Por António Ribeiro (*)  

Desde que em 2004 Bill Gates previu a “morte” da password e depois da criação do dia da password (primeira quinta-feira de maio) em 2013, que todos os anos por volta desta altura a “matamos” novamente, ou pelo menos anunciamos a sua “morte”. No entanto e apesar dos esforços para que tal aconteça, a realidade é que as passwords continuam aí e afinal a sua “morte” não estará para tão breve quanto gostaríamos.

Mas porquê esta vontade de querer acabar com as passwords ?

A realidade é que as passwords são incómodas, não são “user friendly”, são difíceis de memorizar, temos de ter muitas, e muitos dos crimes cometidos on-line começam com a exposição de credenciais, sejam elas roubadas ou de fraca composição. Estas são algumas das razões que tornam as passwords inseguras, sendo que o principal problema das passwords é que elas existem para ser usadas (principalmente, mas não só) por humanos. No entanto, a nossa capacidade de memorizar passwords complexas é bastante limitada, o que faz com que escolhamos passwords que são facilmente decifradas.

Em adição a estes problemas, algumas políticas do passado levaram ao enfraquecimento das passwords. A necessidade da sua alteração com muita frequência, bem como os requisitos de complexidade, foram algumas das políticas que tiveram um efeito adverso na utilidade da password como mecanismo de segurança.

Isto levar-nos-ia a pensar que o melhor será então “matar” de vez a password. No entanto existem também vários benefícios na sua utilização, como por exemplo a sua facilidade de implementação e utilização, bem como o seu baixo custo como meio de autenticação. Ainda que conseguíssemos eliminar de vez a password, a verdade é que grande parte dos sistemas passwordless que existem hoje dia, ainda se suportam em passwords quando o mecanismo principal falha, seja ele biométrico ou outro. Há a acrescentar também que a maioria destes sistemas continuam a necessitar de passwords no backend. Estas formas de autenticação, como por exemplo a biometria, necessitam ainda de ultrapassar o problema que existe quando são comprometidas, pois se é possível alterar a password de um utilizador, o mesmo já não acontece com os seus dados biométricos.

Mas nem tudo são más notícias, pois apesar das dificuldades em eliminar as passwords, alguns passos têm sido dados e novas formas de abordar o problema poderão torná-las mais seguras. Entre estes, conta-se a preferência por uma password mais longa em detrimento de uma mais complexa. O comprimento da password é atualmente considerado o principal fator na sua robustez, sendo que alguns estudos apontam como menos de um minuto o tempo necessário para decifrar qualquer password com oito caracteres ou menos. Este tempo sobe significativamente com o aumento do comprimento da password, mais do que com o aumento da sua complexidade. Naturalmente quanto maior e mais complexa for a password, maior será a dificuldade em decifrá-la, no entanto voltamos ao problema de termos de gerir estas passwords.

Então que podemos fazer?

As últimas recomendações do NIST (National Institute of Standards and Technology) indicam algumas das possíveis medidas que poderemos aplicar. Entre elas estão:

  • Dar preferência ao aumento do comprimento da password em detrimento da sua complexidade
  • Evitar resets forçados de passwords com uma grande frequência
  • Verificar se as passwords em uso foram já comprometidas
  • Evitar utilizar passwords semelhantes, ou incrementais
  • Bloquear passwords que existam num dicionário de passwords
  • Não usar passwords que estejam dentro do contexto específico do serviço a que acedem
  • Restringir o número de tentativas falhadas ao introduzir a password
  • Autenticação com (pelo menos) dois fatores

Para além das medidas recomendadas pelo NIST, a utilização de um password manager poderá ajudar, bem como a utilização de passphrases em vez de passwords.

Acima de tudo deveremos usar bom senso entre o propósito de segurança de uma password e a sua facilidade de utilização, pois serão benéficas todas as medidas que pudermos adotar para as tornar mais seguras, sem, no entanto, esquecer a experiência do utilizador.

(*) Cybersecurity Country Lead DXC Technology Portugal