FAVORITAR
FecharPlease login

Evolução da Autenticação: Comparando Senhas, Frases de Senha e Chaves de Acesso

No filme “Horse Feathers” (1932) dos Irmãos Marx, Wagstaff (Groucho), o novo presidente da faculdade, visita um bar clandestino. Baravelli (Chico) acidentalmente revela que a senha de entrada é “Swordfish”. No entanto, depois que Wagstaff entra e Baravelli sai, Wagstaff altera a senha, prontamente a esquecendo. Esse contratempo resulta em ambos ficarem trancados do lado de fora. Essa comédia inicial exemplifica, embora de forma exagerada, as falhas na natureza humana e no comportamento quando se trata de senhas.

Senhas fracas têm sido um problema consistente para a segurança de dados. De acordo com diversos estudos e relatórios ao longo dos anos, senhas fracas ou reutilizadas frequentemente são os principais culpados em muitas violações de dados. Neste artigo, vamos dar uma olhada nas diferenças entre senhas, frases-passe e chaves de acesso, e como o poder do “comprimento” é o fator chave para a segurança, independentemente de você usar senhas ou frases-passe.

O elo mais fraco

O elo mais fraco na segurança de ativos digitais é frequentemente dito ser o “elemento humano”. Apesar da tecnologia avançada e dos protocolos de segurança sofisticados, comportamentos humanos, erros e negligências podem introduzir vulnerabilidades que atores maliciosos podem explorar. Entre a lista de vulnerabilidades apresentadas pelo elemento humano, práticas de senhas inadequadas estão entre as principais. Muitas pessoas ainda usam senhas fracas ou reutilizam senhas em vários sites e serviços, facilitando para os atacantes obter acesso não autorizado.

Por exemplo, em 2023, 64% das senhas continham apenas de oito a 11 caracteres. Quase 40% dos usuários admitem compartilhar suas senhas pessoais com outros, e 61% dos afetados por hacking de senha tinham senhas com menos de oito caracteres.

Também, de acordo com o Relatório de Ameaças Cibernéticas do segundo trimestre de 2023 (1º de abril a 30 de junho) da ReliaQuest, foi observado um aumento significativo na atividade de ransomware, marcando-o como o trimestre com o maior número de vítimas listadas em sites de vazamento de dados de ransomware. O grupo de ransomware ALPHV, afiliado ao “DarkSide” e “BlackMatter”, pratica a extorsão tripla: ransomware, roubo de dados e ataques de negação de serviço (DDoS). ALPHV emprega os algoritmos de criptografia AES e ChaCha20, visando sistemas operacionais como Windows, ESXi, Debian e outros. Eles infiltram sistemas através de vulnerabilidades, senhas comprometidas ou intermediários de acesso inicial (IABs), usando ferramentas como WebBrowserPassView, Cobalt Strike e Mimikatz para aquisição de senha, acesso inicial e escalonamento de privilégios.

Também, de acordo com o Relatório de Ameaças Cibernéticas do segundo trimestre de 2023 (1º de abril a 30 de junho) da ReliaQuest, foi observado um aumento significativo na atividade de ransomware, marcando-o como o trimestre com o maior número de vítimas listadas em sites de vazamento de dados de ransomware. O grupo de ransomware ALPHV, afiliado ao “DarkSide” e “BlackMatter”, pratica a extorsão tripla: ransomware, roubo de dados e ataques de negação de serviço (DDoS). O ALPHV emprega os algoritmos de criptografia AES e ChaCha20, visando sistemas operacionais como Windows, ESXi, Debian e outros. Eles infiltram sistemas através de vulnerabilidades, senhas comprometidas ou intermediários de acesso inicial (IABs), usando ferramentas como WebBrowserPassView, Cobalt Strike e Mimikatz para aquisição de senha, acesso inicial e escalonamento de privilégios.

Por fim, o custo médio global de uma violação de dados em 2023 foi recorde de US$ 4,45 milhões. Além disso, um estudo de 2019 do Instituto Ponemon destacou que empresas nos Estados Unidos, Reino Unido, Alemanha e França gastam, em média, cerca de US$ 5,2 milhões anualmente respondendo a problemas relacionados a senhas, revelando o impacto econômico das práticas de senha fracas.

Autenticação do Usuário

A autenticação do usuário é crucial para a segurança online e, apesar dos movimentos de educação e conscientização, os usuários ainda praticam uma etiqueta de senha inadequada e às vezes são vítimas de e-mails de phishing, resultando em acesso não autorizado, infecções por malware e violações de dados. Além disso, negligências na segurança física, como perder dispositivos — por exemplo, laptops ou unidades USB — ou deixá-los sem supervisão, podem resultar em violações de dados. Sem treinamento adequado em segurança cibernética, os funcionários podem não reconhecer ameaças de segurança potenciais ou entender as melhores práticas para mitigá-las.

Para abordar todos esses elementos humanos, a educação contínua, o treinamento e as campanhas de conscientização em segurança cibernética são essenciais. Ferramentas como autenticação multifator (MFA) também podem mitigar os riscos associados a erros humanos. Ainda assim, cultivar uma cultura corporativa e pessoal consciente da segurança é uma das estratégias mais eficazes para proteger ativos digitais.

Melhores Práticas de Autenticação

Mover-se em direção a uma cultura consciente da segurança requer repensar nossas abordagens à autenticação. A autenticação das credenciais de login visa verificar a identidade de um indivíduo, garantindo que o acesso ao sistema seja concedido apenas a usuários legítimos. Compreender as melhores práticas para os três principais métodos de autenticação de usuários — senhas, frases-passe e chaves de acesso — é crucial para evitar acesso não autorizado ao sistema e frustrar possíveis atacantes.

As senhas são sequências de caracteres criadas pelo usuário, enquanto as frases-passe são sequências baseadas em palavras mais longas para uma segurança aprimorada. As chaves de acesso empregam criptografia de chave pública, armazenadas em dispositivos, e usam biometria ou chaves de segurança como o segundo fator de autenticação em vez de códigos.

O fator chave para a segurança, seja usando senhas ou frases-passe, é o comprimento. Aumentar o comprimento de uma senha eleva exponencialmente a dificuldade de força bruta. As frases-passe têm força equivalente ou melhor do que senhas do mesmo comprimento. Senhas muito longas, com mais de 20 caracteres, ou frases de senha com mais de 5 palavras oferecem proteção que pode levar mais tempo do que uma vida humana para serem quebradas apenas por força bruta (Tabela 1).

Tabela 1: Comparação dos tempos estimados de quebra de força bruta para senhas versus senhas de diferentes comprimentos com números, letras maiúsculas e minúsculas e símbolos. Observe que os tempos estimados são aproximados, pois a velocidade do crack depende muito do hardware e das técnicas de hacking. (Fonte: Autor)

Comprimento da senha/frase-passeTempo estimado de crack
Senha de 8 caracteresSegundos a minutos
Senha de 12 caracteresHoras a dias
Senha de 16 caracteresAnos
Senha de 20 caracteresSéculos
Frase-passe de 4 palavrasSéculos
Frase-passe de 5 palavrasMilênios
Frase-passe de 6 palavrasMilhões de anos
Frase-passe de 7 palavrasBilhões de anos

Principais Características de Senhas, Frases-passe e Chaves de Acesso

Senhas

  • Autenticação: Senhas são um dos métodos mais comuns para autenticação de usuários. Elas ajudam os sistemas a verificar a identidade dos usuários.
  • Complexidade: Uma senha forte geralmente consiste em uma mistura de letras maiúsculas, minúsculas, números e símbolos, o que torna difícil para usuários não autorizados adivinhá-la ou quebrá-la usando vários métodos de hacking.
  • Criptografia: Em sistemas seguros, senhas são frequentemente armazenadas de forma criptografada. Quando os usuários inserem sua senha, o sistema criptografa a entrada e a compara com a versão criptografada armazenada.
  • Casos de Uso: Senhas são utilizadas em vários contextos digitais, incluindo o login em computadores, contas de e-mail, plataformas de mídia social, serviços bancários online e muito mais.
  • Pontos Fracos de Segurança: Devido ao seu uso generalizado e à construção muitas vezes fraca, senhas são um alvo frequente para ciberataques, como ataques de força bruta, ataques de dicionário e phishing. Além disso, senhas podem ser difíceis de lembrar.
  • Melhores Práticas: É recomendável ter senhas únicas para diferentes contas, atualizá-las regularmente e evitar o uso de informações que sejam descobertas facilmente, como datas de nascimento ou nomes.
  • Prova Adicional de Identidade: Senhas estão cada vez mais sendo combinadas com outros métodos de autenticação, como autenticação de dois fatores (2FA), para melhorar a segurança.

Frases-passe

  • Comprimento: Frases-passe geralmente são mais longas do que senhas. Esse comprimento adicional pode torná-las mais seguras contra ataques de força bruta.
  • Facilidade de Memorização: Frases de senha frequentemente consistem em várias palavras ou uma frase, tornando-as mais fáceis de lembrar do que senhas complexas. Por exemplo, “DiaChuvosoCéuAzul!” é mais fácil de lembrar do que “B$Rd#91!”.
  • Uso: Frases de senha funcionam bem para senhas principais ou chaves de criptografia.
  • Entropia: Boas frases de senha têm alta entropia, o que significa que são aleatórias e difíceis de prever. Isso as torna resistentes a ataques de dicionário, nos quais um atacante tenta cada palavra do dicionário.
  • Uso em Criptografia: Frases-passe são frequentemente usadas como componente memorável pelo humano na geração de chaves de criptografia fortes. Por exemplo, na criptografia PGP (Pretty Good Privacy), uma Frases-passe criptografa a chave privada.
  • Facilidade de Digitação: Como frequentemente são compostas por palavras regulares ou frases, frases de senha podem ser mais rápidas e menos propensas a erros em comparação com senhas com uma mistura de caracteres, números e símbolos.
  • Comunalidade: Nem todas as frases-passe são seguras. “senha1234” é tecnicamente uma frase-passe, mas não é segura. Boas frases de senha devem evitar o uso de frases ou citações comuns e idealmente incluir uma mistura de tipos de caracteres (maiúsculas, minúsculas, números, símbolos) quando o sistema permite.

Chaves de Acesso

  • Criptografia de Chave Pública: Chaves de acesso frequentemente se relacionam com pares de chaves criptográficas consistindo de uma chave pública e uma chave privada. A chave pública pode ser compartilhada com qualquer pessoa, enquanto a chave privada permanece confidencial.
  • Baseado em Dispositivo: Chaves de acesso podem ser geradas e armazenadas no dispositivo do usuário, como um smartphone ou token de segurança de hardware. Chaves de acesso eliminam a reutilização de senhas em várias contas.
  • Autenticação de Dois Fatores (2FA): Em algumas implementações, chaves de acesso são usadas como parte de um processo de 2FA. Além de algo que você sabe (como uma senha), envolve algo que você possui, como um dispositivo que gera ou armazena uma chave de acesso, como um YubiKey.
  • Integração Biométrica: Alguns sistemas de chaves de acesso incorporam biometria como uma camada de segurança adicional. Um dispositivo pode exigir uma digital ou reconhecimento facial antes de exibir ou usar a chave de acesso.
  • Uso em Autenticação Temporária: Chaves de acesso às vezes podem ser códigos temporários ou de uso único gerados para o propósito de uma sessão ou transação específica.
  • Evitar Segredos Compartilhados: Ao contrário de senhas, que são compartilhadas com o servidor para validação (embora geralmente em forma hash), chaves de acesso, especialmente no contexto de criptografia de chave pública, evitam a necessidade de compartilhar segredos. O servidor pode verificar a identidade do usuário sem nunca saber ou armazenar a chave de acesso exata. Chaves de acesso são resilientes contra phishing e vazamentos, são mais fáceis de usar e mais seguras.

Produtos em Destaque

O artigo desta semana apresenta o EV97M19A da Microchip Technology e o iShield Key Pro da Swissbit. Essas duas soluções de ponta são desenvolvidas para aqueles que exigem segurança intransigente em aplicações de engenharia.

O EV97M19A da Microchip Technology é uma placa de extensão compacta mikroBUS™ para demonstrar as capacidades SHA104 e SHA105 da Microchip. Enquanto o SHA104 se concentra em aplicações do lado do acessório, como consumíveis, o SHA105 atende às necessidades do lado do host, permitindo autenticação mútua. Juntos, eles garantem uma autenticação simétrica mútua robusta em ambientes comerciais e industriais.

Projetado para integração perfeita com a Plataforma de Confiança CryptoAuth e outras plataformas da Microchip com um cabeçalho mikroBUS da MikroElektronika, o EV97M19A também suporta conexão com placas de cabeçalho XPRO via ATMBUSADAPTER-XPRO. Ele simplifica o desenvolvimento de sistemas de autenticação com seus dispositivos Microchip integrados.

Principais Características:

  • Dispositivos SHA104 e SHA105 com interface I2C para autenticação do lado do acessório e do lado do host, respectivamente.
  • Dispositivo adicional SHA104 com interface SWI-PWM exclusiva da Microchip.
  • Opção de alimentação parasitária conveniente para SHA104 e jumper selecionável.
  • Placa mikroBUS compacta com cabeçalho de passagem para placas mikroBUS extras.
  • Alimentação padrão de 3V com opcional de 5V via resistor de 0Ω.
  • LED indicador de energia.

O iShield Key Pro da Swissbit (USB-A/NFC) oferece autenticação segura, simples e versátil. Essa solução baseada em hardware eleva a proteção de contas online contra ataques virtuais, como phishing, engenharia social e usurpação de contas, alinhando-se à reputação da Swissbit por robusta segurança de dados e dispositivos. Adaptado para empresas, infraestruturas de TI e provedores de serviços online, oferece aos usuários proteção superior para contas online pessoais e profissionais por meio de criptografia assimétrica avançada. Fabricado na fábrica da Swissbit em Berlim, o iShield Key Pro possui qualidade impecável e é personalizável. Ele suporta NFC para dispositivos móveis e garante integração perfeita com qualquer plataforma compatível com FIDO2 e U2F, permitindo até mesmo logins sem senha no Windows 10. Com seu design completo, ele fortalece a autenticação, substitui senhas tradicionais e oferece opções que vão desde autenticação de um fator até autenticação de múltiplos fatores.

Principais Características:

  • Funciona com sites e serviços compatíveis com FIDO2 e U2F
  • Suporta padrões FIDO2 e U2F
  • Criptografia de chave pública e privada
  • HOTP (Evento), Smartcard (compatível com PIV), compatível com OpenSC
  • Chave de segurança durável com invólucro totalmente moldado, robusto e resistente à água
  • Autenticação por toque com NFC para dispositivos móveis
  • Autenticação por toque para interface USB-A
  • Sistemas Operacionais: Windows 10/11, macOS, iOS, Linux, Chrome OS, Android
  • Navegadores: Firefox, MS Edge, Google Chrome, Apple Safari

Conclusão

As senhas são uma parte predominante de nossas vidas, e embora os incessantes requisitos para atualizá-las possam parecer tediosos, levar a autenticação a sério é o primeiro passo para proteger nossos dados. Senhas fracas são uma vulnerabilidade significativa em termos de cibersegurança que acarreta custos significativos. A autenticação segura do usuário é primordial na era digital. Senhas, frases-passe e chaves de acesso desempenham papéis vitais em garantir que apenas usuários autorizados acessem sistemas. Cada um oferece vantagens, mas sua eficácia depende do uso e compreensão adequados. Ainda assim, independentemente do método de autenticação escolhido, o comprimento é um fator de segurança crucial. O comprimento de uma senha influencia diretamente sua resiliência contra ataques de força bruta. Embora existam inúmeras melhores práticas para autenticação, a maior defesa da cibersegurança é o comprimento da senha.

Artigo escrito por Rudy e publicado no blog da Mouser Electronics: New Tech Tuesdays: Progression of Authentication: Comparing Passwords, Passphrases, and Passkeys

Traduzido pela Equipe Embarcados. Visite a página da Mouser Electronics no Embarcados

Sem licença Creative Commons
Comentários:
Notificações
Notificar
0 Comentários
Inline Feedbacks
View all comments
Home » Software » Engenharia de Software » Evolução da Autenticação: Comparando Senhas, Frases de Senha e Chaves de Acesso

EM DESTAQUE

WEBINARS

LEIA TAMBÉM

JUNTE-SE HOJE À COMUNIDADE EMBARCADOS

Talvez você goste:


Seminário de
Sistemas Embarcados e IoT 2024
 
Data: 25/06 | Local: Hotel Holiday Inn Anhembi, São Paulo-SP
 
GARANTA SEU INGRESSO

 
close-link