Qual password é mais segura?

Colaboração: Rubens Queiroz de Almeida

Data de Publicação: 14 de junho de 2012

No site da empresa Gibson Research, podemos encontrar um texto muito interessante sobre segurança de senhas.

Decida, qual das duas senhas abaixo é mais segura?

  D0g.....................

ou

  PrXyc.N(n4k77#L!eVdAfp9

Intuitivamente, certamente escolhemos a segunda. Mas sentimos no ar o cheiro de uma pegadinha, e realmente é uma pegadinha. Segundo o site, a primeira senha é muito mais segura.

Traduzindo livremente o que está no site:

Apesar do fato de que a primeira senha é muito mais fácil de usar e de lembrar, ela é também a mais forte das duas! De fato, como ela possui um caractere a mais do que a segunda, possui caracteres em caixa alta e baixa, um número e caracteres especiais, esta senha iria demandar de um atacante 95 vezes mais tempo para ser quebrada do que a segunda senha que é impossível de ser lembrada.

ENTROPIA: Se você possui facilidade para matemática, ou se possui algum conhecimento e treinamento em segurança, você pode ter conhecimento da idéia de entropia, ou aleatoriedade e imprevisibilidade de dados. Se for o caso, você terá notado que a primeira senha é mais forte mas possui muito menos entropia do que a segunda senha (mais fraca). Virtualmente todo mundo sempre acreditou ou ouviu dizer que senhas derivam sua força do fato de possuirem entropia alta. Mas como podemos ver agora, quando a única alternativa possível de ataque é a adivinhação, esta crença antiga .... não ... é ... correta.

Mas algo como "D0g" não estaria em um dicionário, mesmo que o "o" seja um zero?

Certamente, estaria. Mas isto não importa, porque o atacante está totalmente cego à forma como a sua senha se parece. A velha expressão Perto só tem sentido no caso de ferradura de cavalos e granadas de mão. A única coisa que um atacante pode saber é se a senha é um casamento exato . . . ou não. O atacante não sabe qual o tamanho da senha, ou qualquer coisa acerca de sua provável aparencia. Então, depois de exaurir todas as listas possíveis de adivinhação de senhas, bancos de dados e dicionários, o atacante não tem nenhuma outra opção a não ser desistir e seguir em frente para outra pessoa, ou então começar a adivinhar todas as senhas possíveis.

E aqui está a principal sacada desta página, Acolchoamento de Senha:

Uma vez que uma busca exaustiva por senhas começe,
o fator mais importante é o tamanho da senha!

• A senha não precisa ter um comprimento complexo, porque um comprimentno simples é tão desconhecido para o atacante e precisa ser pesquisado da mesma forma.
• "Comprimento simples"", que é facilmente criado acolchoando uma senha de fácil memorização com um acolchoamento também fácil de lembrar, cria senhas inquebráveis que são ao mesmo tempo fáceis de usar.
• E observe que um acolchoamento simples também vence todas as consultas de dicionário, pois mesmo senhas "fracas", uma vez que estejam acolchoadas com caracteres adicionais de qualquer tipo, não irão bater com tentativas de adivinhação baseadas apenas em uma palavra.

Nesta mesma página encontram-se diversas outras informações interessantes sobre como calcular o tempo que uma senha levaria para ser adivinhada e vários outros pontos interessantes.

Esta dica foi uma recomendação do Fábio Mengue, a quem agradeço pela indicação.