Por Evandro Oliveira
Ali Babá teria mil senhas
Em uma coluna anterior, das primeiras minhas aqui no CryptoID, abordei a questão de Chave Pública e Chave Privada e a relação que é feita entre Chave Privada e senha.
Ao final daquela coluna eu indicava a necessidade de se determinar claramente o que é, o que significam os termos Chave Privada, Chave Pública, PIN |do Inglês, Personal Identification Number, PUK | do inglês PIN Unlock Key, Identificação, Autenticação, Assinatura Eletrônica. Adicionalmente, é importante definir o que venha a ser Senha, Senha Forte, Senha Fraca ou Óbvia.
No Glossário da ICP-Brasil que está na versão 1.4 de Maio de 2010, e em processo de revisão, podemos obter os significados mais apropriados para a lógica a ser desenvolvida.
Chave Privada – Uma das chaves de um par de chaves criptográficas (a outra é uma chave pública) em um sistema de criptografia assimétrica. É mantida secreta pelo seu dono (detentor de um certificado digital) e usada para criar assinaturas digitais e para decifrar mensagens ou arquivos cifrados com a chave pública correspondente.
Chave Pública Uma das chaves de um par de chaves criptográficas (a outra é uma chave privada) em um sistema de criptografia assimétrica. É divulgada pelo seu dono e usada para verificar a assinatura digital criada com a chave privada correspondente. Dependendo do algoritmo, a chave pública também é usada para cifrar mensagens ou arquivos que possam, então, ser decifrados com a chave privada correspondente.
PIN – Número de Identificação Pessoal (PIN, sigla oriunda do original em inglês Personal Identification Number) É uma sequência de números e/ou letras (senha) usadas para liberar o acesso à chave privada, ou outros dados armazenados na mídia, somente para pessoas autorizadas.
PUK (Personal Identification Number Unlock Key) – É uma chave para desbloqueio do número de identificação pessoal (PIN), o qual normalmente fica bloqueado após várias tentativas inválidas. Como o PIN, a senha PUK deve ser guardada de forma segura, pois ambas permitem, em dispositivos como tokens e smart cards, o acesso à chave privada de um titular de certificado.
Senha – Um conjunto de caracteres, conhecidos apenas pelo usuário, que fornecem acesso ao arquivo, computador ou programa. Senhas são geralmente usadas em conjunto com o nome do usuário que o autentica e o garante autorização ao acesso.
Senha Forte – Inverso de Senha Fraca ou Óbvia
Senha Fraca ou Óbvia – É aquela onde se utilizam caracteres de fácil associação com o dono da senha, ou que seja muito simples ou pequena, tal como: datas de aniversário, casamento, nascimento, o próprio nome, o nome de familiares, sequências numéricas simples, palavras com significado, dentre outras.
Passphrase -É uma versão mais longa de uma contrassenha, e teoricamente, mais seguro. Tipicamente composto de palavras múltiplas, uma passphrase é, na prática, maisseguro e permite maior proteção contra “ataques de dicionário”.
Assim acertados, podemos ver PIN e PUK como algum tipo de passphrase, onde não existe nenhuma regra de formação pois a mesma provocará uma codificação criptografada e protegida de certa maneira como nenhuma senha, fraca, forte, óbvia etc é protegida. Desde que respeitadas as regras de geração de certificados da ICP-Brasil.
Seria inteligente supor então que o uso de certificados digitais, e seus atributos especiais, seria uma forma natural de substituir as senhas ligadas a logins tradicionais. Se esta fosse uma conversa numa rede social, eu diria #SQN.
A dissertação de mestrado que defendi quase 16 anos atrás falava exatamente da importância da formação da senha, hoje reconhecida como PIN e outras denominações. Pouca coisa mudou, os administradores de rede continuam com suas regrinhas malditas em que as senhas “vencem” com prazo determinado, regrinhas em que somos obrigados a escrever a senha a cada mudança para não esquecer, regrinhas que proíbem começar com número ou que proíbem a senha ter duas letras maiúsculas iguais.
O pessoal que faz estas regras deveria “voltar 6 casas” e começar de novo. Deveria entender que deve-se ensinar às pessoas que utilizam recursos computacionais a importância de proteger a informação pessoal e a informação das empresas e organizações. A cada regra estúpida que vejo, assusto-me com a quantidade de pessoas que passam a ter regras para mudar as regrinhas. Um atraso fenomenal.
Numa identificação e autenticação de três fatores, um deles será PIN, PUK ou a famosa senha. Vejo que nos últimos 16 anos (desde que defendi minha dissertação), a cada seis meses são publicadas listas e mais listas de piores senhas e um blá-blá-blá danado. A construção de regrinhas tem sido pior (e as piadas já estão se tornando repetitivas … uma que publiquei na dissertação circula Até hoje e tem profissional de TI que acha engraçadinho).
Tenho em mente que o bom gerenciador de ambientes de identificação e autenticação dá liberdade e Transmite conhecimento para que o usuário não seja responsável pela estúpida tarefa de guardar na cabeça ou ficar anotando suas senhas. Existem soluções no mercado para esta dificuldade que porventura muitos usuários terão. Mas, para a maioria dos usuários seria mais fácil mostrar como criar uma senha forte e inteligente.
Imaginem a situação de um cidadão perdendo seu smartcard com a sua chave privada e um adesivo pregado com o PIN. Aliás, numa visita recente que fiz a um escritório que utilizava certificados digitais A3, vi todos espetados no computador e o PIN de cada um escrito num papel ao lado. Aliás, o PIN era igual para todos os certificados. Bem protegido né?
Será que alguém sabe responder a uma dúvida?
Em caso de mal uso de algum destes certificados, e o mesmo não tenha sido revogado em tempo hábil da constatação do problema, de quem é a responsabilidade civil pelo uso deste certificado?
Sobre Evandro Oliveira
Graduado em Administração, com atuação em áreas de RH, Marketing, Planejamento e Gestão Estratégica.
Pós-Graduado (MsC) em Administração Pública e Tecnologias da Informação, com ênfase em Segurança de Redes do Setor Público.
Professor de disciplinas nos cursos de Administração, Computação, Ciência da Informação e outros.
Consultor independente em Certificação Digital, Sistemas de Segurança de TI, Marketing Digital e Redes de Computadores.
Especialista e Consultor na Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil)
Palestrante e Conferencista.
Colunista do Portal CryptoID.
Leia outros artigos do colunista Evandro Oliveira aqui!
Dúvidas e sugestões sobre conhecimento básico, terminologia, e esclarecimentos podem ser feitas nos comentários abaixo ou no e-mail evandro.oliveira@bhzlabs.com.br.