NCSC diz que Combinar três palavras aleatórias é mais eficaz do que usar combinações complexas para senhas

NCSC diz que Combinar três palavras aleatórias é mais eficaz do que usar combinações complexas para senhas. Embora não seja uma panaceia de senha, usar ‘três palavras aleatórias‘ ainda é melhor do que impor requisitos de complexidade arbitrária.

Uma postagem no blog do NCSC  explica como essa linha de pensamento ou “pensar aleatoriamente” ajuda a “manter os bandidos fora”. A quase 5 anos após sua primeira publicação, o National Cyber ​​Security Council (NCSC). explica como – combinando três palavras aleatórias – você pode criar uma senha que é ‘aleatória o suficiente‘ para manter os bandidos fora, mas também ‘fácil o suficiente‘ para você lembrar.

De acordo com a postagem, impor “requisitos complexos” para senhas é uma defesa insuficiente contra ataques de adivinhação. Isso ocorre porque “as mentes lutam para lembrar cadeias de caracteres aleatórias” e, sendo humanos, usamos “padrões previsíveis” para atender aos critérios exigidos. 

Os hackers cibernéticos estão muito familiarizados com isso e usam isso para tornar seus ataques mais eficazes. De acordo com a Verizon, as senhas comprometidas são responsáveis ​​por  81% das violações de dados relacionadas a hackers . 

Contra a intuição, a aplicação desses requisitos de complexidade resulta na criação de senhas mais previsíveis”, diz o post do NCSC. “Diante de mais uma senha com requisitos específicos, os usuários recorrem a variações de algo que já conhecem e usam, acreditando falsamente que é forte porque atende aos medidores de força de senha (e é aceito pelos serviços online).

De acordo com Nordpass ”Top 200 senhas mais comuns do ano 2020“, as principais senhas são “123456”, “123456789” e “picture1”.  

Os problemas dos requisitos de complexidade

Em outro post o NCSC abordou longamente, como impor requisitos de complexidade  é uma defesa insuficiente contra ataques de adivinhação. Nossas mentes lutam para lembrar cadeias de caracteres aleatórias, então usamos padrões previsíveis (como substituir a letra ‘o’ por um zero) para atender aos critérios de ‘complexidade‘ exigidos.

Obviamente, os invasores estão familiarizados com essas estratégias e usam esse conhecimento para otimizar seus ataques. Contra-intuitivamente, a aplicação desses requisitos de complexidade resulta na criação de senhas mais previsíveis. Diante de mais uma senha com requisitos específicos, os usuários recorrem a variações de algo que já conhecem e usam, acreditando erroneamente que é forte porque atende aos medidores de força de senha (e é aceito pelos serviços online).
Nada disso é ajudado por:

  1. O conselho antigo (e pobre) de que as senhas devem ser memorizadas e armazená-las de qualquer forma (seja em um gerenciador de senhas, em um navegador ou em um pedaço de papel) é arriscado.
  2. A contínua baixa aceitação de gerenciadores de senhas para armazenar e gerar senhas ( o NCSC tem incentivado organizações e indivíduos a usar gerenciadores de senhas há algum tempo).

Para ser absolutamente claro, há uma série de maneiras que você pode, com segurança, armazenar suas senhas, em um gerenciador de senhas, um navegador ou em um pedaço de papel, para recordá-los não é mais um problema.

Por que três palavras aleatórias?

O conselho tradicional de senha criado em torno da ‘complexidade da senha‘ falhou porque nos disse para fazer coisas que a  maioria de nós simplesmente não pode fazer  (ou seja, memorizar muitas senhas longas e complexas).
As senhas geradas a partir de três palavras aleatórias ajudam os usuários a criar senhas exclusivas que são fortes o suficiente para muitos propósitos e podem ser lembradas com muito mais facilidade. Isso também é bom para quem não conhece os gerenciadores de senhas ou reluta em usá-los. No entanto, existem várias outras razões pelas quais o NCSC escolheu a estratégia de três palavras aleatórias.
  1. Comprimento

    As senhas feitas com várias palavras geralmente são mais longas do que as senhas feitas com uma única palavra. O comprimento é um requisito comum (e recomendado) para senhas, e promover o uso de uma ‘frase secreta‘ criada pela combinação de palavras fornece uma maneira de conseguir isso sem depender de padrões previsíveis (como a adição de “!” No final de uma senha) .
  2. Impacto

    Para ter um impacto significativo, o NCSC precisava ser capaz de promover uma técnica em diferentes mídias, de uma forma que pudesse ser rapidamente compreendida na maioria dos contextos. ‘Três palavras aleatórias‘ contém todas as informações essenciais do título e pode ser explicado rapidamente, mesmo para aqueles que não se consideram especialistas em informática.
  3. Novidade

    A senha estereotipada é uma única palavra ou nome do dicionário, com substituições de caracteres previsíveis. Ao recomendar várias palavras, desafiamos imediatamente essa percepção e incentivamos uma variedade de senhas que não foram consideradas anteriormente.
  4. Usabilidade

O principal problema com a aplicação de requisitos de complexidade é que é difícil para os usuários “gerarlembrar e inserir” senhas complexas corretamente sem esforço substancial, o que incentiva ainda mais a reutilização de senhas. O poder de três palavras aleatórias está em sua usabilidade, porque a  segurança que não pode ser usada não funciona .

Respondendo a preocupações

Reconhecemos que alguns proprietários de sistema podem ter preocupações em usar a técnica das três palavras aleatórias em vez de outras. Pode não ser necessário em todas as organizações. Por exemplo, alguns já estarão usando boas estratégias para criar senhas fortes e exclusivas, e outros ficarão desconfortáveis ​​ao mudar para um modelo que é tão diferente do que eles usam atualmente.
No entanto, se você não estiver usando ‘três palavras aleatórias‘ por qualquer um dos motivos a seguir, convém considerar a adoção.

1. ‘Existem algoritmos de pesquisa otimizados para três palavras aleatórias’

Isso é verdade, mas também existem algoritmos de pesquisa otimizados para senhas “complexas” geradas por humanos (de longe o tipo mais comum em uso hoje). Houve muitas tentativas de mostrar qual desses algoritmos seria mais rápido para descobrir senhas complexas geradas por humanos ou três senhas de palavras aleatórias, com o ‘vencedor‘ dependendo das suposições feitas sobre o comportamento das pessoas. Mas no final das contas não importa.
Para obter uma vantagem de qualquer algoritmo otimizado, você precisa saber qual algoritmo usar. Portanto, dado um grande banco de dados onde todos estão usando maneiras diferentes de gerar suas senhas, a eficácia de qualquer algoritmo otimizado é reduzida. No mundo real, isso significa que o invasor deve tentar vários algoritmos, o que é mais difícil (e demorado) do que tentar apenas um.
Algumas pessoas comparam as senhas de ‘três palavras aleatórias‘ com as ‘senhas aleatórias criadas por gerenciadores de senhas‘. As últimas são mais fortes do que ‘três palavras aleatórias‘ ou ‘senhas complexas geradas por humanos‘. No entanto, essa comparação não é útil atualmente, pois ainda há uma aceitação muito baixa de gerenciadores de senhas . Esperamos que mais pessoas adotem gerenciadores de senhas e isso também aumente a diversidade de senhas.

2. ‘Três palavras aleatórias irão gerar senhas’ fracas ‘, como aquelas que aparecem em listas de senhas comuns’

Existem muitas senhas comuns que atendem aos requisitos de complexidade. Por exemplo, ‘Pa55word!‘ pode seguir os requisitos de complexidade de um site ou serviço, mas é uma senha ruim, pois pode ser adivinhada. Da mesma forma, existem senhas complexas únicas (geradas usando três palavras aleatórias) que não seriam permitidas. Os requisitos de complexidade por si só são um instrumento contundente; para fornecer uma remoção mais direcionada de senhas fracas, o NCSC recomenda um requisito de comprimento mínimo combinado com a aplicação de listas de negação de senha .

3. ‘As pessoas terão dificuldade em se lembrar de senhas feitas de três palavras aleatórias para várias contas’

Conforme discutimos, para criar senhas que atendam aos requisitos de complexidade, usamos mecanismos de enfrentamento (que são bem conhecidos pelos criminosos cibernéticos). Adotar três palavras aleatórias não é uma panaceia que resolve o problema de lembrar muitas senhas de uma só vez, e esperamos que seja usado junto com o armazenamento seguro.
 

Em direção à ‘diversidade de senha’

Para dificultar as coisas para os invasores, precisamos aumentar a diversidade de uso de senhas. Isso significa reduzir o número de senhas que podem ser descobertas por algoritmos de pesquisa baratos e eficientes, forçando um invasor a executar vários algoritmos de pesquisa (ou usar algoritmos ineficientes) para recuperar um número útil de senhas.
Atualmente, os requisitos de complexidade estão trabalhando ativamente contra a diversidade de senhas (por todos os motivos mencionados acima). Isso levou à convergência de estratégias e à redução da diversidade de senhas. Para aumentar a diversidade, precisamos encorajar as pessoas a usar outras estratégias de construção de senha (como ‘três palavras aleatórias‘), que usam comprimento em vez de conjuntos de caracteres para atingir a força desejada. Isso efetivamente incentiva a adoção de senhas que atualmente não são utilizadas, aumentando a diversidade de senhas no ecossistema.

Piores senhas

Se você está tentando proteger seu e-mail ou sua conta bancária online, a senha mais idiota que você pode usar é “senha“.

Isso pode parecer uma afirmação idiota, afinal quem usaria a palavra “senha” como sua senha, porém a pesquisa da SplashData, em 2019, afirma que “password” (senha em inglês) é a segunda senha mais usada pelos usuários, a primeira é “123456”!

A lista é uma daquelas coisas divertidas de investigar, mas os profissionais de segurança sempre lembram que somos mais vulneráveis ​​online do que gostamos de pensar e, às vezes, facilitamos para os malfeitores. Mesmo nós especialistas, afinal quem de nós nunca repetiu a mesma senha em vários lugares e depois descobriu que ela estava na base do haveibeenpwned?

Para quem não conhece, no site have i been pwned você pode consultar se sua senha já foi objeto vazado em algumas das invasões já descobertas e publicadas, ou vendidas, no submundo da web no passado. O site possui atualmente uma base com mais de 501 milhões de senhas vazadas na web.

SplashData lista como as piores passwords de 2018 :

  1. 123456 
  2. password 
  3. 123456789 
  4. 12345678 
  5. 12345 
  6. 111111 
  7. 1234567
  8. sunshine
  9. qwerty 
  10. iloveyou
  11. princess 
  12. admin 
  13. welcome
  14. 666666
  15. abc123 
  16. football
  17. 123123 
  18. monkey 
  19. 654321
  20. !@#$%^&*
  21. charlie 
  22. aa123456  w
  23. donald 
  24. password1 
  25. qwerty123 
Fonte: NCSC

Veja também:

 

About mindsecblog 2774 Articles
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

5 Trackbacks / Pingbacks

  1. PAM ou Gerenciadores de Senhas? Qual a diferença?
  2. Microsoft confirma outro bug de dia zero no spooler de impressão do Windows
  3. T-Mobile é invadida e hackers vazam informações de mais de 8 milhões de clientes
  4. 5 passos simples para proteger seus dados pessoais contra crimes cibernéticos em 2022 – Neotel Segurança Digital
  5. 5 passos simples para proteger seus dados pessoais contra crimes cibernéticos em 2022 – DPO Manager

Deixe sua opinião!