Senha ou Password ?
Originalmente, este texto foi escrito somente para referenciar uma publicação que fiz num determinado Portal de Segurança de TI. O título original era ” Ali Babá teria Mil Senhas “, publicado no Portal Crypto Id. Com toda a certeza, Ali Babá não sobreviveria em tempos de redes sociais e suas tecnologias.
Tenho visto muita bobagem sendo publicada sobre o uso de senhas e, portanto, é das vantagens da inclusão digital desmedida e das redes sociais descontroladas que eu também fale sobre tudo.
Quando comecei a trabalhar com tecnologia da informação (TI), que à época chamava-se Processamento de Dados, as profissões mais “famosas” eram analista, digitador e controlador de qualidade. Tudo evolui mas, surpreendentemente, a cabeça de algumas pessoas não sai dos seus limitados conceitos e dogmas. Naquele tempo ( que expressão horrível ! ), diziam que a profissão de digitador acabaria, que a linguagem Cobol seria desativada, que as senhas teriam vida curta.
Então tá …
Digitadores foram substituídos pelos usuários que ficam desesperados teclando em seus smartphones, o Cobol continua melhor do que nunca em grandes sistemas legados mundo afora e as senhas… ah ! ainda vão durar…
Crypto Id
(N. A.) O texto integral está aqui reproduzido com adaptações a partir da revisão realizada algum tempo após a publicação do original.
Ali Babá teria Mil Senhas
Anteriormente, numa das primeiras colunas no Crypto ID, abordei a questão de Chave Pública e Chave Privada e a relação que é feita entre Chave Privada e senha.
Chaves
Ao final daquela coluna eu indicava a necessidade de se determinar claramente o que é, o que significam os termos Chave Privada, Chave Pública, PIN (1) ( do Inglês, Personal Identification Number ), PUK (2) ( do inglês PIN Unlock Key ), Identificação, Autenticação, Assinatura Eletrônica. Adicionalmente, é importante definir o que venha a ser Senha, Senha Forte, Senha Fraca ou Óbvia.
No Glossário da ICP-Brasil, que está na versão 1.4 de Maio de 2010, e em processo de revisão, podemos obter os significados mais apropriados para a lógica a ser desenvolvida. Um detalhe, com toda a certeza, Ali Babá não tem no Glossário, embora ela usasse uma senha.
Chave Privada – Uma das chaves de um par de chaves criptográficas (a outra é uma chave pública) em um sistema de criptografia assimétrica. É mantida secreta pelo seu dono (detentor de um certificado digital) e usada para criar assinaturas digitais e para decifrar mensagens ou arquivos cifrados com a chave pública correspondente.
Chave Pública Uma das chaves de um par de chaves criptográficas (a outra é uma chave privada) em um sistema de criptografia assimétrica. É divulgada pelo seu dono e usada para verificar a assinatura digital criada com a chave privada correspondente. Dependendo do algoritmo, a chave pública também é usada para cifrar mensagens ou arquivos que possam, então, ser decifrados com a chave privada correspondente.
Senhas
Senha – Um conjunto de caracteres, conhecidos apenas pelo usuário, que fornecem acesso ao arquivo, computador ou programa. Senhas são geralmente usadas em conjunto com o nome do usuário que o autentica e o garante autorização ao acesso.
Senha Forte – Inverso de Senha Fraca ou Óbvia
Senha Fraca ou Óbvia – É aquela onde se utilizam caracteres de fácil associação com o dono da senha, ou que seja muito simples ou pequena, tal como: datas de aniversário, casamento, nascimento, o próprio nome, o nome de familiares, sequências numéricas simples, palavras com significado, dentre outras.
Passphrase -É uma versão mais longa de uma contrassenha, e teoricamente, mais seguro. Tipicamente composto de palavras múltiplas, uma passphrase é, na prática, mais seguro e permite maior proteção contra “ataques de dicionário”.
Assim acertados, podemos ver PIN e PUK como algum tipo de passphrase, igual à frase preferida de Ali Babá, onde não existe nenhuma regra de formação. Desse modo a mesma provocará uma codificação criptografada e protegida de certa maneira como nenhuma senha fraca, forte, óbvia etc. Assim sendo estarão sendo respeitadas as regras de geração de certificados da ICP-Brasil.
Seria inteligente supor então que o uso de certificados digitais, e seus atributos especiais, seria uma forma natural de substituir as senhas ligadas a logins tradicionais. Se esta fosse uma conversa numa rede social, eu diria #SQN.
Ali Babá e os Prolegômenos
A dissertação de mestrado que defendi quase 16 anos atrás falava exatamente da importância da formação da senha, hoje reconhecida como PIN e outras denominações. Contudo, pouca coisa mudou, os administradores de rede continuam com suas regrinhas malditas em que as senhas “vencem” com prazo determinado, regrinhas em que somos obrigados a escrever a senha a cada mudança para não esquecer, regrinhas que proíbem começar com número ou que proíbem a senha ter duas letras maiúsculas iguais.
Portanto. o pessoal “especialista” que faz estas regras deveria “voltar 6 casas”, ficar “duas vezes sem jogar” e começar a pensar. Em outras palavras, deveria entender que deve-se ensinar às pessoas que utilizam recursos computacionais a importância de proteger a informação pessoal e a informação das empresas e organizações. A cada regra estúpida que vejo, assusto-me com a quantidade de pessoas que passam a ter regras para mudar as regrinhas. Um atraso fenomenal.
Numa identificação e autenticação de três fatores, um deles será PIN, PUK ou a famosa senha. Vejo que nos últimos 16 anos (desde que defendi minha dissertação), a cada seis meses são publicadas listas e mais listas de piores senhas e um “blá-blá-blá” danado. A construção de regrinhas tem sido pior (e as piadas já estão se tornando repetitivas … uma que publiquei na dissertação circula Até hoje e tem profissional de TI que acha engraçadinho).
Ali Babá e o Certificado Digital
Tenho em mente que o bom gerenciador de ambientes de identificação e autenticação dá liberdade e transmite conhecimento para que o usuário não seja responsável pela estúpida tarefa de guardar na cabeça ou ficar anotando suas senhas. Existem soluções no mercado para esta dificuldade que porventura muitos usuários terão. Mas, para a maioria dos usuários seria mais fácil mostrar como criar uma senha forte e inteligente.
Imaginem a situação de um cidadão perdendo seu Smartcard com a sua chave privada e um adesivo pregado com o PIN. Aliás, numa visita recente que fiz a um escritório que utilizava certificados digitais A3, vi todos espetados no computador e o PIN de cada um escrito num papel ao lado. Aliás, o PIN era igual para todos os certificados. Bem protegido né?
Será que alguém sabe responder a uma dúvida?
Em caso de mal uso de algum destes certificados, e o mesmo não tenha sido revogado em tempo hábil da constatação do problema, de quem é a responsabilidade civil pelo uso deste certificado?
Ali Babá e as Redes Sociais
Enfim, nestes tempos bicudos de redes sociais e uma senha para cada uma delas, além é claro das senhas de bancos, caixas postais ficaria impossível para Ali babá sobreviver. Por isso, em certas condições, é necessário colocar alguma fantasia para a patuleia entender do que estamos falando. A estória de Ali Babá aplica-se ao caso.
P. S. A frase “Abre-te, Sésamo” do anedotário de Ali Babá é uma passphrase fraca, que fique registrado e não digam que não avisei.
(1) PIN – Número de Identificação Pessoal (PIN, sigla oriunda do original em inglês Personal Identification Number) É uma sequência de números e/ou letras (senha) usadas para liberar o acesso à chave privada, ou outros dados armazenados na mídia, somente para pessoas autorizadas.
(2) PUK – (Personal Identification Number Unlock Key) – É uma chave para desbloqueio do número de identificação pessoal (PIN), o qual normalmente fica bloqueado após várias tentativas inválidas. Como o PIN, a senha PUK deve ser guardada de forma segura, pois ambas permitem, em dispositivos como tokens e smart cards, o acesso à chave privada de um titular de certificado.
Imagem: Reprodução Internet
Nota do Autor
Reitero, dentre outras, o pedido feito em muitos textos deste blog e presente na página de “Advertências“.
- Observações, sugestões, indicações de erro e outros, uma vez que tenham o propósito de melhorar o conteúdo, são bem vindas.
- Coloquem aqui, nos comentários ou na página do Facebook, associada a este Blog, certamente serão todos lidos e avaliados.
- Alguns textos são revisados, outros apresentam erros (inclusive ortográficos) e que vão sendo corrigidos à medida que tornam-se erros graves (inclusive históricos).
- Algumas passagens e citações podem parecer estranhas mas fazem parte ou referem-se a textos ainda inéditos.
Agradeço a compreensão de todos e compreendo os que acham que escrevo coisas difíceis de entender, é parte do “jogo”.