Gestão e política de senhas


Segundo o site Hospednet,  senha é um conjunto de caracteres, de conhecimento único do usuário, utilizado em um processo de autenticação, visando assegurar que você usuário, é quem realmente diz ser.
O objetivo desse estudo é auxiliar  usuários na criação e administração senhas, de forma segura e coerente. Serão abordados os assuntos: Tipos de autenticação; Senhas Seguras; Administração de Senhas; Ferramentas Colaborativas; etc.

No conteúdo apresentado o termo Gestão de Senhas está mais relacionado ao processo de identificação e autenticação de usuário, do que propriamente a administração de senhas. O processo de confirmação ou autenticação de usuário chamamos de Identidade Digital.

A Identidade Digital de um usuário subdivide-se em três categorias: algo que você sabe (senhas), algo que você tem (tokens, smartcards) e algo que você é (fatores biométricos).
A autenticação biométrica é classificada como tecnologia de alto custo, por esse motivo é mais utilizada em grandes corporações. É normalmente aplicada em ambientes de alta segurança para identificação local. Atualmente o meio de autenticação biométrica mais utilizado é a leitura de impressão digital.

É possível fazer autenticação por meio de algo que você tem, dentre os métodos mais comuns estão os Tokens. O conceito Token abrange desde um cartão de senhas (chave de segurança de alguns bancos) a um aparelho que fornece códigos, usando uma espécie de cálculos (parecido com um pendrive). Possui um custo de implementação variado justamente por se tratar de uma tecnologia ainda em crescimento.
De todas as formas possíveis de autenticação a mais popular, porém não a mais segura é a senha. Tudo gira em torno de algum tipo de senha. Senha se trata de algo que você sabe, algo que não depende de meios físicos, por esse motivo possui um baixo custo de implementação.

Com todas essas características a senha se tornou o meio mais popular de autenticação. Estima-se que uma pessoa possua em média 25 senhas, contando com senha de sites, bancos, etc.
Por sua vez, a senha necessariamente precisa ser segura. Existem políticas de senhas que ajudam usuários a adotar um critério na hora de criar e administrar uma senha. Um exemplo disso seria criar senhas com mais de oito caracteres, trocar a senha a periodicamente, usar símbolos, etc.

Falando em administração de senhas podemos fazer algumas ponderações ao manipular uma senha. O login de um site não precisa ter uma senha muito complexa. Em um estudo feito pela Microsoft (Bíblia das Senhas Seguras) constatou-se que a chance de uma brute-force quebrar a senha de um usuário em um site é muito remota, um processo como esse estaria sujeito as deficiências de velocidade do site, além de políticas de segurança, etc. Que também variam de site para site.

Contudo, os usuários teriam muita dificuldade para memorizar uma senha muito complexa. Segundo este mesmo estudo a média de reuso de uma senha é de 3.9 por usuário. Pensando no fato de que periodicamente o usuário troque todas as suas senhas, ele também aumentaria em 3.9 vezes a complexidade de gerenciamento destas senhas.

Pensando em todos esses fatores foram desenvolvidas ferramentas para administração de senhas (Wallets). Dentro desse conceito o usuário pode optar por armazenar suas senhas utilizando sites, recursos de sistemas operacionais ou até mesmo programas próprios para esse fim. Duas ferramentas gratuitas que foram citadas são o Dropbox e o Keepass. Neles o usuário consegue armazenar e transportar suas senhas de forma segura.

Entretanto, o usuário pode também adotar uma política própria de segurança classificando suas senhas de nível mais importantes a menos importantes. Ele pode criar senhas mais complexas para uso corporativo e memorizá-las, as senhas de menor complexidade ele pode armazenar em alguma ferramenta Wallet, por exemplo as que foram citadas acima. Ele sempre deve se atentar as políticas de acesso dos sites e/ou ferramentas. Sites de banco só aceitam números, alguns sites não aceitam espaços nas senhas, etc. Portanto, senha é barato, implementação é barata, mas o gerenciamento é caro.

 

Levantamento de Referências
•    A Finaltec disponibiliza  um sistema de senha que para criptografar e centralizar as senhas de sua empresa…

http://www.finaltec.com.br/wb/pages/servicos/sistemas-livres/senhas.php

•    Devido ao fato de usuários e administradores (identidades) manterem elevadas permissões de
acesso aos dados para executar programas e alterar  as configurações de hardware e de,
praticamente, todos os componentes de software de TI, o controle sobre seu uso é essencial para
manter a segurança da informação e eficiência operacional…

http://www.netbr.com.br/dl/documentation/liebsoft/wp-sapm.pdf

•    Nunca se esqueça de suas senhas de acesso com um único clique do mouse…
https://lastpass.com/

 

Continua no próximo artigo…

 

Artigo escrito por Hewerton Guimarães – Analista de Sistema e profissional de suporte em segurança eletrônica.

Como citar este artigo:

GUIMARÃES H.; Gestão e política de senha, 2012 Disponível em: http://www.dimensaotech.com

 

Últimos 5 artigos de Eduardo Costa

Sobre Eduardo Costa

De Campinas-SP, bacharel em Sistema de Informação pela Anhanguera Educacional e pós graduado no curso de MBA em Gestão de Projetos e Metodologia do Ensino Superior. Atualmente trabalha como arquiteto e desenvolvedor Java em empresa de desenvolvimento de software de suporte a tomada de decisão, além de ministrar aulas de Orientação a Objeto, Linguagem Java e XML. Já atuou como líder técnico, coordenador de produto e analista de negócios.

Deixe uma resposta