3. Por mais insuficiente que seja a combinação usuário/senha a situação sempre pode piorar:
* se você os deixar escolher uma senha sem qualquer critério, eles
automaticamente escolherão uma senha fraca, como “internacional” ou
“gremio”.“gremio”.
* se você os forçar a escolher uma senha forte com letras maiúsculas, minúsculas,
números e símbolos, eles irão anotar num papel e esconder embaixo do teclado.
* se você os pedir para alterar, eles alterarão para a mesma senha que usavam no
mês passado.
* quando você finalmente consegue fazê-los utilizar uma senha forte, eles
utilizarão essa mesma senha para diversos serviços diferentes.
5. O consultor de segurança Mark Burnett publicou 10 milhões de senhas junto a seus nomes de usuário
correspondentes.
A ideia é ajudar outros pesquisadores – ele acredita que a maioria das combinações usuário-senha já
foi desativada – mas é algo juridicamente arriscado.
Normalmente, pesquisadores de segurança recebem um conjunto de senhas sem os nomes de
usuário, só que isso os impede de analisar possíveis interações entre nomes e senhas.
http://gizmodo.uol.com.br/10-milhoes-senhas-nomes/https://xato.net/about/
“...há algum tempo, queria criar um banco de dados
limpo para compartilhar com o mundo”.
Ele acredita que fornecer nomes e senhas em
conjunto dá “insights melhores sobre o
comportamento do usuário e é valioso para promover
a segurança de senhas”.
6. Assim, Burnett se esforça para
explicar porque o FBI não deve
prendê-lo:
“Embora os pesquisadores normalmente só liberem senhas, eu estou
liberando os nomes de usuário com as senhas. A análise de nomes e
senhas é uma área que tem sido muito negligenciada e pode fornecer
mais insights que estudar senhas isoladamente.
A maioria dos pesquisadores tem medo de publicar nomes de
usuários e senhas juntos porque, combinados, eles se tornam um
recurso de autenticação. Se apenas fornecer o link para recursos de
autenticação em um canal de IRC privado é considerado tráfico,
certamente o FBI iria considerar a liberação pública de dados reais umcertamente o FBI iria considerar a liberação pública de dados reais um
crime…
… a intenção aqui certamente não é fraudar, nem facilitar o acesso
não-autorizado a um sistema de computador, nem roubar a identidade
de outros, nem auxiliar qualquer crime ou prejudicar qualquer pessoa
física ou jurídica. A única intenção é avançar as pesquisas com o
objetivo de tornar a autenticação mais segura e, portanto, nos
proteger contra fraudes e acessos não-autorizados…
Em última análise, até o máximo que pude verificar, estas senhas não
são mais válidas, e eu tomei medidas extraordinárias para tornar
esses dados ineficazes em atacar determinados usuários ou
organizações. Estes dados são extremamente valiosos para fins
acadêmicos e de pesquisa e para promover a segurança de
autenticação, e é por isso que eu os liberei em domínio público.”
13. Faça o que eu digo, não faça o que eu faço! (as senhas dos Grandes deTI)
14. Faça o que eu digo, não faça o que eu faço! (as senhas dos Grandes deTI)
15. Faça o que eu digo, não faça o que eu faço! (as senhas dos Grandes deTI)
16. Faça o que eu digo, não faça o que eu faço! (as senhas dos Grandes deTI)
17. Faça o que eu digo, não faça o que eu faço! (as senhas dos Grandes deTI)
18. Faça o que eu digo, não faça o que eu faço! (as senhas dos Grandes deTI)
19. Faça o que eu digo, não faça o que eu faço! (as senhas dos Grandes deTI)
Afinal, se até o Comando
Aéreo Estratégico dos EUA
mantiveram por 20 anos os
códigos de lançamento doscódigos de lançamento dos
mísseis nucleares como
“00000000”, o que
impediria o usuário
mediano de usar senhas
fracas?
http://www.dailymail.co.uk/news/article-
2515598/Launch-code-US-nuclear-
weapons-easy-00000000.html
20. Conforme Bruce Schneier, o conceito de senhas está relacionado a um Oxímoro:
uma figura de linguagem que consiste em relacionar numa mesma expressão ou
locução palavras que exprimem conceitos contrários:
Uma senha segura é aquela onde o esforço para obtê-la é mais custoso do
que o benefício advindo de tal ato.
• silêncio ensurdecedor
• ilustre desconhecido
• mentiroso honesto
A ideia é ter uma palavra randômica fácil de lembrar para servir de autenticação.
Cristiano = fácil de lembrar, mas não é randômico
TRsdj-dsi18*54kuq(0 = randômico, mas não é fácil de lembrar
22. Porém esse cálculo é feito considerando-se o método de força bruta.
Em ataques de dicionário, uma wordlist será utilizada para tentar quebrar a senha
da vítima, ou seja, tudo dependerá:
• da qualidade da wordlist do atacante
• da qualidade da senha do usuário
O CUPP.py nos permitirá criar uma wordlist personalizada, sempre levando em
consideração que nosso usuário foi tolo o suficiente para utilizar informações
pessoais para compor uma senha.
Lembre-se: usando dados pessoais conseguidos através de currículos coletados na
Internet, redes sociais ou mesmo através de engenharia social, pode-se aumentar
ainda mais a qualidade da wordlist
25. Exemplo de quebra de SSH com CUPP.py e Hydra-GTK
Senha: 5p1k3Cr1571@n0@|@Senha: 5p1k3Cr1571@n0@|@
26. Criando senhas fortes
Senha = MvJ,87,gbdl.
Frase = Meu vizinho João, 87, gosta bastante de limonada.
96 possibilidades em 12 dígitos (9612): 612.709.757.329.767.363.772.416
Note que esta já não é mais uma senha segura.
27. Teste da senha Mvj,87,gbdl.
How Secure is my password
Kaspersky
28. DICA DO DIA!!!!!!!!!!
Transforme algo que você sabe em algo que você tem e faça autenticação dupla ;o)
Escreva num pedaço de papel uma parte da senha e leve-o na sua carteira (afinal, é
onde você guarda seus documentos, seu dinheiro, seus cartões...). Você também podeonde você guarda seus documentos, seu dinheiro, seus cartões...). Você também pode
ter essa informação no seu celular, usando softwares como o Keepass.
Senha = MvJ,87,gbdl.@Mg7F-097DsLp-12 sendo que:
MvJ,87,gbdl. é a parte que eu sei e;
@Mg7F-097DsLp-12 é a parte que levo anotada na carteira ou celular.