Uma solução rápida para questões estúpidas na redefinição de passwords

Este recurso ridículo é uma enorme vulnerabilidade. Se é forçado a usá-lo, eis como terná-lo mais seguro, explica Roger Grimes, colunista da InfoWorld.

Não foram precisas 500 milhões de contas do Yahoo serem invadidas para me fazerem odiar, odiar e odiar a redefinição de passwords com perguntas (também conhecida como autenticação baseada em conhecimento, de “knowledge-based authentication” ou KBA). Não ajudou quando soube que a redefinição de passwords por perguntas e respostas – que muitas vezes são idênticas, requeridas e re-utilizadas noutros sites – foram igualmente comprometidas nesse ataque.

Existe alguma pessoa na segurança ou uma orientação respeitada de segurança que goste disto? São tão século passado. Qual é o nome de solteira da sua mãe? Qual a sua cor preferida? Qual foi o primeiro nome do seu animal de estimação?

As questões “mais difíceis” (se posso usar esse termo) podem ter até 100 ou 200 respostas possíveis, e apenas se não for obrigado a escolher respostas pré-definidas. Graças ao advento dos media sociais e sites de registos de verificação (muitas vezes ilegais), estas questões não são difíceis de adivinhar.

Os elos mais fracos
Durante décadas, soubemos que questões de redefinição de passwords eram o elo mais fraco em qualquer sistema de autenticação. Os hackers gostam deles. Enquanto podem, supostamente, proteger as passwords com um nível decente de complexidade e de entropia, a resposta a uma pergunta KBA quase sempre carece de ambas.

Lembra-se provavelmente do ataque ao email de Sarah Palin. O hacker condenado descreveu como aceder às perguntas KBA foi tão fácil que ele nem sequer poderia chamá-lo de hacking – aparentemente, usou um artigo da Wikipedia para encontrar a data de nascimento de Palin, uma questão de segurança comum na época. A conta de Mitt Romney ficou igualmente comprometida devido ao conhecimento do seu animal favorito.

Mesmo muito bons investigadores e jornalistas de segurança informática foram atacados pela KBA. Não importa o quão bom se é em segurança, é-se deixado sem nenhuma segurança se um site exige que use perguntas e respostas KBA fracas.

password-security-infoworld

O que fazer quando se é forçado a usar KBA
Milhões de sites e serviços exigem muitas vezes que usemos sistemas KBA. Se quer uma conta, deve fornecer pelo menos uma (muitas vezes três) respostas KBA (e, às vezes, também perguntas).

Aqui está o que fazer: trate as respostas KBA como uma password. Se for solicitado por três perguntas e respostas KBA, faça todas as respostas separadas, sem sentido e como se fossem uma password.

Nunca coloque a resposta real. Nem sequer possíveis respostas falsas que pareçam realistas.

O que estou a dizer é para inventar passwords separadas para cada pergunta KBA, e certificar-se que não vai repeti-las entre sites ou serviços (embora eu concorde em usar a mesma resposta KBA à password para todas as perguntas se o mesmo site o permitir). Na minha experiência, a maioria dos sites que exigem respostas KBA não procura ver se essas suas respostas são únicas às perguntas, mas cerca de 25% é capaz de o fazer.

Não quer usar as mesmas respostas KBA em sites diferentes – se um for atacado (como sucedeu ao Yahoo em 2014… e só agora se está a descobrir isso), o atacante pode tentar usar a sua KBA noutros sites a que não tenha ainda acedido. Isso é o que eu faria se fosse um hacker mal intencionado.

Sim, isto significa que tem de escrever as suas perguntas e respostas KBA para cada site, da mesma forma que já pode guardar as suas actuais passwords. Espero que nunca guarde a sua password de forma completa, em texto simples, embora ache que tem de fazê-lo com os métodos de armazenamento de passwords que preenchem automaticamente a sua resposta. Eu não confio nesses sistemas de armazenamento de passwords tal como nos com KBA.

A maioria das fontes que recomendam respostas KBA mais fortes também sugerem o uso de respostas que hackers nunca vão adivinhar. Isto não é suficiente. É preciso ter a certeza de que as respostas não estão perto de qualquer verdadeira resposta possível (por exemplo, uma cadeia complexa de caracteres) e não devem ser re-utilizadas entre sites.

Sei que não é fácil, por isso lembre esses sites em que século estamos, para os levar a começarem a utilizar a autenticação de dois factores em vez disto. Assim, as suas fotos embaraçosas ou emails pessoais não acabam na Web porque o seu fornecedor era mau em segurança.

Autores
O seu comentário...

*

Top