Qual é a Melhor Alternativa Para os Medidores de Força de Senha Online?

Password Strength Meters

As pessoas não criam contas online para se divertir. Eles fazem isso porque querem usar um serviço específico e, em muitos casos, querem usá-lo o mais rápido possível. Como resultado, a maioria dos usuários tem muita pressa para parar e pensar na força da senha quando cria uma conta. Geralmente, eles pensam sobre isso depois que ela for quebrada. E se houver algo que pode mudar esse comportamento?

Vocês todos já os viram. Você insere uma senha durante o processo de criação da conta e o medidor de força da senha informa o que pensa sobre ela. Alguns classificam as senhas como fracas, medíocres e fortes. Outros dão uma pontuação e outros ainda empregam um indicador vermelho/amarelo/verde. A ideia é que, se você estiver tentando definir uma senha fraca, o medidor de força informará a respeito e também incentivará você a pensar em uma senha mais forte. Funciona. Pelo menos até certo ponto.

As pessoas vêm examinando a eficácia dos medidores de força de senha e concluíram que, em geral, os usuários têm mais probabilidade de pensar em uma senha mais complexa quando recebem a informação de que a senha não é a mais adequada.

Portanto, os medidores de força de senha não são apenas um truque. Eles servem a um propósito, e o fato de que sua presença pode levar a senhas mais complexas, em alguns casos, significa que eles devem permanecer. O problema é que a maioria deles não fazem o que alegam.

Por que você não deve confiar cegamente nos medidores de força da senha

Vamos fazer um experimento simples. Vá para o Google, procure por "medidor de força de senha", e um dos primeiros resultados que você obterá é www.passwordmeter.com.

NOTA: se você for testar o passwordmeter.com, certifique-se de não usar uma das suas próprias senhas. Em geral, é uma má ideia fornecer informações confidenciais a sites aleatórios no Google e, acima de tudo, esse site específico é veiculado por HTTP, e não HTTPS, o que significa que não é muito seguro.

Para nossa experiência, vamos usar "P@ssword!". Escolhemos esta porque muitas pessoas podem acreditar que, além de ser fácil de lembrar, tem força razoável com o "@" e o ponto de exclamação no final. De fato, é isso que o passwordmeter.com também pensa. Ele da ao "P@ssword!" uma pontuação de 68% e classifica sua complexidade como "forte".

www.passwordmeter.com

Para ser justo, há um aviso sobre passwordmeter.com que diz que a ferramenta não é "perfeita nem infalível", e este exemplo martela muito bem a questão. A maioria de vocês deve saber agora que "P@ssword!" não é uma senha forte, e aqueles que não sabem, devem abrir este link. É um dicionário contendo cerca de 16 mil senhas comuns, que qualquer um pode baixar do GitHub. Se você rolar para a linha 2,692, você verá "P@ssword!". Então, um hacker usando esse dicionário em particular precisará fazer menos de 3 mil tentativas para adivinhar sua senha. Isso não é muito com as ferramentas de hoje.

O problema com a maioria dos medidores de força de senha

A questão está no fato de que a maioria dos medidores de força de senha depende de algoritmos para estimar a resiliência da sua senha contra ataques de força bruta. De um modo geral, isso depende do número e variedade de caracteres, mas alguns medidores de senha também procuram itens como uma sucessão de números (por exemplo, "123") e letras idênticas agrupadas. Aqui está o problema - um ataque de força bruta é uma maneira antiga e ineficaz de adivinhar uma senha.

As centenas de violações de dados ocorridas na última década expuseram milhões e milhões de senhas. Como resultado, dicionários como o que falamos anteriormente foram compilados, o que tornou o trabalho dos hackers um pouco mais fácil. Graças a esses dicionários, os bandidos conhecem as palavras comuns e os tipos de padrões (por exemplo, substituindo "a" por "@") que as pessoas usam em suas senhas e podem fazer suposições bem informadas.

Estes palpites significam que, enquanto a quebra do "P@ssword!" com força bruta pode demorar um pouco, quebrando-o com um dicionário levará milissegundos.

zxcvbn - a exceção à regra

Em 2012, especialistas do Dropbox desenvolveram e criaram abriram o código do zxcvbn - um algoritmo melhorado para estimar a força de uma senha. Além de determinar a capacidade de uma senha para resistir a um ataque de força bruta, ela também se concentra em detectar alguns dos padrões sobre os quais falamos e palavras comuns. Os especialistas concordam que é o melhor algoritmo para estimar a força da senha atualmente disponível, e é por isso que ela também é implementada no Analisador de Senhas do Gerenciador de Senhas do Cyclonis.

Claro, ainda é um algoritmo, e você não pode presumir que está certo em 100% das vezes. No entanto, o zxcvbn leva mais de um fator ao determinar a probabilidade de hackers decifrarem sua senha, o que faz com que ela se destaque da multidão.

Os medidores de força da senha podem se tornar obsoletos?

As pessoas continuam a criar senhas por conta própria e continuam a cometer erros, o que significa que a necessidade de incentivá-los a fazer melhor está definitivamente lá. Se eles usarem geradores de senha para criar as suas senhas, os medidores de força, independentemente de qual algoritmo eles são baseados, sempre dirão que a senha é forte. Isso porque são.

Um gerador automático de senhas cria uma sequência aleatória de caracteres sem empregar padrões ou palavras que tornem a senha fácil de lembrar. Se os geradores de senhas se tornarem a norma e não as exceções, poderíamos simplesmente dar adeus aos medidores de força. Até então, eles estão aqui para ficar.

July 2, 2019
Carregando…

Detalhes e Termos de Backup do Cyclonis

O plano Básico do Backup Gratuito do Cyclonis oferece 2 GB de espaço de armazenamento na nuvem com funcionalidade total! Não é necessário cartão de crédito. Precisa de mais espaço de armazenamento? Compre um plano maior do Backup do Cyclonios agora! Para saber mais sobre nossas políticas e preços, consulte os Termos de Serviço, Política de Privacidade, os Termos de Desconto e a Página de Compra. Se você deseja desinstalar o aplicativo, visite a página Instruções de Desinstalação.

Detalhes e Termos do Gerenciador de Senhas do Cyclonis

Teste GRATUITO: Oferta Única de 30 Dias! Nenhum cartão de crédito será necessário para o teste gratuito. Funcionalidade completa durante o período de avaliação gratuita. (A funcionalidade completa após a Avaliação Gratuita requer a compra deaassinatura.) Para saber mais sobre nossas políticas e preços, consulte o CLUF, a Política de Privacidade, os Termos de Desconto e a Página de Compra. Se você deseja desinstalar o aplicativo, visite a página Instruções de Desinstalação.