Google declara guerra a senhas e propõe novo modelo de autenticação

"Em um documento, que será publicado ainda este mês pela IEEE Security & Privacy Magazine, a equipe de segurança do Google destacou novas formas de as pessoas fazerem logins em seus serviços, como simplesmente bater com o anel do seu dedo na tela do seu computador. Os destaques foram feitos por Eric Grosse, vice-presidente de segurança, e o engenheiro Mayank Upadhyay.

2012 foi o ano em que as senhas foram bastante violadas. Parece que todo mundo recebeu spam ou algum golpe. Na verdade, as senhas são uma forma barata e fácil para qualquer pessoa se logar a um serviço, mas elas não são seguras o suficiente para a Internet de hoje."

Matéria completa:
Google declara guerra a senhas e propõe novo modelo de autenticação

Abraço!

O quê pode ser mais seguro que uma senha?

Toda forma de autenticação é sujeita a falhas. Digitais, íris, vasos sanguíneos…
Aliás, coisas que me intrigam quando falamos de evolução tecnológica:

  • Motores a combustão, com pequenas diferenças, são os mesmos que substituíram os motores a vapor.
  • Aparelhos de barbear , salvo as lâminas adicionais, ainda são iguais e duram pouco tempo (além de serem caros).
  • Senhas, um dia, todas as combinações possíveis, já estarão mapeadas em criptografias de 16, 32, 64, 128, 256, 512, 1024…

[quote=drsmachado]Toda forma de autenticação é sujeita a falhas. Digitais, íris, vasos sanguíneos…
Aliás, coisas que me intrigam quando falamos de evolução tecnológica:

  • Motores a combustão, com pequenas diferenças, são os mesmos que substituíram os motores a vapor.
  • Aparelhos de barbear , salvo as lâminas adicionais, ainda são iguais e duram pouco tempo (além de serem caros).
  • Senhas, um dia, todas as combinações possíveis, já estarão mapeadas em criptografias de 16, 32, 64, 128, 256, 512, 1024…[/quote]

Como?

[quote=juliocbq][quote=drsmachado]Toda forma de autenticação é sujeita a falhas. Digitais, íris, vasos sanguíneos…
Aliás, coisas que me intrigam quando falamos de evolução tecnológica:

  • Motores a combustão, com pequenas diferenças, são os mesmos que substituíram os motores a vapor.
  • Aparelhos de barbear , salvo as lâminas adicionais, ainda são iguais e duram pouco tempo (além de serem caros).
  • Senhas, um dia, todas as combinações possíveis, já estarão mapeadas em criptografias de 16, 32, 64, 128, 256, 512, 1024…[/quote]

Como?[/quote]
Há uma série de sites espalhados nos mais diversos cantos da internet que disponibilizam “opções” de descriptografar baseados em chaves MD5, SHA1, SHA2 e afins.
Basta que você entre com uma combinação e eles te retornam o valor criptografado ou o inverso.
Claro que é um exagero dizer que daqui 10 anos não existirá senha segura, mas, creio que grande parte (como as sequenciais, datas de aniversário, placas de carro) estará seriamente comprometida.
Além do que, criar senhas complexas não é difícil, o problema, para muitos, é lembrar da senha criada.

[quote=drsmachado][quote=juliocbq][quote=drsmachado]Toda forma de autenticação é sujeita a falhas. Digitais, íris, vasos sanguíneos…
Aliás, coisas que me intrigam quando falamos de evolução tecnológica:

  • Motores a combustão, com pequenas diferenças, são os mesmos que substituíram os motores a vapor.
  • Aparelhos de barbear , salvo as lâminas adicionais, ainda são iguais e duram pouco tempo (além de serem caros).
  • Senhas, um dia, todas as combinações possíveis, já estarão mapeadas em criptografias de 16, 32, 64, 128, 256, 512, 1024…[/quote]

Como?[/quote]
Há uma série de sites espalhados nos mais diversos cantos da internet que disponibilizam “opções” de descriptografar baseados em chaves MD5, SHA1, SHA2 e afins.
Basta que você entre com uma combinação e eles te retornam o valor criptografado ou o inverso.
Claro que é um exagero dizer que daqui 10 anos não existirá senha segura, mas, creio que grande parte (como as sequenciais, datas de aniversário, placas de carro) estará seriamente comprometida.
Além do que, criar senhas complexas não é difícil, o problema, para muitos, é lembrar da senha criada.[/quote]

Mas sha1 não é usado em nenhum campo que seja crítico(podem existir colisões e falhas). Tenta decriptografar SHA de 256 bits. Por força bruta vai levar muito tempo e inviabiliza o esforço. No MD5, é preciso de 16 yottabyte de espaço para poder gerar todos os códigos possíveis, ou seja, 1,7x10^13 Terabyte.

A senha se comparando com biometria e afins é o melhor meio de segurança que existe hoje.

No caso da senha como palavra de dicionário e datas aí sim você estará simplificando a força bruta para um meio viável.

[quote=juliocbq]Mas sha1 não é usado em nenhum campo que seja crítico(podem existir colisões e falhas). Tenta decriptografar SHA de 256 bits. Por força bruta vai levar muito tempo e inviabiliza o esforço. No MD5, é preciso de 16 yottabyte de espaço para poder gerar todos os códigos possíveis, ou seja, 1,7x10^13 Terabyte.

A senha se comparando com biometria e afins é o melhor meio de segurança que existe hoje.

No caso da senha como palavra de dicionário e datas aí sim você estará simplificando a força bruta para um meio viável.
[/quote]
É, existem diversas técnicas que “facilitam” a quebra da senha. A grande maioria das pessoas (creio eu) procura deixar senhas fáceis como o drsmachado disse. Portanto ao tentar as coisas básicas “111111”, “123456”, aniversários e afins, já descobrem uma boa quantidade de senhas.

Eu particularmente não teria uma senha como essa: “1oqh®37¬”

[quote=Rodrigo Sasaki][quote=juliocbq]Mas sha1 não é usado em nenhum campo que seja crítico(podem existir colisões e falhas). Tenta decriptografar SHA de 256 bits. Por força bruta vai levar muito tempo e inviabiliza o esforço. No MD5, é preciso de 16 yottabyte de espaço para poder gerar todos os códigos possíveis, ou seja, 1,7x10^13 Terabyte.

A senha se comparando com biometria e afins é o melhor meio de segurança que existe hoje.

No caso da senha como palavra de dicionário e datas aí sim você estará simplificando a força bruta para um meio viável.
[/quote]
É, existem diversas técnicas que “facilitam” a quebra da senha. A grande maioria das pessoas (creio eu) procura deixar senhas fáceis como o drsmachado disse. Portanto ao tentar as coisas básicas “111111”, “123456”, aniversários e afins, já descobrem uma boa quantidade de senhas.

Eu particularmente não teria uma senha como essa: “1oqh®37¬”[/quote]

você pode frasear com números, símbolos, etc: m1nh@5enh@123…

[quote=juliocbq][quote=drsmachado][quote=juliocbq][quote=drsmachado]Toda forma de autenticação é sujeita a falhas. Digitais, íris, vasos sanguíneos…
Aliás, coisas que me intrigam quando falamos de evolução tecnológica:

  • Motores a combustão, com pequenas diferenças, são os mesmos que substituíram os motores a vapor.
  • Aparelhos de barbear , salvo as lâminas adicionais, ainda são iguais e duram pouco tempo (além de serem caros).
  • Senhas, um dia, todas as combinações possíveis, já estarão mapeadas em criptografias de 16, 32, 64, 128, 256, 512, 1024…[/quote]

Como?[/quote]
Há uma série de sites espalhados nos mais diversos cantos da internet que disponibilizam “opções” de descriptografar baseados em chaves MD5, SHA1, SHA2 e afins.
Basta que você entre com uma combinação e eles te retornam o valor criptografado ou o inverso.
Claro que é um exagero dizer que daqui 10 anos não existirá senha segura, mas, creio que grande parte (como as sequenciais, datas de aniversário, placas de carro) estará seriamente comprometida.
Além do que, criar senhas complexas não é difícil, o problema, para muitos, é lembrar da senha criada.[/quote]

Mas sha1 não é usado em nenhum campo que seja crítico(podem existir colisões e falhas). Tenta decriptografar SHA de 256 bits. Por força bruta vai levar muito tempo e inviabiliza o esforço. No MD5, é preciso de 16 yottabyte de espaço para poder gerar todos os códigos possíveis, ou seja, 1,7x10^13 Terabyte.

A senha se comparando com biometria e afins é o melhor meio de segurança que existe hoje.

No caso da senha como palavra de dicionário e datas aí sim você estará simplificando a força bruta para um meio viável.
[/quote]
Camarada, é exatamente neste nível que estou tecendo meus comentários.
E, sim, já vi sistemas em que SHA1 é utilizado como padrão de criptografia de dados. Enfim, existem pessoas e pessoas, eu uso a mesma senha em uma porrada de contas que possuo e, até o momento, não foi “quebrada” (ou não notei).
Como qualquer coisa na vida (especialmente DST), a segurança depende mais de bom senso que de mecanismos muito complexos. Assim como invadem computadores da NASA, Pentágono e governos pelo mundo, invadem condomínios de luxo em cidades brasileiras. Isto tudo, cada qual em seu meio, não possui suas senhas? Seriam elas muito simples ou demasiado complexas?

[quote=drsmachado][quote=juliocbq][quote=drsmachado][quote=juliocbq][quote=drsmachado]Toda forma de autenticação é sujeita a falhas. Digitais, íris, vasos sanguíneos…
Aliás, coisas que me intrigam quando falamos de evolução tecnológica:

  • Motores a combustão, com pequenas diferenças, são os mesmos que substituíram os motores a vapor.
  • Aparelhos de barbear , salvo as lâminas adicionais, ainda são iguais e duram pouco tempo (além de serem caros).
  • Senhas, um dia, todas as combinações possíveis, já estarão mapeadas em criptografias de 16, 32, 64, 128, 256, 512, 1024…[/quote]

Como?[/quote]
Há uma série de sites espalhados nos mais diversos cantos da internet que disponibilizam “opções” de descriptografar baseados em chaves MD5, SHA1, SHA2 e afins.
Basta que você entre com uma combinação e eles te retornam o valor criptografado ou o inverso.
Claro que é um exagero dizer que daqui 10 anos não existirá senha segura, mas, creio que grande parte (como as sequenciais, datas de aniversário, placas de carro) estará seriamente comprometida.
Além do que, criar senhas complexas não é difícil, o problema, para muitos, é lembrar da senha criada.[/quote]

Mas sha1 não é usado em nenhum campo que seja crítico(podem existir colisões e falhas). Tenta decriptografar SHA de 256 bits. Por força bruta vai levar muito tempo e inviabiliza o esforço. No MD5, é preciso de 16 yottabyte de espaço para poder gerar todos os códigos possíveis, ou seja, 1,7x10^13 Terabyte.

A senha se comparando com biometria e afins é o melhor meio de segurança que existe hoje.

No caso da senha como palavra de dicionário e datas aí sim você estará simplificando a força bruta para um meio viável.
[/quote]
Camarada, é exatamente neste nível que estou tecendo meus comentários.
E, sim, já vi sistemas em que SHA1 é utilizado como padrão de criptografia de dados. Enfim, existem pessoas e pessoas, eu uso a mesma senha em uma porrada de contas que possuo e, até o momento, não foi “quebrada” (ou não notei).
Como qualquer coisa na vida (especialmente DST), a segurança depende mais de bom senso que de mecanismos muito complexos. Assim como invadem computadores da NASA, Pentágono e governos pelo mundo, invadem condomínios de luxo em cidades brasileiras. Isto tudo, cada qual em seu meio, não possui suas senhas? Seriam elas muito simples ou demasiado complexas?[/quote]

Sistemas críticos que usam sha1 foram concebidos para serem hackeados, porque todo mundo sabe que o seu hash gera colisões. É falha de quem utiliza. Os outros existem para suprir essa necessidade.
A questão comodidade x segurança é inversamente proporcional. Pode ser cômodo usar biometria, mas isso custa a sua segurança. É uma questão de escolha. Eu não usaria.

Um link pra apimentar a discussão: http://www.hardware.com.br/noticias/2011-06/gpu-senhas.html

Acho que não dá para analisar a segurança da senha de maneira isolada.
Uma pessoa comum pode ter senhas para: cartão do banco, internet banking, email, facebook, twitter, computador doméstico, rede da empresa e algum sistema que usa no trabalho, isso dá 8 senhas.
Considerando os sites aleatórios que exigem algum tipo de autenticação (tipo o guj e qualquer outro fórum) e número sobe muito.

Não dá para acreditar que o usuário vai realmente criar uma senha para cada serviço. Portanto 1 serviço que seja vulnerável pode entregar sua senha para vários outros.

Outro aspecto é acreditar que o usuário vai criar senhas seguras por padrão.
Usuários são leigos, poucos vão ter o conhecimento da importância disso.
Forçando uma senha minimamente segura (com maiuscula, minuscula, símbolos, 8 caracteres, troca regular) geralmente aumenta a chance dele usar um método prevísivel de geração de senha (Mês por extenso + Idade, ex)

Mesmo que o seu site utilize todas as regras para armazenar senhas de forma segura (hash, salt, algoritmo lento, etc), se o próximo site que o usuário utilizar a mesma senha não fizer, seu site pode ser comprometido também.

Podemos sempre jogar essa responsabilidade para o usuário, mas a prática mostra hoje em dia que isso não funciona.

Lembro que li uma vez que quando os primeiros computadores quânticos saírem do papel praticamente todos estes esquemas de senhas atuais estarão obsoletos, devido à capacidade de processamento absurda que estas máquinas terão… Não sei o quanto isso é verdade pois não tenho tanto conhecimento dos algoritmos de criptografia. Eu me lembro que na faculdade nós vimos um mecanismo que dependia de fatoração de números, e neste caro o problema para decodificar era justamente o tempo de processamento, que seria muito longo para qualquer computador atual, mas isso não será problema para os computadores quânticos. Não sei até que ponto os outros algoritmos são seguros apenas pelo fato de “demorar muito” para um programa quebrar uma senha criptografada por eles.

Pesamento do dia:

Tudo que é construído pelo homem pode ser destruído pelo homem.

Isso é matemática simples. Dá para fazer uma simples analogia. 8(1 byte) bits = 2^8 = 256 combinações

Se caso algum dia desses aparecerem os processadores que ao invés de pulsos elétricos usam os luminosos(quânticos) tudo que eu preciso fazer é colocar mais alguns bytes na criptografia. Lembre-se que os números tendem ao infinito e não há nada nesse mundo que possa sobrepujar isso.

Lá no wikipedia tem um pouco do que eu tinha lido (na época não foi lá que eu li mas não lembro o endereço original):

http://en.wikipedia.org/wiki/Quantum_computer#Potential

Eles dizem que não serão todos os algoritmos que serão quebrados.