A segurança digital é uma das coisas que vai sendo atirada para o topo das notícias, graças aos recorrentes ataques que têm acontecido e que se apoderam dos dados de milhões de clientes dos mais variados serviços.
Muitos saberão também que graças aos GPUs e o seu incrível poder de processamento, as passwords com poucos caracteres são altamente vulneráveis, sendo recomendado que se utilizem passwords com 12 caracteres ou mais, e contendo combinações de letras minusculas e maiusculas, algarismos, e símbolos. É que usando os tais GPUs, facilmente se conseguem verificar 6 mil milhões de passwords por segundo, conseguindo identificar uma password de 8 caracteres em menos de 1 dia! (Isto no caso de ser um site que guarda as vossas passwords em hashes - porque se for um que guarde as passwords em formato de texto... bem... é melhor nem pensar nisso!)
Por tudo isto, é estranho que o Hotmail tenha decidido unilateralmente limitar as passwords no seu serviço a apenas 16 caracteres:
É que aqui o caso mais grave não é sequer o facto de se discutir se 16 caracteres serão suficientemente seguros... mas sim o facto de, para eles poderem aplicar isto às passwords já existentes, significa que terão que ter as passwords guardadas num formato recuperável - o que é um gigantesco risco de segurança!
Actualização: ao que parece, este problema não se coloca, pois a questão é que eles estariam apenas a considerar os 16 primeiros caracteres das passwords, desde sempre.
Está bem que o poder dos cpus e gpus atuais nos permite fazer pesquisas de muitas passwords por segundo, mas o acesso às bases de dados dos diversos serviços que utilizamos, não existe. Isto não é possível.
ResponderEliminarAcho que é uma falsa questão. Até uma passe de 5 letras serve. Os hackers não vão conseguir testar todas as combinações num serviço online, a não ser que roubem a base de dados ou então que o serviço seja fraco e não implemente proteções básicas. Nesse caso, a companhia é bom que avise os utilizadores para que mudem a password.
Estarei a pensar mal?
Sim. Em vários pontos.
Eliminar@Mori
EliminarA questão é mesmo essa, a de que o "roubo" dessas bases de dados tem sido bastante frequente, não passando uma semana sem que se venha a descobrir um ou outro serviço que tenha sido vítima dos hackers, que ganham o acesso a esses dados.
Rui, essa resposta é igual a 0, não acrescentou nadinha :)
EliminarMas Carlos, como eu referi, se houver roubo, é preciso trocar as fechaduras, o tamanho da pass deixa de ser relevante.
Uma última nota, apesar de não fazer muito sentido limitar, o impacto não será muito grande. A % de passwords superiores a 16 caracteres deve ser muito pequena.
@Mori
EliminarA questão poderá não ser relevante para quem usar passwords diferentes e aleatórios para todos os serviços; mas é altamente relevante para todos os que usarem passwords identicas em diferentes sites.
Um atacante ganha acesso à BD, com as passwords "hashadas"; e se for uma password de apenas 8 caracteres, pode cracká-la em menos de 1 dia.
Quanto mais longa for, mais difícil será encontrá-la. Considerando que estamos a falar de meras dezenas/centenas de bytes, é ridículo hoje em dia estar-se a limitar isso.
Também não entendo por que limitar isto...
ResponderEliminarNão sei se alguem le comentários para noticias "antigas" :)
ResponderEliminarmas aqui fica explicação, o problema é que as passwords eram so de 16 caracteres e eles estavam a ignorar o resto sem dizer nada, e pelos vistos querem aumentar o limite mas ainda vai demorar um bocado pois parece que e uma substituição complicada de toda infrastrutura. Por isso querem que todos tenham consciencia qual é de facto da sua password de 16 carecteres antes de aumentarem o sistema.
Obrigado pelo esclarecimento Miguel. Assim já se pode ficar mais descansado (o tal caso de terem sido eles a cortar à posteriori, o que implicava ter acesso às pass originais.)
EliminarSe já estavam cortadas "desde sempre"... menos mal.
Este comentário foi removido por um gestor do blogue.
ResponderEliminar