Palavra-passe ou senha. Em 1961 um sistema operacional criado pelo MIT, o CTSS, foi o primeiro a implementar o mecanismo 1. De lá pra cá, a necessidade de lembrar algo “secreto” para acessar alguma coisa só aumentou. A bandidagem passou a se aproveitar da negligência das pessoas e começou facilmente a roubar essa informação, o que fez surgir a prática da autenticação multifator 2.
Os fatores da autenticação pessoal
Em essência, temos 3 fatores:
- O que você sabe (something you know), como uma senha ou um PIN 3.
- O que você tem (something you have), como um celular ou uma chave USB.
- O que você é (something you are), como uma impressão digital ou reconhecimento facial.
Há uma extensão disso, onde considera-se 4
- Onde você está (somewhere you are).
- Algo que você faz (something you do).
A forma como os sistemas devem armazenar as senhas
O formato adequado é em hashing. Muitos arriscam aplicar algum algoritmo de criptografia, porém o método é reversível e não recomendado 5. Criando um hash da senha, no momento de fazer a autenticação, compara-se o informado pelo usuário com o armazenado no banco de dados.
Recuperação de senha em sistemas web
Fazendo uso desses mecanismos, percebe-se que há casos de armazenamento de senha em um formato não hash. Há outros sites, como a área para clientes da PortSwigger, onde não é possível alterar a senha, apenas regenerá-la.
Complexidade da senha
Há sistemas antigos, ou por usabilidade, que a senha não pode ser complexa, apenas numérica, com quantidade limitada. Neste caso, isso deixa de ser uma senha e torna-se um PIN.
Para explorar mais
- https://en.wikipedia.org/wiki/Password
- https://en.wikipedia.org/wiki/Password_strength
- https://en.wikipedia.org/wiki/Password_policy
- https://en.wikipedia.org/wiki/Password_manager
- https://en.wikipedia.org/wiki/Passwordless_authentication
- https://en.wikipedia.org/wiki/Password_fatigue
- https://en.wikipedia.org/wiki/Password_psychology
- https://en.wikipedia.org/wiki/Password_cracking
- https://en.wikipedia.org/wiki/Password_notification_email
- https://en.wikipedia.org/wiki/Self-service_password_reset
- https://en.wikipedia.org/wiki/Personal_identification_number
- https://en.wikipedia.org/wiki/Smudge_attack
- https://en.wikipedia.org/wiki/Passphrase
- https://en.wikipedia.org/wiki/Multi-factor_authentication
- https://en.wikipedia.org/wiki/WebAuthn , conhecido como Passkey
- https://en.wikipedia.org/wiki/Diceware , método para gerar senhas fortes
- https://dadoware.com.br
- Fourth-Factor Authentication: Somebody You Know , RSA Laboratories
Livros
- Passwords: Philology, Security, Authentication , de Brian Lennon.
- Ethical Password Cracking: Decode passwords using John the Ripper, hashcat, and advanced methods for password breaking , de James Leyte-Vidal.
-
The World's First Computer Password? It Was Useless Too , artigo da revista Wired de 27 de janeiro de 2012. ↩︎
-
Em inglês, a prática é conhecida como MFA (multifactor authentication). Quando usamos 2 fatores, é chamado de 2FA (two-factor authentication). ↩︎
-
https://en.wikipedia.org/wiki/Personal_identification_number . ↩︎
-
https://www.redkeysolutions.com/2019/11/the-5-factors-of-authentication-and-what-you-should-know-about-them/ ↩︎
-
https://en.wikipedia.org/wiki/Password-based_cryptography ↩︎