fosse assim, sairia muito mais caro pilantrar nesse nível.

Mas veja pelo lado bom… Ao menos você vai manter o cérebro a fritar de saudável, tendo que exercitá-lo a todo o instante.

Tá na hora de ligar para aquela sua tia distante. Sim, para pedir que ela mande umas garrafinhas de Fosfozol e Biotônico Fontoura…

Nenhum comentário: