Audio via YouTube
Estou com problemas para fazer upload no YouTube. Assim que conseguir resolver, subo o áudio.
Audio via Odeo/FileFreak
Clique aqui para baixar o artigo do site FileFreak em seu micro para poder carregá-lo em seu mp3-player.
Clique aqui para ler o artigo de Gunter Ollmann com sua opinião sobre a anotação de senhas para não perdê-las.
Para ler esse artigo, clique no botão abaixo.
O executivo Gunter Ollmann, vice-presidente de pesquisa da empresa Americana Damballa, publicou ontem um artigo interessante em que defende um ponto de vista no mínimo inusitado no que diz respeito à segurança de senhas. Ele sugere que, diante das dezenas de senhas que temos que memorizar em nosso dia-a-dia, passemos a anotá-las para não as perdermos.
Essa opinião de Ollmann é um contrassenso quando comparada com o que se ensina em termos se segurança de senhas já há varias décadas. “Não escreva sua senha em lugar nenhum” é a primeira instrução que praticamente todos nós recebemos quanto às nossas senhas pessoais uma vez que ganhamos acesso a um site ou software qualquer. A razão é simples: só o indivíduo deve saber sua senha, e mais ninguém. Enquanto não é possível ler a mente de uma pessoa para tirar a senha de lá, é, sim, bem possível encontrar o local onde uma senha está anotada, e utiliza-la sem o conhecimento do dono. Ou seja, o senso comum diz que para dificultarmos a vida dos bandidos e melhorarmos nossa segurança, devemos guardar nossas senhas na cabeça, e mais em lugar nenhum.
E por que então Ollmann faz essa sugestão? Bem, porque a situação hoje é diferente de uma década atrás, quando tínhamos apenas algumas poucas senhas para memorizar. Hoje não é nada incomum termos mais de 20 senhas com que lidar ao longo de uma semana, e a cada sistema em que nos cadastramos ganhamos uma a mais. Aí começamos a enfraquecer nossa segurança, seja com a reutilização de senhas, subterfúgio bastante comum, aliás; seja com os mecanismos automáticos de armazenamento de senhas presentes em navegadores, outro “jeitinho” bastante popular entre usuários; seja com a utilização de senhas fáceis de lembrar e fáceis de deduzir, por consequência. A esse enfraquecimento provocado por nós mesmos somam-se as ameaças dos ciber-criminosos, que a cada dia que passa têm mais ferramentas à disposição para varrer nossos sistemas e coletar senhas armazenadas automaticamente. Os bandidos têm, também, acesso a ferramentas que deduzem senhas fracas, além de golpes de técnicas de engenharia social que muitas vezes são bem-sucedidas em levantar senhas alheias.
Diante desse cenário Ollmann pergunta: não seria mais eficaz usarmos senhas fortes, não usarmos mecanismos automáticos de armazenamento de senhas em nossos navegadores, não usarmos a mesma senha em vários sistemas e, para facilitar um pouco nossa vida, anotarmos as senhas em local seguro, para o caso de esquecermos alguma?
Eu, particularmente, sou contra. Lido com senhas já há mais de 20 anos, e atualmente tenho pelo menos 32 de que me lembre com que lidar corriqueiramente. Nunca precisei anotá-las, e penso que não será necessário mesmo que aumentem. De um lado tem a questão da disciplina e do treinamento. De outro, ainda que a idade me faça perder alguma delas de vez em quando, os sistemas atuais têm mecanismo de reset de senhas que são bastante úteis quando alguma nos escapa. Concordo com o autor quando ele diz que diante do enfraquecimento que provocamos em nossas senhas, anotá-las para não perdê-las é um mal menor. Mas ainda é um mal, como ele mesmo deixa claro no texto, um mal que pode ser evitado.
Anotar a senha é dar um passo em direção à indisciplina, privilegiando a conveniência sobre a segurança. Penso que deveríamos estar buscando sempre o caminho contrário.
Até a próxima.
Essa opinião de Ollmann é um contrassenso quando comparada com o que se ensina em termos se segurança de senhas já há varias décadas. “Não escreva sua senha em lugar nenhum” é a primeira instrução que praticamente todos nós recebemos quanto às nossas senhas pessoais uma vez que ganhamos acesso a um site ou software qualquer. A razão é simples: só o indivíduo deve saber sua senha, e mais ninguém. Enquanto não é possível ler a mente de uma pessoa para tirar a senha de lá, é, sim, bem possível encontrar o local onde uma senha está anotada, e utiliza-la sem o conhecimento do dono. Ou seja, o senso comum diz que para dificultarmos a vida dos bandidos e melhorarmos nossa segurança, devemos guardar nossas senhas na cabeça, e mais em lugar nenhum.
E por que então Ollmann faz essa sugestão? Bem, porque a situação hoje é diferente de uma década atrás, quando tínhamos apenas algumas poucas senhas para memorizar. Hoje não é nada incomum termos mais de 20 senhas com que lidar ao longo de uma semana, e a cada sistema em que nos cadastramos ganhamos uma a mais. Aí começamos a enfraquecer nossa segurança, seja com a reutilização de senhas, subterfúgio bastante comum, aliás; seja com os mecanismos automáticos de armazenamento de senhas presentes em navegadores, outro “jeitinho” bastante popular entre usuários; seja com a utilização de senhas fáceis de lembrar e fáceis de deduzir, por consequência. A esse enfraquecimento provocado por nós mesmos somam-se as ameaças dos ciber-criminosos, que a cada dia que passa têm mais ferramentas à disposição para varrer nossos sistemas e coletar senhas armazenadas automaticamente. Os bandidos têm, também, acesso a ferramentas que deduzem senhas fracas, além de golpes de técnicas de engenharia social que muitas vezes são bem-sucedidas em levantar senhas alheias.
Diante desse cenário Ollmann pergunta: não seria mais eficaz usarmos senhas fortes, não usarmos mecanismos automáticos de armazenamento de senhas em nossos navegadores, não usarmos a mesma senha em vários sistemas e, para facilitar um pouco nossa vida, anotarmos as senhas em local seguro, para o caso de esquecermos alguma?
Eu, particularmente, sou contra. Lido com senhas já há mais de 20 anos, e atualmente tenho pelo menos 32 de que me lembre com que lidar corriqueiramente. Nunca precisei anotá-las, e penso que não será necessário mesmo que aumentem. De um lado tem a questão da disciplina e do treinamento. De outro, ainda que a idade me faça perder alguma delas de vez em quando, os sistemas atuais têm mecanismo de reset de senhas que são bastante úteis quando alguma nos escapa. Concordo com o autor quando ele diz que diante do enfraquecimento que provocamos em nossas senhas, anotá-las para não perdê-las é um mal menor. Mas ainda é um mal, como ele mesmo deixa claro no texto, um mal que pode ser evitado.
Anotar a senha é dar um passo em direção à indisciplina, privilegiando a conveniência sobre a segurança. Penso que deveríamos estar buscando sempre o caminho contrário.
Até a próxima.
Veio à minha mente uma estratégia simples para guardas as senhas. Basta anotá-las num documento txt ou doc, por exemplo, e manter o documento num volume criptografado do TrueCrypt, a respeito do qual o blog publicou um artigo pouco tempo atrás. A única senha a ser imprescindivelmente memorizada é a do próprio TrueCrypt, para que o volume criptografado possa ser aberto.
ResponderExcluirO que lhe parece?
Me parece uma ideia menos prejudicial que simplesmente armazenar as senhas num arquivo aberto, Yuri. É só tomar cuidado com a senha do TrueCrypt, claro.
ResponderExcluirContudo, ainda sou pelo exercício da memória nesse assunto.
Oi Professor,
ResponderExcluirTd bem? É armazenar tantas senhas é difícil, mas nada como utilizá-las com uma certa frequencia não nos faça memorizar.
Queria saber o que vc acha de alguns aplicativos que criam uma senha mestra, onde contém todas as demais senhas de um sistema cadastrado? Se não me falha a memória o módulo comercial da IBM é o TIM... Na palestra que fui havia muitos profissionais de segurança e que acharam muito interessante... Eu tenho minhas dúvidas sobre esses sistemas...
Beijos
Dri
Oi Adriana. O TIM, da IBM, faz bem mais que criar senhas mestras. É uma solução de IAM (Identity and Access Management), cujo objetivo é centralizar e administrar todas as identidades de um indivíduo em uma determinada instituição. Essa solução permite a criação de perfis e papeis, e a atribuição de tais perfis e papeis aos funcionários, garantindo consistência das identidades em todos os sistemas corporativos.
ResponderExcluirTenho material bem bacana sobre o assunto, se você precisar (para depois que você e o Milton acabarem o TCC, claro :o) ... )