Palava-passe ou senha. Em 1961 um sistema operacional criado pelo MIT, o CTSS, foi o primeiro a implementar o mecanismo 1. De lá pra cá, a necessidade de lembrar algo “secreto” para acessar alguma coisa só aumentou. A bandidagem passou a se aproveitar da negligência das pessoas e começaram facilmente a roubar essa informação, o que fez surgir a prática da autenticação multifator 2.
Os fatores da autenticação pessoal
Em essência, temos 3 fatores:
- O que você sabe (something you know), como uma senha ou um PIN 3.
- O que você tem (something you have), como um celular ou uma chave USB.
- O que você é (something you are), como uma impressão digital ou reconhecimento facial.
Há uma extensão disso, onde considera-se 4
- Onde você está (somewhere you are).
- Algo que você faz (something you do).
A forma como os sistemas devem armazenar as senhas
O formato adequado é em hashing. Muitos arriscam aplicar algum algoritmo de criptografia, porém o método é reversível e não recomendado 5. Criando um hash da senha, no momento de fazer a autenticação, compare-se (ou colide-se?) o informado pelo usuário com o armazenado no banco de dados.
Recuperação de senha em sistemas web
Fazendo uso desses mecanismos, percebe que há casos de armazenamento de senha em um formato não hash. Há outros sites, como o área para clientes da PortSwigger, onde não é possível alterar a senha, apenas regerá-la.
Complexidade da senha
Há sistemas antigos, ou por usabilidade, que a senha não pode ser complexa, apenas numérica, com quantidade limitada. Neste caso, isso deixa de ser uma senha e torna-se um PIN.
Para explorar mais
- https://en.wikipedia.org/wiki/Password
- https://en.wikipedia.org/wiki/Password_strength
- https://en.wikipedia.org/wiki/Password_policy
- https://en.wikipedia.org/wiki/Password_manager
- https://en.wikipedia.org/wiki/Passwordless_authentication
- https://en.wikipedia.org/wiki/Password_fatigue
- https://en.wikipedia.org/wiki/Password_psychology
- https://en.wikipedia.org/wiki/Password_cracking
- https://en.wikipedia.org/wiki/Password_notification_email
- https://en.wikipedia.org/wiki/Self-service_password_reset
- https://en.wikipedia.org/wiki/Personal_identification_number
- https://en.wikipedia.org/wiki/Smudge_attack
- https://en.wikipedia.org/wiki/Passphrase
- https://en.wikipedia.org/wiki/Multi-factor_authentication
- https://en.wikipedia.org/wiki/WebAuthn , conhecido como Passkey
- https://en.wikipedia.org/wiki/Diceware , método para gerar senhas fortes
- https://dadoware.com.br
- Fourth-Factor Authentication: Somebody You Know , RSA Laboratories
Livros
- Passwords: Philology, Security, Authentication , de Brian Lennon.
- Ethical Password Cracking: Decode passwords using John the Ripper, hashcat, and advanced methods for password breaking , de James Leyte-Vidal.
-
The World's First Computer Password? It Was Useless Too , artigo da revista Wired de 27 de janeiro de 2012. ↩︎
-
Em inglês, a prática é conhecida como MFA (multifactor authentication). Quando usamos 2 fatores, é chamado de 2FA (two-factor authentication). ↩︎
-
https://en.wikipedia.org/wiki/Personal_identification_number . ↩︎
-
https://www.redkeysolutions.com/2019/11/the-5-factors-of-authentication-and-what-you-should-know-about-them/ ↩︎
-
https://en.wikipedia.org/wiki/Password-based_cryptography ↩︎