SlideShare uma empresa Scribd logo

Senhas Fortes e Autenticação Dupla

Mauro Duarte
Mauro Duarte

Ataques de Dicionário com CUPP. Alexandre Borges

Tecnologia
1 de 30
Baixar para ler offline
ProfessorCristianoGoulart Borges
Algo que o usuário sabe... Algo que o usuário tem... Algo que o usuário é... Algo que o usuário faz... Senhas e Autenticação
Por mais insuficiente que seja a combinação usuário/senha a situação sempre pode piorar: * se você os deixar escolher uma senha sem qualquer critério, eles automaticamente escolherão uma senha fraca, como “internacional” ou “gremio”.“gremio”. * se você os forçar a escolher uma senha forte com letras maiúsculas, minúsculas, números e símbolos, eles irão anotar num papel e esconder embaixo do teclado. * se você os pedir para alterar, eles alterarão para a mesma senha que usavam no mês passado. * quando você finalmente consegue fazê-los utilizar uma senha forte, eles utilizarão essa mesma senha para diversos serviços diferentes.
http://www.ted.com/talks/bruce_schneier#t-1245418
O consultor de segurança Mark Burnett publicou 10 milhões de senhas junto a seus nomes de usuário correspondentes. A ideia é ajudar outros pesquisadores – ele acredita que a maioria das combinações usuário-senha já foi desativada – mas é algo juridicamente arriscado. Normalmente, pesquisadores de segurança recebem um conjunto de senhas sem os nomes de usuário, só que isso os impede de analisar possíveis interações entre nomes e senhas. http://gizmodo.uol.com.br/10-milhoes-senhas-nomes/https://xato.net/about/ “...há algum tempo, queria criar um banco de dados limpo para compartilhar com o mundo”. Ele acredita que fornecer nomes e senhas em conjunto dá “insights melhores sobre o comportamento do usuário e é valioso para promover a segurança de senhas”.
Assim, Burnett se esforça para explicar porque o FBI não deve prendê-lo: “Embora os pesquisadores normalmente só liberem senhas, eu estou liberando os nomes de usuário com as senhas. A análise de nomes e senhas é uma área que tem sido muito negligenciada e pode fornecer mais insights que estudar senhas isoladamente. A maioria dos pesquisadores tem medo de publicar nomes de usuários e senhas juntos porque, combinados, eles se tornam um recurso de autenticação. Se apenas fornecer o link para recursos de autenticação em um canal de IRC privado é considerado tráfico, certamente o FBI iria considerar a liberação pública de dados reais umcertamente o FBI iria considerar a liberação pública de dados reais um crime… … a intenção aqui certamente não é fraudar, nem facilitar o acesso não-autorizado a um sistema de computador, nem roubar a identidade de outros, nem auxiliar qualquer crime ou prejudicar qualquer pessoa física ou jurídica. A única intenção é avançar as pesquisas com o objetivo de tornar a autenticação mais segura e, portanto, nos proteger contra fraudes e acessos não-autorizados… Em última análise, até o máximo que pude verificar, estas senhas não são mais válidas, e eu tomei medidas extraordinárias para tornar esses dados ineficazes em atacar determinados usuários ou organizações. Estes dados são extremamente valiosos para fins acadêmicos e de pesquisa e para promover a segurança de autenticação, e é por isso que eu os liberei em domínio público.”
http://wpengine.com/unmasked/ WordPress Hosting Platform 10 Million Passwords Unmasked Note que há uma diferença regional que precisa ser levada em consideração.
Faça o que eu digo, não faça o que eu faço! (as senhas dos Grandes deTI)
Faça o que eu digo, não faça o que eu faço! (as senhas dos Grandes deTI)
Faça o que eu digo, não faça o que eu faço! (as senhas dos Grandes deTI)
Faça o que eu digo, não faça o que eu faço! (as senhas dos Grandes deTI)
Faça o que eu digo, não faça o que eu faço! (as senhas dos Grandes deTI)
Faça o que eu digo, não faça o que eu faço! (as senhas dos Grandes deTI)
Faça o que eu digo, não faça o que eu faço! (as senhas dos Grandes deTI) Afinal, se até o Comando Aéreo Estratégico dos EUA mantiveram por 20 anos os códigos de lançamento doscódigos de lançamento dos mísseis nucleares como “00000000”, o que impediria o usuário mediano de usar senhas fracas? http://www.dailymail.co.uk/news/article- 2515598/Launch-code-US-nuclear- weapons-easy-00000000.html
Conforme Bruce Schneier, o conceito de senhas está relacionado a um Oxímoro: uma figura de linguagem que consiste em relacionar numa mesma expressão ou locução palavras que exprimem conceitos contrários: Uma senha segura é aquela onde o esforço para obtê-la é mais custoso do que o benefício advindo de tal ato. • silêncio ensurdecedor • ilustre desconhecido • mentiroso honesto A ideia é ter uma palavra randômica fácil de lembrar para servir de autenticação. Cristiano = fácil de lembrar, mas não é randômico TRsdj-dsi18*54kuq(0 = randômico, mas não é fácil de lembrar
https://howsecureismypassword.net/ http://password.social-kaspersky.com/pt
Porém esse cálculo é feito considerando-se o método de força bruta. Em ataques de dicionário, uma wordlist será utilizada para tentar quebrar a senha da vítima, ou seja, tudo dependerá: • da qualidade da wordlist do atacante • da qualidade da senha do usuário O CUPP.py nos permitirá criar uma wordlist personalizada, sempre levando em consideração que nosso usuário foi tolo o suficiente para utilizar informações pessoais para compor uma senha. Lembre-se: usando dados pessoais conseguidos através de currículos coletados na Internet, redes sociais ou mesmo através de engenharia social, pode-se aumentar ainda mais a qualidade da wordlist
CUPP: Common User Password Profiler
Exemplo de quebra de SSH com CUPP.py e Hydra-GTK Senha: 5p1k3Cr1571@n0@|@Senha: 5p1k3Cr1571@n0@|@
Criando senhas fortes Senha = MvJ,87,gbdl. Frase = Meu vizinho João, 87, gosta bastante de limonada. 96 possibilidades em 12 dígitos (9612): 612.709.757.329.767.363.772.416 Note que esta já não é mais uma senha segura.
Teste da senha Mvj,87,gbdl. How Secure is my password Kaspersky
DICA DO DIA!!!!!!!!!! Transforme algo que você sabe em algo que você tem e faça autenticação dupla ;o) Escreva num pedaço de papel uma parte da senha e leve-o na sua carteira (afinal, é onde você guarda seus documentos, seu dinheiro, seus cartões...). Você também podeonde você guarda seus documentos, seu dinheiro, seus cartões...). Você também pode ter essa informação no seu celular, usando softwares como o Keepass. Senha = MvJ,87,gbdl.@Mg7F-097DsLp-12 sendo que: MvJ,87,gbdl. é a parte que eu sei e; @Mg7F-097DsLp-12 é a parte que levo anotada na carteira ou celular.
MvJ,87,gbdl.@Mg7F-097DsLp-12
Obrigado!Obrigado!

Recomendados

Espionagem e Software Livre
Espionagem e Software LivreEspionagem e Software Livre
Espionagem e Software LivreÁtila Camurça
 
Hackerspaces e cultura hacker (PPT)
Hackerspaces e cultura hacker (PPT)Hackerspaces e cultura hacker (PPT)
Hackerspaces e cultura hacker (PPT)Anchises Moraes
 
Aula 7 - Ataque de Força Bruta
Aula 7 - Ataque de Força BrutaAula 7 - Ataque de Força Bruta
Aula 7 - Ataque de Força BrutaCarlos Henrique Martins da Silva
 
OFICINA HACKER - Técnicas de Esteganografia, Criptografia e Navegação Segura
OFICINA HACKER - Técnicas de Esteganografia, Criptografia e Navegação SeguraOFICINA HACKER - Técnicas de Esteganografia, Criptografia e Navegação Segura
OFICINA HACKER - Técnicas de Esteganografia, Criptografia e Navegação SeguraDouglas A. Gomes da Silva
 
Cyber Security - Aula 1
Cyber Security - Aula 1Cyber Security - Aula 1
Cyber Security - Aula 1VicenteTino
 
Unidade 06 introdução a computação - segurança da informação 15-03-03 - 57 ...
Unidade 06 introdução a computação - segurança da informação 15-03-03 - 57 ...Unidade 06 introdução a computação - segurança da informação 15-03-03 - 57 ...
Unidade 06 introdução a computação - segurança da informação 15-03-03 - 57 ...Alex Casañas
 
Invasão e Segurança
Invasão e SegurançaInvasão e Segurança
Invasão e SegurançaCarlos Henrique Martins da Silva
 
Web Design Hacker
Web Design HackerWeb Design Hacker
Web Design HackerMauro Duarte
 

Recomendados

Espionagem e Software Livre
Espionagem e Software LivreEspionagem e Software Livre
Espionagem e Software LivreÁtila Camurça
 
Hackerspaces e cultura hacker (PPT)
Hackerspaces e cultura hacker (PPT)Hackerspaces e cultura hacker (PPT)
Hackerspaces e cultura hacker (PPT)Anchises Moraes
 
Aula 7 - Ataque de Força Bruta
Aula 7 - Ataque de Força BrutaAula 7 - Ataque de Força Bruta
Aula 7 - Ataque de Força BrutaCarlos Henrique Martins da Silva
 
OFICINA HACKER - Técnicas de Esteganografia, Criptografia e Navegação Segura
OFICINA HACKER - Técnicas de Esteganografia, Criptografia e Navegação SeguraOFICINA HACKER - Técnicas de Esteganografia, Criptografia e Navegação Segura
OFICINA HACKER - Técnicas de Esteganografia, Criptografia e Navegação SeguraDouglas A. Gomes da Silva
 
Cyber Security - Aula 1
Cyber Security - Aula 1Cyber Security - Aula 1
Cyber Security - Aula 1VicenteTino
 
Unidade 06 introdução a computação - segurança da informação 15-03-03 - 57 ...
Unidade 06 introdução a computação - segurança da informação 15-03-03 - 57 ...Unidade 06 introdução a computação - segurança da informação 15-03-03 - 57 ...
Unidade 06 introdução a computação - segurança da informação 15-03-03 - 57 ...Alex Casañas
 
Invasão e Segurança
Invasão e SegurançaInvasão e Segurança
Invasão e SegurançaCarlos Henrique Martins da Silva
 
Web Design Hacker
Web Design HackerWeb Design Hacker
Web Design HackerMauro Duarte
 
00 apresentação desenvolvimento em redes de computadores
00 apresentação desenvolvimento em redes de computadores00 apresentação desenvolvimento em redes de computadores
00 apresentação desenvolvimento em redes de computadoresMauro Duarte
 
1 o hacker profissional
1 o hacker profissional1 o hacker profissional
1 o hacker profissionaljohn luys
 
Dicas de Navegação Segura na Internet
Dicas de Navegação Segura na InternetDicas de Navegação Segura na Internet
Dicas de Navegação Segura na Internetannesgualberto3
 
Pirataria e hacker
Pirataria e hackerPirataria e hacker
Pirataria e hackerRibeiro Pinto
 
Pirataria informatica
Pirataria informaticaPirataria informatica
Pirataria informaticakreyn
 
01 Desenvolvimento em Redes de Computadores - Comandos Básicos
01 Desenvolvimento em Redes de Computadores - Comandos Básicos01 Desenvolvimento em Redes de Computadores - Comandos Básicos
01 Desenvolvimento em Redes de Computadores - Comandos BásicosMauro Duarte
 
7 - Introdução ao desenvolvimento web - mídias
7 - Introdução ao desenvolvimento web - mídias7 - Introdução ao desenvolvimento web - mídias
7 - Introdução ao desenvolvimento web - mídiasMauro Duarte
 
Técnicas de Invasão - INFOESTE 2015
Técnicas de Invasão - INFOESTE 2015Técnicas de Invasão - INFOESTE 2015
Técnicas de Invasão - INFOESTE 2015C H
 
Livro proibido do curso de hacker completo 285 páginas 71
Livro proibido do curso de hacker completo 285 páginas 71Livro proibido do curso de hacker completo 285 páginas 71
Livro proibido do curso de hacker completo 285 páginas 71Guilherme Dias
 
Apostila para hackers iniciantes
Apostila para hackers iniciantesApostila para hackers iniciantes
Apostila para hackers inicianteshackersetruques
 
Como ter uma senha forte e navegar seguro na internet
Como ter uma senha forte e navegar seguro na internetComo ter uma senha forte e navegar seguro na internet
Como ter uma senha forte e navegar seguro na internetCarlos Paiva
 
Aula 1 semana
Aula 1 semanaAula 1 semana
Aula 1 semanaJorge Ávila Miranda
 
3º SICT-Sul Minicurso Técnicas para segurança computacional
3º SICT-Sul Minicurso Técnicas para segurança computacional3º SICT-Sul Minicurso Técnicas para segurança computacional
3º SICT-Sul Minicurso Técnicas para segurança computacionalLucas Mellos Carlos
 
Conscientização sobre SI
Conscientização sobre SIConscientização sobre SI
Conscientização sobre SIFelipe Perin
 
Curso segurança na internet
Curso segurança na internetCurso segurança na internet
Curso segurança na internetLuiz Carlos Conceição Silva
 
SegurançA Na Internet
SegurançA Na InternetSegurançA Na Internet
SegurançA Na InternetCidadania e Profissionalidade
 
VíRus
VíRusVíRus
VíRusCidadania e Profissionalidade
 
Tema 09
Tema 09Tema 09
Tema 09Google
 
Boas Práticas em Segurança da Informação
Boas Práticas em Segurança da InformaçãoBoas Práticas em Segurança da Informação
Boas Práticas em Segurança da InformaçãoRodrigo Bueno Santa Maria, BS, MBA
 
Mallwares
MallwaresMallwares
MallwaresFatec Jales
 
Pentest conisli07
Pentest conisli07Pentest conisli07
Pentest conisli07Roberto Castro
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informaçãoAdilmar Dantas
 

Mais conteúdo relacionado

Destaque

00 apresentação desenvolvimento em redes de computadores
00 apresentação desenvolvimento em redes de computadores00 apresentação desenvolvimento em redes de computadores
00 apresentação desenvolvimento em redes de computadoresMauro Duarte
 
1 o hacker profissional
1 o hacker profissional1 o hacker profissional
1 o hacker profissionaljohn luys
 
Dicas de Navegação Segura na Internet
Dicas de Navegação Segura na InternetDicas de Navegação Segura na Internet
Dicas de Navegação Segura na Internetannesgualberto3
 
Pirataria informatica
Pirataria informaticaPirataria informatica
Pirataria informaticakreyn
 
01 Desenvolvimento em Redes de Computadores - Comandos Básicos
01 Desenvolvimento em Redes de Computadores - Comandos Básicos01 Desenvolvimento em Redes de Computadores - Comandos Básicos
01 Desenvolvimento em Redes de Computadores - Comandos BásicosMauro Duarte
 
7 - Introdução ao desenvolvimento web - mídias
7 - Introdução ao desenvolvimento web - mídias7 - Introdução ao desenvolvimento web - mídias
7 - Introdução ao desenvolvimento web - mídiasMauro Duarte
 
Técnicas de Invasão - INFOESTE 2015
Técnicas de Invasão - INFOESTE 2015Técnicas de Invasão - INFOESTE 2015
Técnicas de Invasão - INFOESTE 2015C H
 
Livro proibido do curso de hacker completo 285 páginas 71
Livro proibido do curso de hacker completo 285 páginas 71Livro proibido do curso de hacker completo 285 páginas 71
Livro proibido do curso de hacker completo 285 páginas 71Guilherme Dias
 
Apostila para hackers iniciantes
Apostila para hackers iniciantesApostila para hackers iniciantes
Apostila para hackers inicianteshackersetruques
 

Destaque (10)

00 apresentação desenvolvimento em redes de computadores
00 apresentação desenvolvimento em redes de computadores00 apresentação desenvolvimento em redes de computadores
00 apresentação desenvolvimento em redes de computadores
 
1 o hacker profissional
1 o hacker profissional1 o hacker profissional
1 o hacker profissional
 
Dicas de Navegação Segura na Internet
Dicas de Navegação Segura na InternetDicas de Navegação Segura na Internet
Dicas de Navegação Segura na Internet
 
Pirataria e hacker
Pirataria e hackerPirataria e hacker
Pirataria e hacker
 
Pirataria informatica
Pirataria informaticaPirataria informatica
Pirataria informatica
 
01 Desenvolvimento em Redes de Computadores - Comandos Básicos
01 Desenvolvimento em Redes de Computadores - Comandos Básicos01 Desenvolvimento em Redes de Computadores - Comandos Básicos
01 Desenvolvimento em Redes de Computadores - Comandos Básicos
 
7 - Introdução ao desenvolvimento web - mídias
7 - Introdução ao desenvolvimento web - mídias7 - Introdução ao desenvolvimento web - mídias
7 - Introdução ao desenvolvimento web - mídias
 
Técnicas de Invasão - INFOESTE 2015
Técnicas de Invasão - INFOESTE 2015Técnicas de Invasão - INFOESTE 2015
Técnicas de Invasão - INFOESTE 2015
 
Livro proibido do curso de hacker completo 285 páginas 71
Livro proibido do curso de hacker completo 285 páginas 71Livro proibido do curso de hacker completo 285 páginas 71
Livro proibido do curso de hacker completo 285 páginas 71
 
Apostila para hackers iniciantes
Apostila para hackers iniciantesApostila para hackers iniciantes
Apostila para hackers iniciantes
 

Semelhante a Senhas Fortes e Autenticação Dupla

Como ter uma senha forte e navegar seguro na internet
Como ter uma senha forte e navegar seguro na internetComo ter uma senha forte e navegar seguro na internet
Como ter uma senha forte e navegar seguro na internetCarlos Paiva
 
3º SICT-Sul Minicurso Técnicas para segurança computacional
3º SICT-Sul Minicurso Técnicas para segurança computacional3º SICT-Sul Minicurso Técnicas para segurança computacional
3º SICT-Sul Minicurso Técnicas para segurança computacionalLucas Mellos Carlos
 
Conscientização sobre SI
Conscientização sobre SIConscientização sobre SI
Conscientização sobre SIFelipe Perin
 
Tema 09
Tema 09Tema 09
Tema 09Google
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informaçãoAdilmar Dantas
 
Engenharia Social UNAES Campo Grande MS
Engenharia Social UNAES Campo Grande MSEngenharia Social UNAES Campo Grande MS
Engenharia Social UNAES Campo Grande MSBruno Alexandre
 
Segurança da informação na web
Segurança da informação na webSegurança da informação na web
Segurança da informação na webRafael Marinho
 
Apresentação tema 9 Segurança das Informações e Continuidade dos negócios
Apresentação tema 9 Segurança das Informações e Continuidade dos negóciosApresentação tema 9 Segurança das Informações e Continuidade dos negócios
Apresentação tema 9 Segurança das Informações e Continuidade dos negóciosSanger Dias
 
Internet seguranca_e_etica_2009
Internet seguranca_e_etica_2009Internet seguranca_e_etica_2009
Internet seguranca_e_etica_2009lealtran
 
Unidade 06 introdução a computação - segurança da informação 15-03-03 - 57 ...
Unidade 06 introdução a computação - segurança da informação 15-03-03 - 57 ...Unidade 06 introdução a computação - segurança da informação 15-03-03 - 57 ...
Unidade 06 introdução a computação - segurança da informação 15-03-03 - 57 ...Alex Casañas
 
Unidade 06 introdução a computação - segurança da informação 15-03-03 - 57 ...
Unidade 06 introdução a computação - segurança da informação 15-03-03 - 57 ...Unidade 06 introdução a computação - segurança da informação 15-03-03 - 57 ...
Unidade 06 introdução a computação - segurança da informação 15-03-03 - 57 ...Alex Casañas
 

Semelhante a Senhas Fortes e Autenticação Dupla (20)

Como ter uma senha forte e navegar seguro na internet
Como ter uma senha forte e navegar seguro na internetComo ter uma senha forte e navegar seguro na internet
Como ter uma senha forte e navegar seguro na internet
 
Aula 1 semana
Aula 1 semanaAula 1 semana
Aula 1 semana
 
3º SICT-Sul Minicurso Técnicas para segurança computacional
3º SICT-Sul Minicurso Técnicas para segurança computacional3º SICT-Sul Minicurso Técnicas para segurança computacional
3º SICT-Sul Minicurso Técnicas para segurança computacional
 
Conscientização sobre SI
Conscientização sobre SIConscientização sobre SI
Conscientização sobre SI
 
Curso segurança na internet
Curso segurança na internetCurso segurança na internet
Curso segurança na internet
 
SegurançA Na Internet
SegurançA Na InternetSegurançA Na Internet
SegurançA Na Internet
 
VíRus
VíRusVíRus
VíRus
 
Tema 09
Tema 09Tema 09
Tema 09
 
Boas Práticas em Segurança da Informação
Boas Práticas em Segurança da InformaçãoBoas Práticas em Segurança da Informação
Boas Práticas em Segurança da Informação
 
Mallwares
MallwaresMallwares
Mallwares
 
Pentest conisli07
Pentest conisli07Pentest conisli07
Pentest conisli07
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informação
 
Engenharia Social UNAES Campo Grande MS
Engenharia Social UNAES Campo Grande MSEngenharia Social UNAES Campo Grande MS
Engenharia Social UNAES Campo Grande MS
 
Segurança da informação na web
Segurança da informação na webSegurança da informação na web
Segurança da informação na web
 
Apresentação tema 9 Segurança das Informações e Continuidade dos negócios
Apresentação tema 9 Segurança das Informações e Continuidade dos negóciosApresentação tema 9 Segurança das Informações e Continuidade dos negócios
Apresentação tema 9 Segurança das Informações e Continuidade dos negócios
 
Internet redes sociais
Internet redes sociaisInternet redes sociais
Internet redes sociais
 
Internet seguranca_e_etica_2009
Internet seguranca_e_etica_2009Internet seguranca_e_etica_2009
Internet seguranca_e_etica_2009
 
Aula de seguranca (1)
Aula de seguranca (1)Aula de seguranca (1)
Aula de seguranca (1)
 
Unidade 06 introdução a computação - segurança da informação 15-03-03 - 57 ...
Unidade 06 introdução a computação - segurança da informação 15-03-03 - 57 ...Unidade 06 introdução a computação - segurança da informação 15-03-03 - 57 ...
Unidade 06 introdução a computação - segurança da informação 15-03-03 - 57 ...
 
Unidade 06 introdução a computação - segurança da informação 15-03-03 - 57 ...
Unidade 06 introdução a computação - segurança da informação 15-03-03 - 57 ...Unidade 06 introdução a computação - segurança da informação 15-03-03 - 57 ...
Unidade 06 introdução a computação - segurança da informação 15-03-03 - 57 ...
 

Mais de Mauro Duarte

CSS - Folhas de Estilo em Cascata
CSS - Folhas de Estilo em Cascata CSS - Folhas de Estilo em Cascata
CSS - Folhas de Estilo em Cascata Mauro Duarte
 
Porque tanta pressa - Caril Borges
Porque tanta pressa - Caril BorgesPorque tanta pressa - Caril Borges
Porque tanta pressa - Caril BorgesMauro Duarte
 
Perdoando como José perdoou - Caril Borges
Perdoando como José perdoou - Caril BorgesPerdoando como José perdoou - Caril Borges
Perdoando como José perdoou - Caril BorgesMauro Duarte
 
Otimistas ou pessimistas - Caril Borges
Otimistas ou pessimistas - Caril BorgesOtimistas ou pessimistas - Caril Borges
Otimistas ou pessimistas - Caril BorgesMauro Duarte
 
Nos importando com o próximo
Nos importando com o próximoNos importando com o próximo
Nos importando com o próximoMauro Duarte
 
Noé não deu desculpas para nao servir a deus
Noé não deu desculpas para nao servir a deusNoé não deu desculpas para nao servir a deus
Noé não deu desculpas para nao servir a deusMauro Duarte
 
Construindo muros ou pontes
Construindo muros ou pontesConstruindo muros ou pontes
Construindo muros ou pontesMauro Duarte
 
A tragédia que virou triunfo
A tragédia que virou triunfoA tragédia que virou triunfo
A tragédia que virou triunfoMauro Duarte
 
Atitudes para os problemas de 2015 - Caril Borges
Atitudes para os problemas de 2015 - Caril BorgesAtitudes para os problemas de 2015 - Caril Borges
Atitudes para os problemas de 2015 - Caril BorgesMauro Duarte
 
As armadilhas de satanás - Caril Borges
As armadilhas de satanás - Caril BorgesAs armadilhas de satanás - Caril Borges
As armadilhas de satanás - Caril BorgesMauro Duarte
 
Otimizando a Produção de WebSites com Joomla
Otimizando a Produção de WebSites com JoomlaOtimizando a Produção de WebSites com Joomla
Otimizando a Produção de WebSites com JoomlaMauro Duarte
 
Automação de Testes Selenium IDE
Automação de Testes Selenium IDEAutomação de Testes Selenium IDE
Automação de Testes Selenium IDEMauro Duarte
 
História Logo Flisol
História Logo Flisol História Logo Flisol
História Logo Flisol Mauro Duarte
 
5 - Introdução ao Desenvolvimento Web - Formulários (pt 2)
5 - Introdução ao Desenvolvimento Web - Formulários (pt 2)5 - Introdução ao Desenvolvimento Web - Formulários (pt 2)
5 - Introdução ao Desenvolvimento Web - Formulários (pt 2)Mauro Duarte
 
03 Sistemas Operacionais Linux
03 Sistemas Operacionais Linux03 Sistemas Operacionais Linux
03 Sistemas Operacionais LinuxMauro Duarte
 
4 - Introdução ao Desenvolvimento Web - Formulários (pt 1)
4 - Introdução ao Desenvolvimento Web - Formulários (pt 1)4 - Introdução ao Desenvolvimento Web - Formulários (pt 1)
4 - Introdução ao Desenvolvimento Web - Formulários (pt 1)Mauro Duarte
 

Mais de Mauro Duarte (20)

Requsitos
RequsitosRequsitos
Requsitos
 
CSS - Folhas de Estilo em Cascata
CSS - Folhas de Estilo em Cascata CSS - Folhas de Estilo em Cascata
CSS - Folhas de Estilo em Cascata
 
Os pássaros
Os pássarosOs pássaros
Os pássaros
 
Porque tanta pressa - Caril Borges
Porque tanta pressa - Caril BorgesPorque tanta pressa - Caril Borges
Porque tanta pressa - Caril Borges
 
Perdoando como José perdoou - Caril Borges
Perdoando como José perdoou - Caril BorgesPerdoando como José perdoou - Caril Borges
Perdoando como José perdoou - Caril Borges
 
Otimistas ou pessimistas - Caril Borges
Otimistas ou pessimistas - Caril BorgesOtimistas ou pessimistas - Caril Borges
Otimistas ou pessimistas - Caril Borges
 
Nos importando com o próximo
Nos importando com o próximoNos importando com o próximo
Nos importando com o próximo
 
Noé não deu desculpas para nao servir a deus
Noé não deu desculpas para nao servir a deusNoé não deu desculpas para nao servir a deus
Noé não deu desculpas para nao servir a deus
 
Construindo muros ou pontes
Construindo muros ou pontesConstruindo muros ou pontes
Construindo muros ou pontes
 
A tragédia que virou triunfo
A tragédia que virou triunfoA tragédia que virou triunfo
A tragédia que virou triunfo
 
Atitudes para os problemas de 2015 - Caril Borges
Atitudes para os problemas de 2015 - Caril BorgesAtitudes para os problemas de 2015 - Caril Borges
Atitudes para os problemas de 2015 - Caril Borges
 
As armadilhas de satanás - Caril Borges
As armadilhas de satanás - Caril BorgesAs armadilhas de satanás - Caril Borges
As armadilhas de satanás - Caril Borges
 
Otimizando a Produção de WebSites com Joomla
Otimizando a Produção de WebSites com JoomlaOtimizando a Produção de WebSites com Joomla
Otimizando a Produção de WebSites com Joomla
 
Automação de Testes Selenium IDE
Automação de Testes Selenium IDEAutomação de Testes Selenium IDE
Automação de Testes Selenium IDE
 
História Logo Flisol
História Logo Flisol História Logo Flisol
História Logo Flisol
 
6 link tag aa
6 link tag aa6 link tag aa
6 link tag aa
 
6 link tag a
6 link tag a6 link tag a
6 link tag a
 
5 - Introdução ao Desenvolvimento Web - Formulários (pt 2)
5 - Introdução ao Desenvolvimento Web - Formulários (pt 2)5 - Introdução ao Desenvolvimento Web - Formulários (pt 2)
5 - Introdução ao Desenvolvimento Web - Formulários (pt 2)
 
03 Sistemas Operacionais Linux
03 Sistemas Operacionais Linux03 Sistemas Operacionais Linux
03 Sistemas Operacionais Linux
 
4 - Introdução ao Desenvolvimento Web - Formulários (pt 1)
4 - Introdução ao Desenvolvimento Web - Formulários (pt 1)4 - Introdução ao Desenvolvimento Web - Formulários (pt 1)
4 - Introdução ao Desenvolvimento Web - Formulários (pt 1)
 

Senhas Fortes e Autenticação Dupla

  • 2. Algo que o usuário sabe... Algo que o usuário tem... Algo que o usuário é... Algo que o usuário faz... Senhas e Autenticação
  • 3. Por mais insuficiente que seja a combinação usuário/senha a situação sempre pode piorar: * se você os deixar escolher uma senha sem qualquer critério, eles automaticamente escolherão uma senha fraca, como “internacional” ou “gremio”.“gremio”. * se você os forçar a escolher uma senha forte com letras maiúsculas, minúsculas, números e símbolos, eles irão anotar num papel e esconder embaixo do teclado. * se você os pedir para alterar, eles alterarão para a mesma senha que usavam no mês passado. * quando você finalmente consegue fazê-los utilizar uma senha forte, eles utilizarão essa mesma senha para diversos serviços diferentes.
  • 5. O consultor de segurança Mark Burnett publicou 10 milhões de senhas junto a seus nomes de usuário correspondentes. A ideia é ajudar outros pesquisadores – ele acredita que a maioria das combinações usuário-senha já foi desativada – mas é algo juridicamente arriscado. Normalmente, pesquisadores de segurança recebem um conjunto de senhas sem os nomes de usuário, só que isso os impede de analisar possíveis interações entre nomes e senhas. http://gizmodo.uol.com.br/10-milhoes-senhas-nomes/https://xato.net/about/ “...há algum tempo, queria criar um banco de dados limpo para compartilhar com o mundo”. Ele acredita que fornecer nomes e senhas em conjunto dá “insights melhores sobre o comportamento do usuário e é valioso para promover a segurança de senhas”.
  • 6. Assim, Burnett se esforça para explicar porque o FBI não deve prendê-lo: “Embora os pesquisadores normalmente só liberem senhas, eu estou liberando os nomes de usuário com as senhas. A análise de nomes e senhas é uma área que tem sido muito negligenciada e pode fornecer mais insights que estudar senhas isoladamente. A maioria dos pesquisadores tem medo de publicar nomes de usuários e senhas juntos porque, combinados, eles se tornam um recurso de autenticação. Se apenas fornecer o link para recursos de autenticação em um canal de IRC privado é considerado tráfico, certamente o FBI iria considerar a liberação pública de dados reais umcertamente o FBI iria considerar a liberação pública de dados reais um crime… … a intenção aqui certamente não é fraudar, nem facilitar o acesso não-autorizado a um sistema de computador, nem roubar a identidade de outros, nem auxiliar qualquer crime ou prejudicar qualquer pessoa física ou jurídica. A única intenção é avançar as pesquisas com o objetivo de tornar a autenticação mais segura e, portanto, nos proteger contra fraudes e acessos não-autorizados… Em última análise, até o máximo que pude verificar, estas senhas não são mais válidas, e eu tomei medidas extraordinárias para tornar esses dados ineficazes em atacar determinados usuários ou organizações. Estes dados são extremamente valiosos para fins acadêmicos e de pesquisa e para promover a segurança de autenticação, e é por isso que eu os liberei em domínio público.”
  • 7. http://wpengine.com/unmasked/ WordPress Hosting Platform 10 Million Passwords Unmasked Note que há uma diferença regional que precisa ser levada em consideração.
  • 8.
  • 9.
  • 10.
  • 11.
  • 12.
  • 13. Faça o que eu digo, não faça o que eu faço! (as senhas dos Grandes deTI)
  • 14. Faça o que eu digo, não faça o que eu faço! (as senhas dos Grandes deTI)
  • 15. Faça o que eu digo, não faça o que eu faço! (as senhas dos Grandes deTI)
  • 16. Faça o que eu digo, não faça o que eu faço! (as senhas dos Grandes deTI)
  • 17. Faça o que eu digo, não faça o que eu faço! (as senhas dos Grandes deTI)
  • 18. Faça o que eu digo, não faça o que eu faço! (as senhas dos Grandes deTI)
  • 19. Faça o que eu digo, não faça o que eu faço! (as senhas dos Grandes deTI) Afinal, se até o Comando Aéreo Estratégico dos EUA mantiveram por 20 anos os códigos de lançamento doscódigos de lançamento dos mísseis nucleares como “00000000”, o que impediria o usuário mediano de usar senhas fracas? http://www.dailymail.co.uk/news/article- 2515598/Launch-code-US-nuclear- weapons-easy-00000000.html
  • 20. Conforme Bruce Schneier, o conceito de senhas está relacionado a um Oxímoro: uma figura de linguagem que consiste em relacionar numa mesma expressão ou locução palavras que exprimem conceitos contrários: Uma senha segura é aquela onde o esforço para obtê-la é mais custoso do que o benefício advindo de tal ato. • silêncio ensurdecedor • ilustre desconhecido • mentiroso honesto A ideia é ter uma palavra randômica fácil de lembrar para servir de autenticação. Cristiano = fácil de lembrar, mas não é randômico TRsdj-dsi18*54kuq(0 = randômico, mas não é fácil de lembrar
  • 22. Porém esse cálculo é feito considerando-se o método de força bruta. Em ataques de dicionário, uma wordlist será utilizada para tentar quebrar a senha da vítima, ou seja, tudo dependerá: • da qualidade da wordlist do atacante • da qualidade da senha do usuário O CUPP.py nos permitirá criar uma wordlist personalizada, sempre levando em consideração que nosso usuário foi tolo o suficiente para utilizar informações pessoais para compor uma senha. Lembre-se: usando dados pessoais conseguidos através de currículos coletados na Internet, redes sociais ou mesmo através de engenharia social, pode-se aumentar ainda mais a qualidade da wordlist
  • 23. CUPP: Common User Password Profiler
  • 24.
  • 25. Exemplo de quebra de SSH com CUPP.py e Hydra-GTK Senha: 5p1k3Cr1571@n0@|@Senha: 5p1k3Cr1571@n0@|@
  • 26. Criando senhas fortes Senha = MvJ,87,gbdl. Frase = Meu vizinho João, 87, gosta bastante de limonada. 96 possibilidades em 12 dígitos (9612): 612.709.757.329.767.363.772.416 Note que esta já não é mais uma senha segura.
  • 27. Teste da senha Mvj,87,gbdl. How Secure is my password Kaspersky
  • 28. DICA DO DIA!!!!!!!!!! Transforme algo que você sabe em algo que você tem e faça autenticação dupla ;o) Escreva num pedaço de papel uma parte da senha e leve-o na sua carteira (afinal, é onde você guarda seus documentos, seu dinheiro, seus cartões...). Você também podeonde você guarda seus documentos, seu dinheiro, seus cartões...). Você também pode ter essa informação no seu celular, usando softwares como o Keepass. Senha = MvJ,87,gbdl.@Mg7F-097DsLp-12 sendo que: MvJ,87,gbdl. é a parte que eu sei e; @Mg7F-097DsLp-12 é a parte que levo anotada na carteira ou celular.