Quando estamos conectados a um sistema informático, este pede, na maior parte do tempo, um identificador (em inglês login ou username) e uma senha/palavra-passe (em inglês password) para acessar. Este par identificador/senha forma assim a chave que permite obter um acesso ao sistema.
Se o identificador é geralmente atribuído automaticamente pelo sistema ou pelo seu administrador, a escolha da senha é deixada freqüentemente à escolha do usuário. Assim, a maior parte dos usuários, considerando que não têm nada de realmente secreto a proteger, contenta-se de utilizar uma senha fácil a reter (por exemplo o seu identificador, o nome do seu cônjuge ou a sua data de nascimento).
Ora, se os dados da conta do usuário não tiverem um caráter estratégico, o acesso à conta do usuário pode constituir uma porta aberta para todo o sistema. Com efeito, assim que um pirata obtiver um acesso a uma conta de uma máquina, é-lhe possível alargar o seu campo de ação obtendo a lista dos usuários autorizados a conectar-se à máquina. Com a ajuda de instrumentos de geração de senha, o pirata pode tentar um grande número de senhas geradas aleatoriamente ou com a ajuda de um dicionário (eventualmente uma combinação dos dois). Se encontrar por acaso a senha do administrador, obtém então todas as permissões sobre a máquina!
Além disso, a partir de uma máquina da rede, o pirata pode eventualmente obter um acesso à rede local, o que significa que pode elaborar uma cartografia dos outros servidores que estão lado a lado daquele a que obteve um acesso.
As senha dos usuários representam por conseguinte a primeira defesa contra os ataques contra um sistema, é a senha suficientemente protegida.
A maior parte dos sistemas é configurada de maneira a bloquear temporariamente a conta de um utilizador após diversas tentativas de conexão infrutíferas. Assim, um pirata pode dificilmente infiltrar-se sobre um sistema desta maneira.
Por outro lado, um pirata pode servir-se deste mecanismo de auto-defesa para bloquear o conjunto das contas usuários a fim de provocar uma recusa de serviço.
Na maior parte dos sistemas, as senha são armazenadas de maneira codificada (“cifrado”) num ficheiro ou numa base de dados.
Quando um pirata obtém um acesso ao sistema e obtém este arquivo, é-lhe possível tentar desvendar a palavra-passe de um utilizador em especial ou o conjunto das contas usarias.
Chama-se “ataque por força bruta” (em inglês “brute force cracking”, às vezes igualmente ataque exaustivo) à quebra de uma palavra-passe testando todas as senhas possíveis. Existe um grande número de instrumentos para cada sistema de exploração, permitindo realizar este tipo de operação. Estes instrumentos servem para os administradores sistema provarem a solidez das senhas dos seus utilizadores, mas o seu uso é desviado pelos piratas informáticos para se introduzirem nos sistemas informáticos.
Os instrumentos de ataque por força bruta podem demorar horas, ou mesmo dias, de cálculo mesmo com máquinas equipadas com processadores potentes. Assim, uma alternativa consiste em efectuar “um ataque por dicionário”. Com efeito, na maior parte das vezes, os utilizadores escolhem senhas que têm um significado real. Com este tipo de ataque, a palavra-passe pode ser desvendada em alguns minutos.
O último tipo de ataques deste tipo, chamado “ataques híbridos”, visa particularmente as senhas constituídas por uma palavra tradicional seguida de uma letra ou de um número (como “marechal6”). Trata-se de uma combinação de ataque por força bruta e ataque por dicionário.
Existem, por último, meios que permitem ao pirata obter as senha dos utilizadores:
É facilmente compreensível que quanto mais uma palavra-passe é longa, mais difícil é de desvendar. Por outro lado, uma palavra-passe constituída unicamente por números será muito mais simples de desvendar que uma palavra-passe que contém letras:
Uma palavra-passe de 4 números corresponde a 10.000 possibilidades (104). Apesar deste número parecer elevado, um computador dotado de uma configuração modesta é um capaz de o descobrir em alguns minutos.
Será preferível uma palavra-passe de 4 letras, para a qual existem 456972 possibilidades (264). Na mesma ordem de idéias, uma palavra-passe que misture números e letras, ou mesmo maiúsculas e caracteres especiais, será ainda mais difícil de quebrar.
Senhas a evitar :
O acesso à conta de um só empregado de uma empresa pode comprometer a segurança global de toda a organização. Assim, toda a empresa que deseje garantir um nível de segurança excelente instituir uma política efetiva de segurança em matéria de senhas. Trata-se nomeadamente de impor aos empregados a escolha de uma palavra-passe conforme a certas exigências, como por exemplo:
Além disso, é possível reforçar esta política de segurança impondo uma expiração das senhas, a fim de obrigar os utilizadores a alterar regularmente a sua palavra-passe. Isto complica a tarefa dos piratas que tentam quebrar senha a longo prazo. Além disso, trata-se de um excelente meio para limitar a duração de vida das senha descobertas.
Por último, é recomendado aos administradores sistema a utilização de software para descobrir senhas internamente, a fim de provar a resistência das senhas dos seus utilizadores. No entanto, isto deve fazer-se no âmbito da política de segurança e deve ser escrito preto no branco, para ter a aprovação da direção e dos utilizadores.
Não é bom ter só uma palavra-passe, assim como não seria bom ter como código do cartão bancário o mesmo código que para o seu telemóvel e que o código para entrar no edifício.
Por conseguinte, é aconselhável possuir várias senhas por categoria de uso, em função da confidencialidade do segredo que protege. O código de um cartão bancário deverá assim ser utilizado unicamente para este fim. Em contrapartida, o código PIN de um telemóvel pode corresponder ao do cadeado de uma mala.
Da mesma maneira, no momento da inscrição num serviço em linha que pede um endereço eletrônico (por exemplo a newsletter de Kioskea), é fortemente desaconselhado escolher a mesma palavra-passe que a que permite acessar a este serviço de mensagens, porque um administrador pouco escrupuloso podia, sem nenhum problema, ter acesso à sua vida privada!