Força da senha
A força da senha é uma medida da eficácia de uma senha contra ataques de adivinhação ou de força bruta . Em sua forma usual, estima quantas tentativas um invasor que não tem acesso direto à senha precisaria, em média, para adivinhar corretamente. A força de uma senha é uma função de comprimento, complexidade e imprevisibilidade. [1]
O uso de senhas fortes reduz o risco geral de violação de segurança, mas as senhas fortes não substituem a necessidade de outros controles de segurança eficazes . [2] A eficácia de uma senha de uma determinada força é fortemente determinada pelo design e implementação dos fatores (conhecimento, propriedade, inerência). O primeiro fator é o foco principal deste artigo.
A taxa na qual um invasor pode enviar senhas adivinhadas ao sistema é um fator-chave para determinar a segurança do sistema. Alguns sistemas impõem um tempo limite de vários segundos após um pequeno número (por exemplo, três) de tentativas de entrada de senha com falha. Na ausência de outras vulnerabilidades, esses sistemas podem ser efetivamente protegidos com senhas relativamente simples. No entanto, o sistema deve armazenar informações sobre as senhas do usuário de alguma forma e, se essas informações forem roubadas, por exemplo, violando a segurança do sistema, as senhas do usuário podem estar em risco.
Em 2019, o NCSC do Reino Unido analisou bancos de dados públicos de contas violadas para ver quais palavras, frases e strings as pessoas usavam. A senha mais popular da lista foi 123456, aparecendo em mais de 23 milhões de senhas. A segunda string mais popular, 123456789, não era muito mais difícil de decifrar, enquanto as cinco primeiras incluíam " qwerty ", "password" e 1111111. [3]
As senhas são criadas automaticamente (usando equipamento de randomização) ou por um humano; o último caso é mais comum. Embora a força de senhas escolhidas aleatoriamente contra um ataque de força bruta possa ser calculada com precisão, é difícil determinar a força de senhas geradas por humanos.
Normalmente, os humanos são solicitados a escolher uma senha, às vezes guiados por sugestões ou restritos por um conjunto de regras, ao criar uma nova conta para um sistema de computador ou site da Internet. Apenas estimativas aproximadas de força são possíveis, pois os humanos tendem a seguir padrões em tais tarefas, e esses padrões geralmente podem ajudar um invasor. [4] Além disso, listas de senhas comumente escolhidas estão amplamente disponíveis para uso por programas de adivinhação de senha. Essas listas incluem os numerosos dicionários online para várias línguas humanas, bancos de dados violados [ clarificação necessária ] de texto simples e hashsenhas de várias contas comerciais e sociais online, juntamente com outras senhas comuns. Todos os itens dessas listas são considerados fracos, assim como as senhas que são simples modificações delas.
