Sua senha é mesmo segura?

Publicado por: redação
17/04/2009 03:37 AM
Exibições: 133

O Ser Humano frente à Segurança da Informação


A comunidade de segurança da informação recentemente deu-se conta de que o comportamento do usuário desempenha um papel importante em incidentes de segurança.

1.0    O ser humano como 'elo' mais fraco do sistemaSistemas de segurança da informação são freqüentemente comparados a uma corrente com muitos elos representando os componentes envolvidos, tais como equipamento, software, protocolos de comunicação de dados, e outros, incluindo o usuário humano. Na literatura sobre segurança da informação, o usuário humano é freqüentemente referenciado como o elo mais fraco (Sasse etal, 2001). Entretanto, além de culpar o usuário, pouco tem sido feito para identificar os fatores que levam a comportamentos potencialmente inseguros e menos ainda para tentar resolver tais problemas.

2.0    Prejuízos às organizações frente a utilização de senhasCorporações já gastaram milhões de dólares em firewalls, encriptação e dispositivos de acesso seguro.
Recursos que talvez tenham sido desperdiçados, uma vez que os usuários desses sistemas ainda são humanos, com todas as suas limitações humanas e, portanto, ainda o elo mais fraco.
Em 2006, as fraudes virtuais custaram ao Brasil cerca de 300 milhões de reais, de acordo com o Instituto de Peritos em Tecnologias Digitais e Telecomunicações (IPDI). Muitas deles podem ter sido ocasionadas com a falta de cuidados na criação de senhas. Gastos com TI subiram de 2003 para 2004 30%, e parte destes gastos são relativos a criação de mecanismos de segurança do sistema.
Em relação a gastos com Segurança em TI, observe os argumentos utilizados por um site de consultoria em Segurança da Informação:
“A maioria das empresas ainda não considera a segurança de suas informações um investimento prioritário - embora, curiosamente, geralmente dependam totalmente dela para operar e sobreviver”

“Segurança da informação não gera receita, reduz custos ou traz inovações e para a maioria dos projetos nessa área é simplesmente impossível
quantificar antecipadamente um ROI financeiro”

“Infelizmente, a maioria das empresas que investem em segurança da informação gastam seu orçamento em medidas corretivas e táticas - ao invés de aplicá-lo em medidas preventivas e estratégicas”
3.0    Memória HumanaHá uma série de características que impactam o projeto e o uso de sistemas de senhas. Entre essas características, uma das principais é a memorabilidade. Existe uma vasta gama de pesquisas em Psicologia da memória, que poderia ser usada para auxiliar na melhor compreensão do que está acontecendo de fato na mente humana ao ter que lembrar várias senhas no dia-a-dia. Os critérios para gerar senhas fortes fazem com que seja difícil para seres humanos mantê-las na memória, especialmente quando se tem várias senhas para lembrar.
Um artigo interessante publicado no site da UFRGS – Universidade Federal do Rio Grande do Sul incluía a explicação do professor Geraldo Fernando Xavier a respeito do funcionamento da memória.

 “Temos uma estrutura neurológica de complexidade extremamente elevada e, por isso, conseguimos arquivar as memórias”, afirma Geraldo Fernando Xavier, professor do Departamento de Fisiologia do Instituto de Biociências. Uma experiência marcante faz conjuntos de células de o sistema nervoso entrar em intensa atividade elétrica, o que pode desencadear reações bioquímicas e, assim, alterar a conexão entre os neurônios. Isso ocorre em vários pontos do cérebro, criando circuitos relacionados à representação da experiência original.
Existem muitas técnicas para treinar a memória. O primeiro a estudá-las foi o jesuíta italiano Mateo Ricci no século XVI. Ele se imaginava andando por um palácio que conhecia muito bem e guardando informações em lugares conhecidos, como gavetas e outros objetos. “A estratégia é manter as informações num contexto conhecido e ensaiá-las por mais tempo”, revela Xavier. Essa é a base de todos os métodos ditos modernos, métodos de associação.

4.0    O que, então, as pessoas fazem?
Há vários “maus hábitos”, amplamente difundidos, que já foram identificados (Brown etal., 2004, Yan et al., 2004). Tais maus hábitos incluem escrever as senhas em papel e armazená-los em locais óbvios, como o monitor do computador ou sob o mouse pad, ou utilizar a mesma senha repetidamente, ou ainda, escolher palavras simples ou nomes que são muito fáceis de adivinhar. Maus hábitos no uso de senhas significam que políticas de segurança, que foram cuidadosamente elaboradas, não estão sendo observadas. Na verdade, esses maus hábitos se materializam em vulnerabilidades de sistemas de informação, tais como senhas fracas, senhas comuns ou senhas visíveis. A seguir segue uma resumida lista de dicas para criação de senhas retirado do site da O CESUP-RS que é um Centro Nacional de Supercomputação, localizado na Região Sul do Brasil, em Porto Alegre, RS.

4.1 Sugestões para a Criação e Proteção de SenhasA senha de uma conta é um elemento crítico na segurança dos sistemas informatizados. O CESUP-RS sugere aos seus usuários trocar periodicamente suas senhas (no máximo de 2 em 2 meses) e que estas sejam diferentes nas diversas máquinas que ele estiver autorizado a usar.

A seguir, o CESUP-RS faz algumas considerações de como manter a privacidade de uma senha, como "inventar” uma senha e outras sugestões. Estas considerações foram retiradas da literatura e divulgadas no site da Artic Region Supercomputing Center.

1) Tente memorizar sua senha e evite escrevê-la. Se necessitar escrever sua senha, lembre-se:
a.    Não a identifique como sendo uma senha;
b.    Não escreva, junto à ela, nome da conta (username) e/ou máquina que está cadastrada;
c.    Escreva-a diferente do que ela é, misturando caracteres extras, rearranjando os caracteres de forma que possa ser lembrada;
d.    Não a armazene em teclas de comando de sua máquina, macros ou "scripts".

2) Invente um método privado de gerar senhas. Evite senhas que tenham algum significado como datas comemorativas pessoais ou não, endereços, nomes, palavras que possam ser encontradas em dicionário, etc.

3) Misture letras maiúsculas, minúsculas e caracteres especiais na senha.

4) Não passe sua conta/senha para outras pessoas. Se por alguma razão você precisar compartilhar sua conta/senha nunca envie via e-mail, mesmo se criptografada, pois alguns algoritmos são capazes de quebrar as senhas. Não use telefone celular.

5) Tenha a certeza de que ninguém esteja observando-o quando estiver digitando sua senha.

6) Não reutilize senhas antigas.
Segundo Patrick H. Wood e Stephen G. Kochan, "a melhor senha é aquela que tem, no mínimo, seis caracteres, não tem significado pessoal, e possui caracteres não alfabéticos na sua formação".
O CESUP-RS sugere o seguinte método para criação de senhas:
1 Pense numa frase;
2 Retire as primeiras letras das palavras desta frase;
3 Misture letras maiúsculas, minúsculas e caracteres especiais.
O exemplo a seguir ilustra a criação de uma senha:
"A saudade é uma cadeira de balanço embalando sozinha." Mário Quintana
A senha formada poderia ser: scbes.MQ

5.0 Pesquisa de Brown sobre hábitos na criação de senhas
Dentre os muito poucos estudos que têm investigado a criação e o uso de senhas, Brown e colaboradores (2004) entrevistaram 218 estudantes de graduação para avaliar a geração e o uso de senhas. Com base em um levantamento prévio, 19 itens foram incluídos no questionário, como conta bancária ou email. Para cada item, os participantes deveriam descrever o tipo de informação usada para criar ou lembrar da senha. Os resultados mostraram que dois terços das senhas foram geradas em torno de características pessoais dos usuários e a maioria das senhas restantes se relacionava à família, amigos ou relacionamentos amorosos.

Nomes próprios e aniversários compunham aproximadamente metade de todas as senhas levantadas. O estudo ainda encontrou suporte empírico para os maus hábitos mencionados acima. Quase todos os entrevistados reusavam senhas e mais da metade deles mantinha uma cópia escrita de suas senhas. O estudo de Brown e colegas corroboram achados de estudos anteriores, menos abrangentes, mas que também detectaram alguns maus hábitos e onde apenas um pequeno percentual de senhas foi criado de acordo com as diretrizes de segurança. Por exemplo, Carstens e colaboradores (2004) encontraram que indivíduos com oito a onze senhas corriam maiores risco de não conseguir lembrá-las. Com a proliferação de websites que requerem autenticação, e-mails pessoais e profissionais, contas bancárias, etc., possuir múltiplas senhas não é incomum nos dias de hoje. Entretanto, fora do mundo tecnológico, pouca atenção tem sido dada a problemas especificamente relacionados ao uso de senhas.

RESUMO DA PESQUISA:•    2/3 das senhas geradas em torno de características pessoais.
•    Maioria das senhas criadas relacionava-se com amigos, família, relacionamentos amorosos.
•    Quase todos reusavam e mantinham cópia escritas das senhas.
•    Pequeno percentual seguia as diretrizes seguras para criação de senhas.
6.0 Psicologia no auxílio da Segurança da Informação

Embora periódicos de tecnologia e administração (e.g. Ives et al., 2004; asse et al., 2001; Sieberg, 2005; Smith, 2002) tenham tratado de alguns aspectos pragmáticos da segurança de senhas, tais como maus hábitos e perdas de produtividade associadas ao esquecimento de senhas, na literatura psicológica ou da área de Interação Humano-Computador pouco foi dito sobre os aspectos cognitivos da criação, uso e esquecimento de senhas.
Todos os maus hábitos mencionados acima, bem como as falhas de memória no uso de senhas, acontecem simplesmente porque, na impossibilidade de memorizar suas senhas, as pessoas desenvolvem estratégias não seguras. Os estudos da Psicologia Cognitiva, que têm estudado o funcionamento da memória, têm mostrado consistentemente que:
• guardar informações literais, ou detalhes superficiais como a exata ordem em que os caracteres aparecem em uma senha, é uma coisa difícil (Reyna e Brainerd,1995);
• as pessoas tendem a ter facilidade de lembrar de coisas que têm significado (Tulving e Craik, 2000) - o que geralmente não é o caso das senhas aleatórias ou geradas pelo sistema;
• com a falta de uso e a passagem do tempo, traços literais, como a estrutura da senha ou a fonte, tendem a se perder;
• o fato de processar informações de natureza semelhante interfere no registro mnemônico dessas informações (Teoria da Interferência, Pergher e Stein, 2003; Dempster e Brainerd, 1995), acarretando perda de parte ou de toda a informação. Assim sendo, a indústria da segurança da informação, em seus esforços para tornar a autenticação por meio de senhas um mecanismo mais viável, poderia considerar o vasto arcabouço de conhecimento que a Psicologia da memória possui.

fontes:

http://www.inf.ufrgs.br/~cabral/INF141.Cap.03A.htmlhttp://www.usp.br/espacoaberto/arquivo/2006/espaco70ago/0comportamento.htmhttp://www.cesup.ufrgs.br/Politicas/senhas.htmhttp://idgnow.uol.com.br/seguranca/2007/07/13/idgnoticia.2007-07-13.8750778632/http://www.administradores.com.br/noticias/gasto_com_seguranca_em_ti_crescera_30_em_2004/151/http://www.faustiniconsulting.com/artigo10.htmhttp://www.infowester.com/tutsenhas.phphttp://www.tech-faq.com/lang/pt/bs7799.shtml

Vídeos da notícia

Imagens da notícia

Categorias:
Tags:

Mais vídeos relacionados