2013/03/31

Missão: Crackar Passwords em 24h


Não há semana que passe sem que fale numa qualquer empresa que tenha sido alvo de ataque, com hackers a terem conseguido roubar as suas bases de dados, com os emails dos seus clientes/utilizadores, e as "hashes" das suas passwords. Até que ponto é que isto será preocupante para os utilizadores?

Guardar a password de um utilizador (e todos os seus dados) de forma é algo que deve estar no topo da lista das preocupações de qualquer serviço. Hoje em dia será "criminoso" guardar a password de um utilizador de forma a que possa ser recuperada seja por quem for. (Um teste simples que podem fazer é seguir o processo de recuperação de password no site, e caso a password original que tiverem usado nesse serviço vos for enviada por email... nem percam mais tempo com isso: é fugir a sete pés deles, pois estão a demonstrar a sua completa incompetência nesta área!)

A única forma de manter uma password segura é guardá-la de forma a que não possa ser recuperada, nem mesmo pelos "donos" do site. É por isso que se usam técnicas como o hashing e o salting.

No entanto, nem mesmo essas técnicas são capazes de evitar que se conseguiram crackar passwords, e este caso que hoje vos trago torna-se interessante por ter sido um desafio para determinar até que ponto - usando as ferramentas publicamente disponíveis na internet - uma pessoa normal seria capaz de crackar as ditas passwords, e em apenas 24h.


Para resumir... o facto é que foi possível crackar quase metade das passwords que constavam na lista alvo.


Uma das conclusões foi a de que, para além das coisas óbvias (como não usar palavras comuns) um dos factores fundamentais para impedir que as vossas passwords sejam facilmente crackadas, é a sua dimensão.

Uma password com apenas cinco, seis, ou até sete caracteres pode ser facilmente crackadas por um atacante determinado, uma password com oito caracteres já eliminará os atacantes que apenas pensem usar o seu hardware "doméstico", mas poderá ainda estar ao alcance dos serviços de processamento "na cloud". Por isso, o melhor mesmo é arranjarem passwords que tenham 10 ou mais caracteres... (ou deixarem isso a cargo de um gestor de passwords. :)

Claro que isto em nada invalida que se continue a usar um sistema de autenticação "2-step", onde para além da password têm a segurança acrescida de uma validação adicional (como um código enviado via SMS para o vosso telemóvel, previamente validado e autorizado).

1 comentário:

  1. Giro "Hoje em dia será "criminoso" guardar a password de um utilizador de forma a que possa ser recuperada seja por quem for."

    Estava a ter uma conversa sobre segurança com um amigo meu que trabalha na zon... Ele pediu-me o nr de cliente e no dia seguinte deu me a minha password em plane text, agora pergunto se uma empresa desse tamanho tem essas falhas de segurança será que podemos confiar em alguém?

    Pessoalmente quando desenvolvo sistemas com autenticação uso sempre md5+salt, e estou a considerar começar a usar sha* pois já existem teras de md5 "descodificado"

    Cumprimentos,
    Eduardo Oliveira

    ResponderEliminar