domingo, 15 de janeiro de 2012

SENHAS

Uso de senhas deve ser revisto, diz pesquisador da Microsoft
Para especialista, faltam informações sobre as principais ameaças e aconselhamento mais específico para a utilização correta da ferramenta.
IDG NEWS SERVICE (EUA)

O uso de senhas precisa de uma revisão que seja impulsionada não por “advinhação”, mas por realmente entender os danos reais que podem ser causados quando a segurança dos códigos é comprometida, de acordo com o pesquisador da Microsoft Research, Cormac Herley.

Apesar de muitos sugerirem a substituição das senhas juntas por alguma outra coisa, eles podem estar fazendo isso baseado em poucas ou nenhuma evidência concreta, diz Herley.

Keystroke logging [malware que captura o que se digita no PC], ataques de força bruta, phishing e sequestro de sessão são todos usados para driblar senhas, mas seria impossível criar um ranking de quanto cada método foi utilizado porque ninguém sabe, diz o especialista em um relatório sobre o assunto. “Nós não sabemos o tamanho das fatias de cada – nem mesmo aproximadamente”, explica.

Além de descobrir isso, ele recomenda outros passos que poderiam tornar o uso das senhas mais eficiente:

- Quantificar os danos que a exposição da senha pode causa e diferencie-os entre o pior caso e o padrão.

- Oferecer melhor suporte de usuário para senhas a fim de que o código fique mais seguro.

- Identificar quando as senhas não são o bastante – e a razão disso – para que alternativas apropriadas possam ser desenvolvidas.

- Criar um método para avaliar as alternativas de forma objetiva.

A premissa de Herley é que as senhas são tão fortificadas e úteis de tantas maneiras que elas não vão desaparecer em um futuro próximo. Afinal de contas, se elas fossem totalmente ineficiente, ninguém as estaria usando.

“Apesar de a comunidade de pesquisa ser incapaz de quantificar os danos, companhias possuem estimativas de suas perdas causadas por ameaças existentes”, afirmou Herley no relatório “A Research Agenda Acknowledging the Persistence of Passwords”, escrito em parceria com Paul C. Van Oorschot, professor de ciência da computação na Universidade de Carleton. “Suas ações atualmente revelam uma preferência por perdas relacionadas a senhas em oposição a incerteza de alternativas.”

Senhas possuem muitos pontos positivos – elas são gratuitas, permitem acesso a partir de qualquer máquina com um navegador, revogá-las é simples e é fácil reiniciá-las para os usuários que costumam ter memória fraca – o que dificulta excluí-las todas juntas. “Nenhuma tecnologia alternativa tem a probabilidade de possuir a combinação de segurança, usabilidade e recursos econômicos que atenda a todos os objetivos em todas as situações”, afirma Herley.

Ele também toma o lado dos usuários finais que costumam ser criticados por criar senhas fracas, reutilizá-las e as escrever/armazenar em locais em que podem ser descobertas.

Um grupo de senhas fortes únicas para proteger diferentes sites e aplicativos dá mais trabalho para os usuários, diz. “Sem um melhor suporte para eles, as senhas representam um peso crescente em esforço que seria mais bem gasto em outro lugar”, explica.

O suporte geralmente consiste em informações sobre como escolher senhas fortes, dicas para reconhecer ataque de phishing, conselhos para verificar URLs com cuidado e para se defender de keystroke loggers com antivírus e patches atualizados de software. “Assim, eles recebem o conselho que é mais fácil de ser dado, em vez do conselho que realmente resolve os problemas que estão enfrentando”, finaliza Herley.

IDG NEWS SERVICE (EUA)

Nenhum comentário: