Hayrton Rodrigues do Prado Filho
Quer fazer um teste em sua empresa? Determine que os funcionários devem alterar suas senhas a cada 45 dias. Elas vão abrir uma guerra contra os os gestores de segurança da informação, quer apostar? A resistência a mudanças é tão grande que os funcionários sempre vão travar um verdadeiro duelo contra a política de segurança da informação.
É lógico que as empresas não falam sobre isso na campanha de conscientização ou na divulgação da política de segurança da informação, mas a empresa cria a regra sobre alteração de senha para atender aos requisitos de uma auditoria externa. São raríssimos os casos em que a organização define este tipo regra para melhorar a segurança.
Atualmente, há senhas do internet banking, do e-mail pessoal, do corporativo, da rede, da intranet, da rede social, do programa de mensagens instantâneas, cartão do banco, do blog, etc. Para ajudar ainda mais, a organização solicita que você crie uma nova senha complexa. Ou seja, deve contar letras maiúsculas e minúsculas, números e caracteres especiais.
No mundo moderno um problema sério se chama senhas. O maior pesadelo dos usuários – e dos profissionais – de TI. Sua função é que quem está acessando aquele recurso seja, de fato, quem solicitou acesso, mas, na prática, elas se tornam uma tremenda dor de cabeça. Por quê? Porque as pessoas tem aversão a tudo que envolva lembrar, decorar ou, em geral, aprender.
As pessoas não gostam de senhas, e isso se mostra de várias formas. Nos bancos, a maior parte dos atendimentos ocorrem porque um cliente, geralmente idoso, teve seu cartão bloqueado por ter digitado a senha incorreta três vezes. Uma pessoa que usa uma rede social, ao perder sua senha, em geral, ao invés de seguir os procedimentos padrões de recuperação, preferirá criar outro perfil.
Enfim, os problemas de segurança relacionados à senhas (ou à falta delas) são incontáveis e, certamente, não se resolverão da noite para o dia. São o reflexo de uma sociedade alienada vítima de um governo que, ao invés de investir na melhoria da qualidade da educação, prefere abrir cotas para os menos possibilitados de entrar no ensino superior.
A NBR 12896 de 11/1993 – Tecnologia de informação – Gerência de senhas fixa procedimentos a serem adotados para reduzir a vulnerabilidade das senhas nestas circunstâncias. A segurança oferecida por um sistema de senhas depende de estas senhas serem mantidas secretas durante todo o tempo em que estiverem em uso.
Assim, a vulnerabilidade de uma senha ocorre quando ela for utilizada, armazenada ou distribuída. Em um mecanismo de autenticação baseado em senhas, implementado em um Sistema de Processamento Automático de Dados (SPAD), as senhas são vulneráveis devido a cinco características básicas de um sistema de senhas, a saber: uma senha inicial deve ser atribuída a um usuário quando este for cadastrado no SPAD; os usuários devem alterar suas senhas periodicamente; o SPAD deve manter um banco de dados para armazenar as senhas; os usuários devem se lembrar de suas respectivas senhas; e os usuários devem fornecer suas respectivas senhas em tempo de conexão ao SPAD.
Os assuntos tratados nesta norma incluem as responsabilidades do Administrador de Segurança do Sistema (ASS) e dos usuários, a funcionalidade do mecanismo de autenticação, e a geração de senhas. Os aspectos relevantes são: os usuários devem estar aptos a alterar suas respectivas senhas; as senhas devem ser preferencialmente geradas pelo SPAD, em vez de o serem pelo usuário; o SPAD deve fornecer aos usuários informações sobre suas conexões ao ambiente. Por exemplo: data e hora da última conexão.
O ASS é responsável por gerar e atribuir a senha inicial para cada identidade de usuário. A identidade e a senha que lhe foram atribuídas devem, então, ser informadas ao usuário. Para evitar a exposição da senha ao ASS, ou anular uma exposição ocorrida, podem ser utilizados os métodos a seguir.
Evitando a exposição; há métodos que podem ser implementados para evitar a exposição da senha ao ASS, após esta ter sido gerada. Uma técnica é imprimi-la num formulário múltiplo selado, de maneira que não seja visível na página facial do formulário. O ASS deve manter, em local seguro, a guarda do formulário, até que este seja entregue ao usuário.
Neste caso, a senha é gerada aleatoriamente pelo SPAD, não sendo determinada diretamente pelo ASS. O formulário contendo a senha deve estar selado para que esta não seja visível e não possa tornar-se visível, sem a quebra do selo.
Um outro método, para evitar a exposição da senha, é o usuário estar presente no processo de geração desta. Neste caso, o ASS deve iniciar o processo de geração da senha, deixar que somente o usuário tenha acesso a esta e destrua a informação apresentada. Este método não se aplica a usuários em terminais remotos. Qualquer que seja o método utilizado para a distribuição de senhas, o ASS deve ser notificado do recebimento destas, dentro de um período de tempo predeterminado.
Anulando a exposição: quando a senha inicial for exposta ao ASS, esta exposição deve ser anulada por um procedimento normal de troca imediata desta senha pelo usuário, considerando que este procedimento não torne também a nova senha exposta ao ASS. Quando a senha inicial não for protegida de exposição ao ASS, a identidade do usuário deve ser considerada pelo sistema como tendo uma “senha expirada”, a qual requer que o usuário efetue procedimento de troca de senha (ver 4.2.2.3) antes de receber autorização para acessar o sistema.
Atribuição do nível de segurança: quando houver necessidade de compartimentar os direitos de acesso dos usuários, devem ser atribuídos níveis de segurança (por exemplo: “confidencial”, “reservado”, “secreto”) às senhas. A atribuição dos níveis de segurança é feita pelo ASS.
A norma inclui alguns Anexos: Anexo A – Determinação do comprimento da senha; Anexo B – Algoritmo de geração de senhas; Anexo C – Proteção básica para senhas; Anexo D – Algoritmo de cifração de senhas Anexo E – Procedimento para o uso em aplicações muito sensíveis; e Anexo F – Probabilidade de adivinhação de uma senha.
Hayrton Rodrigues do Prado Filho é jornalista profissional e membro da Academia Brasileira da Qualidade (ABQ).
