Jesper Johansson, especialista em segurança da Microsoft, disse, abrindo uma conferência promovida pela AusCERT, que as empresas não devem proibir seus empregados de escrever suas senhas em um papel. De acordo com ele, a indústria de segurança errou durante os 20 anos em que disse aos usuários para não anotarem suas senhas.

“Eu digo que as políticas de senha deviam encorajar as pessoas a anotarem suas senhas. Eu tenho 68 senhas diferentes. Se eu não posso anotar nenhuma delas, adivinhe o que eu vou fazer? Vou usar a mesma em todas”, exemplifica Johansson.

Usar a mesma senha diversas vezes é uma prática comum e reduz o nível de segurança de cada uma delas. “Já que nem todos os sistemas permitem boas senhas, eu vou pegar uma senha bem ruim e usá-la em todo lugar e nunca mudá-la”, completa o especialista.

Técnicos presentes na conferência acharam que a sugestão faz sentido, mas alguns não acharam a idéia prática. Outros deram outras sugestões, tais como manter suas senhas em um arquivo encriptado ao invés de escrever em um pedaço de papel.

Bruce Schneier, outro especialista na área de segurança, concorda com Johansson e recomenda: “Todos nós sabemos como manter seguros pequenos pedaços de papel. Eu recomendo que as pessoas anotem suas senhas em um pedaço de papel e guarde-o junto com seus outros papéis valiosos: na carteira.”

A maioria das senhas atualmente é quebrada com o uso de ataques de dicionário, também chamados de brute force. A única maneira de se proteger destes ataques é através do uso de senhas longas e complexas.

Desse modo, a sugestão de Johansson é válida: anotando em papel, você poderá usar senhas diferentes e melhores que não poderão ser facilmente quebradas através de métodos comuns. E o programa de brute force não é capaz de ler o seu pedaço de papel.

Escrito por Altieres Rohr

Jornalista e tradutor. Editor dos sites Linha Defensiva e Garagem 42 e colunista de Segurança Digital no portal G1 da Rede Globo.

2 comentários

  1. e a questão da senha ser pela digital da pessoa ou pela iris do olho, como vcs veêm essa questão, sera que seria uma opção viavél para acabar com esse negócio de senha para tudo ?

    Wender.
    Ituiutaba – MG.

    Curtir

  2. O Larry Seltzer da eWeek escreveu sobre o assunto.

    A opinião dele é exatamenta a mesma da minha: embora esse tipo de autenticação possa ser interessante em um meio corporativo, fica simplesmente inviável para ser usado em sistemas como recebimento de e-mail ou online banking.

    Curtir

Os comentários estão encerrados.