Ciência
– Mundo Cientifico –
A incrível arte de decifrar senhas de internet
Por BBC Brasil
14 de dezembro de 2013
Na internet, a cor mais popular é o azul - ao menos quando se trata de
escolher senhas.
Uma das teorias para explicar isso é a de que muitos dos websites mais
populares da rede (como Facebook, Twitter e Google) usam a cor azul em seus
logotipos. Isso influenciaria, de forma subliminar, as escolhas dos internautas
na hora de criar senhas quando se registram nos sites.
Essa é apenas uma entre várias peculiaridades identificadas por estudos
sobre o comportamento humano no que diz respeito à escolha de senhas.
Alguns, por exemplo, concluíram que mulheres ruivas tendem a escolher as
melhores senhas e homens que usam barba ou são descuidados com o cabelo, as
piores.
Mulheres optam por senhas longas, enquanto os homens apostam na
diversidade.
Essas informações vieram à tona por causa do vasto número de senhas que
está sendo roubado de websites e de outras empresas.
Em casos recentes, nomes de usuários e senhas foram surrupiados do site
de softwares Adobe, do Linkedin e do site de jogos RockYou.
E qual foi a conclusão número 1 dos especialistas que analisaram esse
material? Precisamos ser mais espertos e menos previsíveis na hora de criar
nossas senhas.
Conexões
Pessoais
Uma boa senha seria uma frase ou combinação de letras com pouca ou
nenhuma conexão com a pessoa que a escolheu, aconselha o pesquisador de
segurança cibernética Per Thorsheim.
Aniversários, data do casamento, nomes dos irmãos ou dos filhos, dos
bichos de estimação, número da casa, da rua onde mora ou do pop star favorito
não são recomendados, diz ele.
No entanto, quando pesquisadores pediram a participantes de um estudo
que escolhessem senhas de quatro dígitos, os números escolhidos foram
reveladores.
Uma das primeiras descobertas foi de que as pessoas tendem a gravitar em
torno de um pequeno número de opções. Em alguns casos, 80% das escolhas vêm de
apenas 100 números diferentes.
O azul é o nome de cor mais usado como senha, talvez por influência das
redes sociais
A constatação desse aspecto íntimo e pessoal na escolha das senhas
possibilitou aos especialistas entender como funciona a atividade dos hackers,
como são chamados os piratas cibernéticos.
Força Bruta
"Agora, a força bruta é a última tática a que recorreríamos",
diz Per Thorsheim.
Força bruta é como especialistas de tecnologia como Thorsheim chamam a
técnica de concentrar toda a energia de um computador na tarefa de
"quebrar" senhas.
O último recurso é o que especialistas como Per Thorsheim chamam de
"Força Bruta". Todo o poder de um computador é concentrado na tarefa
de "quebrar" senhas. Ataques como esses começariam pela letra
"a" e depois passariam por todas as combinações possíveis de números
e letras até chegar a "zzzzzzzz".
A segurança de uma senha dependia de tornar impossível, a um computador,
testar bilhões de combinações de senhas em um período razoável de tempo. Uma
fórmula matemática (o tempo multiplicado pela quantidade de tentativas)
derrotava os hackers.
"Porém" - explica outro pesquisador, Yiannis Chrysanthou, da
empresa de segurança KPMG - "não é mais uma questão de matemática porque
as pessoas selecionam suas próprias senhas."
Muitos especialistas trabalhando nesse setor estão tentando melhorar
seus métodos de decifrar senhas para poder orientar clientes na escolha de
senhas mais seguras.
Experimento:
Decifrando Senhas
Fiz uma experiência para saber quão fácil é decifrar a senha de alguém.
Armado com uma lista de hashes, senhas tiradas de um entre os vários
sites onde listas de senhas roubadas são publicadas diariamente, procurei um
software que me ajudasse a desvendá-las.
Optei por dois dos mais conhecidos, Hashcat e John The Ripper. Baixei
minhas hashes, selecionei minhas listas de palavras, apliquei minhas regras e
deixei os programas fazerem sua parte.
Pouco tempo depois, eu já tinha uma lista de senhas desvendadas - não
todas.
As palavras e frases que emergiram primeiro eram incrivelmente
familiares. Não me surpreende nem um pouco que as contas das pessoas na
internet sejam hackeadas com tanta regularidade se elas escolhem senhas como
"aaa123".
Eles também tentam desvendar senhas de listas roubadas para ter uma
ideia melhor sobre o que as pessoas estão escolhendo. Nessas situações, com
frequência, o que está sendo desvendado é uma sequência de letras conhecidas
como um "hash".
Essas sequências com números fixos de caracteres não podem ser
invertidas para revelar que caracteres lhes deram origem. Entretanto, como
algoritmos que geram "hashs" obedecem a um conjunto de regras
definidas, o número "123456" vai gerar sempre a mesma (aparentemente
aleatória) sequência de letras. Por exemplo, no sistema MD5 de geração de
hashs?, a sequência de números "123456" sempre produz
"e10adc3949ba59abbe56e057f20f883e".
Se você gerar hashes para todas as palavras de uma longa lista que
estejam relacionadas de alguma forma a um único alvo, aumentam as chances de
você adivinhar a senha desse alvo, disse Chrysanthou - que desenvolveu novas
regras para se desvendar senhas enquanto estudava no Royal Holloway, University
of London, em Londres.
Ataques direcionados a um alvo tendem a rastrear a mídia social à
procura de palavras, nomes e datas importantes para a vítima. Saber os nomes
dos filhos, dos bichos de estimação, dos pais ou da rua onde ela mora pode
ajudar alguém a adivinhar sua senha rapidamente.
Os "malvados" tentam adivinhar senhas - disse o pesquisador de
segurança cibernética Bruce Marshall - porque eles sabem de uma outra verdade
sobre nós, seres humanos: somos preguiçosos.
Por conta disso, há grandes chances (segundo alguns estudos, 70%) de que
uma senha associada a um endereço de e-mail ou um site seja usada também para
acesso a outros serviços online.
Muitos ladrões roubam listas de senhas de sites pequenos e depois testam
essas senhas em outros sites para ver se funcionam.
Conclusão final: se você quiser escolher uma senha mais segura, não use
combinações simples de palavras e números, escolha palavras que são apenas
levemente associadas a você e não use a senha que você utiliza para transações
bancárias online em nenhum outro site.
Texto em PDF:
Disponível em <
http://www.bbc.co.uk/portuguese/noticias/2013/12/131205_adivinhando_senhas_mv.shtml
> Acesso dia 16 de dezembro de 2013.
Nenhum comentário:
Postar um comentário