Qualquer senha é mais forte do que, por exemplo, 123456. Mas um grupo de investigadores do CyLab, o laboratório de segurança e privacidade da Universidade Carnegie Mellon, apresentou um estudo onde afirmam ter desenvolvido um sistema de criação de senhas que são fáceis de serem lembradas e mais seguras. E com o respaldo da ciência.
O estudo tem mais de uma década, e busca encontrar o equilíbrio ideal entre segurança e usabilidade, descartando todas as regras atuais.
Símbolos e caracteres especiais não servem de muita coisa
De acordo com o estudo, combinar maiúsculas, símbolos, números e caracteres especiais não deixa a senha mais segura e resulta em um impacto negativo na usabilidade da senha. Na prática, pode ser algo completamente inútil essa combinação de elementos especiais. Os especialistas recomendam mesmo é que se use senhas longas.
Os cientistas do CyLab desenvolveram em 2016 um medidor de fortaleza de senha alimentado por uma rede neuronal artificial integrado em um navegador web. Uma vez que o usuário cria uma senha com pelo menos 10 caracteres, ele começa a dar sugestões para deixar essa senha minimamente forte, adicionando algum caractere ou dividindo palavras comuns.
Com o medidor ativo, os pesquisadores começaram a testar diferentes políticas de criação de senhas, pedindo para os participantes que criassem e lembrassem senhas com regras ao azar (mínimo de caracteres, uso de caracteres especiais, bloqueio do uso de senhas pouco seguras, etc).
Sua senha precisa ter pelo menos 12 caracteres
Os primeiros usuários precisavam se colocar no lugar de alguém que acabou de saber que o seu provedor de e-mail sofreu uma brecha de dados, e precisa mudar a sua senha imediatamente. Dias depois, era solicitado que lembrassem a senha como medidor de usabilidade das políticas de senhas escolhidas pelos usuários.
O estudo conclui que uma senha com 12 caracteres associada com uma política que exige o uso de caracteres especiais entrega uma boa relação custo-benefício entre segurança e usabilidade, além de proteger o usuário contra ataques online.
Na maioria dos casos, basta digitar mais tipos de caracteres ou escolher senhas mais longas para que a mesma seja segura. Porém, aumentar o limite mínimo de caracteres da senha entrega uma maior segurança por um menor custo em usabilidade, especialmente no tempo que o usuário gasta para criar uma senha que cumpra com a exigência dos sites.
Uma política de segurança útil combinada com as listas de senhas inseguras (que ficam proibidas por parte dos provedores) seria a combinação perfeita para os usuários. E o mundo digital sofre da falta de segurança das senhas por anos. Porém, os usuários não seguem as recomendações mais básicas. A prova disso é que combinações terríveis como 123456 continuam no topo da lista das senhas mais usadas.
Quando uma empresa não impede o usuário de usar a palavra “password” como password, não dá para culpar apenas o usuário. A exigência de uma senha com no mínimo 12 caracteres aumenta (e muito) a segurança, e combinado com uma ferramenta que impede a criação de senhas fracas no lugar apenas de um indicador que só diz “fraca, forte, muito forte” são medidas que devem ser consideradas pelos provedores de serviço.
Via cmu.edu