Tratamento de palavras-passe

Atualmente, as credenciais de nome de usuário e senha são as credenciais mais comuns usadas para autenticação. Embora outros tipos de credenciais, como certificados e biometria, estejam começando a encontrar seu caminho no mundo dos sistemas e das redes, elas geralmente são apoiadas por senhas. E, mesmo onde os certificados são usados, suas chaves de criptografia devem ser protegidas. Assim, os nomes de utilizador e as palavras-passe continuarão a ser utilizados para credenciais num futuro próximo.

Dado que as palavras-passe e as chaves de encriptação vão demorar algum tempo, é importante que os sistemas de software as utilizem de forma segura. Para que uma rede ou um sistema informático se mantenha seguro, as palavras-passe devem ser protegidas contra potenciais intrusos. Isto pode, à primeira vista, parecer trivial. No entanto, sistema após sistema e rede após rede foram comprometidos porque um invasor conseguiu descobrir as senhas dos utilizadores. Os problemas vão desde usuários compartilhando suas senhas com alguém, até softwares que podem ser penetrados por um invasor.

É impossível armazenar informações secretas em software de forma completamente segura. E como o armazenamento de senhas e chaves de criptografia em um sistema de software nunca pode ser completamente seguro, recomenda-se que elas não sejam armazenadas em um sistema de software.

No entanto, quando as senhas devem ser armazenadas em um sistema de software, o que geralmente é o caso, há precauções que podem ser tomadas. A principal precaução é tornar o mais difícil possível para um intruso descobrir uma senha. Assim como trancar as portas da sua casa, se alguém está determinado a invadir, é quase impossível impedi-lo de fazê-lo. Mas esperemos que tenha aumentado o nível de dificuldade o suficiente para que o pretenso intruso prefira encontrar presas mais fáceis.

Há muitas maneiras de dificultar o trabalho de um invasor de descobrir senhas. No entanto, a extensão do que realmente pode ser feito é geralmente um compromisso com o que os utilizadores da rede ou sistema estão dispostos a aceitar. Por exemplo, considere o caso em que o "logon único" não é usado e o usuário é solicitado a fornecer uma senha toda vez que um aplicativo é iniciado. Na maioria dos casos, isso criaria um encargo significativo para os usuários, e eles provavelmente reclamariam. Não só isso, mas a falta de um logon único é ineficiente e degradaria a produtividade dos usuários. Assim, em termos práticos, uma senha geralmente não é coletada de um usuário, exceto no momento do logon.

Dado que as senhas geralmente devem ser armazenadas no sistema de software, torna-se importante garantir que as senhas sejam mantidas o mais seguras possível e que a conveniência para os usuários seja mantida. Para obter mais informações, consulte os seguintes tópicos:

• Avaliação de Ameaças de Senha
• Técnicas de mitigação de ameaças