A controvérsia surge quando pesquisadores começam a questionar a validade disso tudo. Afinal de contas, todo mundo sabe que na prática a teoria é outra. Ninguém lembra de senhas complicadas que não fazem sentido. Usuários não perdem tempo e logo inventam maneiras fáceis de burlar esse mecanismo que deveria trazer mais segurança. Alguns chegam a escrever a senha num pedaço de papel e deixá-lo na gaveta ou mesmo em cima da mesa. Outros, por exemplo, escolhem uma palavra simples e adicionam um símbolo e alguns números.
Carros@123
Quando for obrigado a trocar de senha...
Carros@124
ou se não puder mais usar a palavra Carros
Boneca@123
Assim fica fácil de lembrar, mas cadê a segurança?
Steve Gibson, engenheiro de software especialista em segurança, comenta em seu podcast semanal a respeito da prática mais comum no mundo corporativo. O podcast é longo, mas o trecho que interessa segue traduzido e adaptado.
{...}
STEVE: Bem, já falamos sobre isso antes. Mas quando vi essa pergunta (de um ouvinte), logo pensei que vale a pena revermos este assunto. Não consigo entender esse modelo de segurança. O que levaria o responsável pela segurança de uma empresa a imaginar que a trocar de senha a cada seis meses seja um benefício?
Se está fazendo isso então precisa de uma justificativa, algum tipo de ameaça. Se essa prática for a adotada é porque ela deve resolver um problema. Ela certamente traz aborrecimentos aos usuários, pois está dizendo a todos que aquela senha difícil que levaram semanas para memorizar agora precisam jogar fora. Além de terem que criar outra senha difícil e completamente nova, usuários precisam lembrar de esquecer a senha velha e lembrar de memorizar a senha nova.
Essa prática só traz benefícios num cenário muito restrito. Imagine que a senha de um funcionário fosse comprometida, ou seja, um elemento criminoso roubou a senha. Uma senha nova só ajudaria no caso desse criminoso não tentar usar a senha atual pelos próximos seis meses! Ou seja, algum fator externo bizarro precisa evitar que o criminoso use a senha roubada por seis meses até que o funcinário seja obrigado a trocar de senha. Somente assim, a estratégia da empresa teria sucesso.
Essa estratégia assume que ataques de segurança só devam acontecer em períodos maiores do que seis meses, pois o funcionário teria tempo de mudar a senha antes que um ataque seja feito. Mas todos sabemos que um criminoso jamais esperaria tanto tempo. Senhas roubadas são usadas no mesmo dia, horas depois de serem comprometidas.
LOCUTOR: Eles imaginam que um hacker ficaria segurando uma senha roubada por 7 meses antes de usá-la.
STEVE: Somente num mundo bizarro esse tipo de estratégia traria benefício. Não faz o menor sentido. E ainda hoje, muitas empresas obrigam os funcionários a trocar de senha a cada tantas semanas ou tantos meses.
LOCUTOR: Uma empresa onde trabalhei nos obrigava a trocar de senha a cada 3 meses e nem podíamos usar a mesma senha que havia sido usada nas últimas três vezes.
STEVE: Pois é. Lembro-me de ter comentado algo interessante com o Leo (outro locutor) em outro podcast. Algumas pessoas já encontraram uma maneira de sempre usar a mesma senha. No exemplo da sua antiga empresa, basta mudar a senha três vezes usando senhas diferentes. E na quarta vez mude para a primeira senha novamente. E assim as pessoas sempre acham uma maneira de quebrar essa política ridícula de segurança imposta pelo departamento de TI.
Existem pesquisas que mostram que o departamento de TI está se tornando a área mais odiada na maioria das empresas. Estratégias como essa ajudam a criar uma imagem negativa. Outros departamentos não conseguem ver o TI como algo que tráz benefícios, mas como um grupo de pessoas que fica complicando a vida dos outros.
0 comentários:
Postar um comentário