Blog do André

Blog com opiniões esporádicas sobre temas do meu interesse

Passwords, um velho problema

As passwords continuam a ser um dos mecanismos de segurança mais utilizados. O Facebook exige um login, o e-mail também e a lista não fica por aqui. O problema da gestão de passwords é a sua falta de escalabilidade. Quando temos uma lista imensa de credenciais a gerir, torna-se difícil decorar tudo. Aqui começam as asneiras: escrever passwords em post-its amarelos colados ao lado do monitor, usar a mesma password em todos os sítios, etc.

Uma solução passa por usar chaveiros, ou seja, aplicações de gestão de passwords como o Keepass (offline) ou o LastPass (online). Mesmo estas soluções não estão isentas de problemas. No caso das ferramentas offline, estas podem não ser compatíveis com a variedade de dispositivos que usamos hoje em dia: computadores, tablets, smartphones ou até smartwatches. Ou seja, a falta de suporte numa plataforma invalida o acesso à lista de passwords. No cenário de usar ferramentas online, este problema é resolvido com um browser e é à partida compatível com qualquer dispositivo ligado à Internet. Mas estamos a divulgar todas as nossas passwords a alguém que não conhecemos...

XKCD #936: Password Strength

Uma solução para continuar a usar passwords diferentes para cada ocasião, esta dica do XKCD faz bastante sentido. Uma password que é uma frase (não apenas baseada numa frase) tem potencial para ter mais complexidade que um conjunto de carateres aleatórios difíceis de relembrar. Por exemplo, a password "Com o Email posso organizar o meu dia. Muito Bom!" tem 49 carateres. Cada caratere pode ser um número, maiúscula, minúscula ou símbolos comuns para texto (vamos considerar ponto final, de exclamação, de interrogação, vírgula, espaço). Portanto, no pior caso, um sistema automatizado usando bruteforce tem de fazer 49^(10+26+26+5) tentativas. Isto dá qualquer coisa elevado a 113, o que é muito mesmo. A password é fácil de memorizar, completamente personalizável e pode passar despercebida em contexto de uma conversa. Posto isto, ainda vale a pena continuar a ter políticas de passwords pouco amigáveis?