Benefícios da adoção de passphrases em comparação ao tradicional uso de passwords
Este artigo apresenta uma análise comparativa entre o uso tradicional de passwords e a adoção de passphrases. O estudo investiga os benefícios de segurança proporcionados pelas passphrases, incluindo maior complexidade, resistência a ataques de força bruta e melhor capacidade de memorização. Além disso, discute-se a importância de conscientizar os usuários sobre práticas seguras de autenticação.
O objetivo aqui é propagar uma cultura de segurança e incentivar a adoção de boas práticas nesse sentido, a fim de estabelecer ambientes cada vez mais seguros e funcionais.
A autenticação de usuários em sistemas digitais é um aspecto crítico da segurança da informação. Com a crescente sofisticação de ataques cibernéticos, a necessidade de adotar medidas robustas de autenticação é vital para proteger dados sensíveis e informações pessoais.
O uso de senhas, tanto passwords quanto passphrases, é a pedra angular desse processo.
Este artigo examina os benefícios de utilizar passphrases em comparação ao tradicional uso de passwords, destacando a segurança aprimorada que as passphrases proporcionam.
Complexidade e segurança das passphrases
A passphrase é uma opção mais recente, que vem ganhando popularidade por ser mais segura e fácil de lembrar em comparação com o tradicional password. Como a complexidade das senhas é um fator crítico para determinar a resistência a ataques, enquanto passwords frequentemente consistem em uma sequência de caracteres, passphrases são formadas por múltiplas palavras, números e símbolos, aumentando significativamente o espaço de combinações possíveis.
Esse aumento na complexidade torna as passphrases mais resistentes a ataques de força bruta, nos quais um atacante tenta adivinhar a senha testando várias combinações até encontrar a correta. A utilização de passphrases, especialmente com um mínimo de 16 caracteres, torna esse processo consideravelmente mais difícil e demorado para os invasores, conforme pode ser observado no gráfico abaixo.
fonte: https://www.komando.com/security-privacy/check-your-password-strength/783192/
Em 2017, Mike Garcia, no National Institute of Standards and Technology (NIST), destacou que as passphrases são mais fáceis de lembrar, promovendo senhas mais fortes e únicas. Além disso, Charlie Fripp (2021), em seu artigo para a Komando, observou que passphrases de 16 caracteres têm uma complexidade significativamente maior do que senhas da mesma extensão, tornando os ataques de força bruta consideravelmente mais demorados e difíceis de serem bem-sucedidos.
Memorização e usabilidade
Uma das principais preocupações ao lidar com senhas é a facilidade de memorização. Passphrases têm uma vantagem nesse aspecto devido à sua natureza baseada em palavras e frases significativas. Enquanto passwords complexas frequentemente contêm uma combinação aleatória de caracteres, tornando-as difíceis de memorizar, passphrases podem ser construídas com palavras que fazem sentido para o usuário. Essa abordagem facilita a lembrança das passphrases, reduzindo a probabilidade de os usuários escreverem ou armazenarem suas senhas em locais inseguros.
Estudos conduzidos por Chao Shen, Tianwen Yu, Haodi Xu, Gengshan Yang, e Xiaohong Guan (2016) mostraram que os participantes tinham uma taxa de sucesso significativamente maior ao lembrar passphrases em comparação com passwords complexas, o que reforça a usabilidade aprimorada das passphrases.
Vale ressaltar também, que a troca frequente de senhas (a cada 30, ou 45 dias, por exemplo) pode levar os indivíduos a escolher senhas previsíveis, tornando-as vulneráveis a ataques. Senhas com poucos caracteres e baixa complexidade aumentam o risco de quebra rápida (como apresentado por Charlie Fripp em seu artigo para a Komando em 2021).
A expiração de senha em curtos intervalos não oferece benefícios significativos de segurança, pois os cibercriminosos agem rapidamente após a obtenção das credenciais. Dessa forma, é essencial incentivar senhas longas e complexas a fim de evitar o vazamento dessas credenciais, bem como reduzir a frequência da troca de senhas para melhorar a experiência do usuário.
"No final, acabamos recorrendo a derivados da mesma senha porque não conseguimos lembrar de outras novas e mais robustas para todos os serviços que utilizamos. Além disso, é comum reutilizar a mesma senha - ou outra muito semelhante - em vários serviços", Juan Caubet, diretor da Unidade de Segurança de TI do centro de tecnologia Eurecat, na Espanha.
Lucía Blasco (2021), em artigo para a BBC, ressalta a necessidade de uma abordagem mais eficaz na segurança de senhas, abordando o fim da troca frequente de senhas e a promoção da educação dos usuários sobre a criação de senhas seguras e o uso de passphrases.
Conscientização e educação do usuário
A conscientização e a adoção de práticas de segurança adequadas desempenham um papel fundamental na proteção de contas e dados contra ameaças cibernéticas. Apesar dos benefícios evidentes das passphrases, a adoção ainda é limitada devido à falta de conscientização entre os usuários. Muitos indivíduos continuam a utilizar senhas fracas e previsíveis, aumentando sua vulnerabilidade a ataques. A conscientização dos usuários sobre a importância da segurança das senhas é essencial para promover a adoção de passphrases. Campanhas de educação devem enfatizar os riscos associados ao uso de senhas simples e incentivar a criação de passphrases complexas e memoráveis.
fonte: N. Hanacek/NIST
Relatórios da National Institute of Standards and Technology (2017) destacaram a necessidade de educar os usuários sobre a importância da complexidade das senhas e a adoção de práticas seguras de autenticação. A fim de apoiar isto, no quadro acima recomendam os seguintes pontos:
1. Não confie somente em senhas para proteger qualquer coisa que você valorize. Ative a autenticação multifator sempre que possível.
2. Use uma passphrase com várias palavras que você possa imaginar, de modo que seja difícil de adivinhar, mas fácil de lembrar.
3. Proteja suas contas mais importantes, como contas bancárias e e-mail principal, atribuindo a cada uma delas uma passphrase exclusiva. Um gerenciador de senhas pode ajudar.
Conclusão
Imagine que seus usuários tenham diversas contas para administrar (o que já é um cenário plausível atualmente)... Quais são as chances de ele reutilizar a mesma senha? E levando em conta que se utilize a mesma senha do ambiente corporativo em outros locais, qual é a chance dessa senha vazar através de uma rede social, por exemplo? Será que o seu usuário está se comportando de maneira segura? Para responder a essas perguntas, este artigo ressaltou os benefícios da adoção passphrases em comparação às tradicionais passwords.
A complexidade aumentada das passphrases as torna altamente resistentes a ataques de força bruta, enquanto sua abordagem baseada em palavras facilita a memorização e a usabilidade.
Em adição a isso, recomenda-se também a redução da frequência de troca de senhas, possibilitando assim uma experiência mais segura e produtiva para os usuários.
Em um cenário ideal, a recomendação é de adoção de passphrases complexas (com letras maiúsculas, minúsculas, caracteres especiais e números) de no mínimo 16 caracteres, com um período mínimo de troca de 180 dias. Como complemento, também recomendamos a adoção do 2FA/MFA.
No entanto, para colher plenamente os benefícios destas ações, é fundamental combinar a adoção delas com esforços contínuos de conscientização e educação do usuário, estabelecendo assim uma Cultura de Segurança que seja apoiada pelos dispositivos de segurança aqui recomendados.
Finalizando, vale também observar que o artigo 46 da Lei Geral de Proteção de Dados Pessoais (LGPD) estabelece a responsabilidade dos agentes de tratamento de dados em adotar medidas de segurança para proteger dados pessoais contra acessos não autorizados e situações adversas. Essa disposição legal fornece uma base sólida para a avaliação da adoção das medidas aqui recomendadas para a sua Organização.
Referências:
1. Garcia, Mike. (2017). Easy Ways to Build a Better P@$5w0rd.
National Institute of Standards and Technology (NIST),
https://www.nist.gov/blogs/taking-measure/easy-ways-build-better-p5w0rd.
2. Center for Internet Security, Inc. (2023). CIS Password Policy Guide: Passphrases, Monitoring, and More.
CIS,
https://www.cisecurity.org/insights/blog/cis-password-policy-guide-passphrases-monitoring-and-more
3. Blasco, Lucía. (2021). Mudar senhas pode te deixar mais vulnerável a hackers?
BBC News Mundo,
https://www.uol.com.br/tilt/noticias/bbc/2021/04/21/quando-mudar-periodicamente-suas-senhas-pode-te-deixar-mais-vulneravel-a-hackers.htm.
4. Shen, Chao, & Yu , Tianwen, & Xu, Haodi, & Yang , Gengshan, & Guan, Xiaohong. (2016). User practice in password security: An empirical study of real-life passwords in the wild.
ScienceDirect,
https://www.sciencedirect.com/science/article/abs/pii/S0167404816300657.
5. W, Emma. (2023). The problems with forcing regular password expiry.
National Cyber Security Centre - SCSC,
https://www.ncsc.gov.uk/blog-post/problems-forcing-regular-password-expiry.
6. British Broadcasting Corporation. (2021). Quando mudar periodicamente suas senhas pode te deixar mais vulnerável a hackers.
BBC News Mundo,
https://www.uol.com.br/tilt/noticias/bbc/2021/04/21/quando-mudar-periodicamente-suas-senhas-pode-te-deixar-mais-vulneravel-a-hackers.htm.
7. Microsoft. (2023). What is Identity Protection?
Microsoft Corporation Article,
https://learn.microsoft.com/en-us/azure/active-directory/identity-protection/overview-identity-protection.
8. Fripp, Charlie. (2021). Use this chart to see how long it’ll take to crack your passwords.
Komando Security & Privacy Article,
https://www.komando.com/security-privacy/check-your-password-strength/783192/.
9. security.org. (2023). How Secure Is My Password?
Security Article,
https://www.security.org/how-secure-is-my-password/.
10. Presidência da República. (2018). Lei Geral de Proteção de Dados Pessoais (LGPD).
Secretaria-Geral - Subchefia para Assuntos Jurídicos,
https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm.
