Verificadores de senhas em sites não tão seguros assim, diz pesquisa

Os medidores de força dos sites costumam te dizer o que você quer ouvir. Pelo menos é isso que afirmam os pesquisadores da Universidade de Concórdia, em Montreal, que examinaram a utilidade daqueles testadores verde/amarelo/vermelho que aparecem em sites rodados por grandes nomes como Google, Yahoo, Twitter, e Microsoft/Skype.

Os pesquisadores usaram algoritmos para enviar milhões de senhas “não tão boas” por esses medidores, assim como por meio de medidores de serviços de gerenciamento de senhas, como o LastPass e o 1Password, e ficaram pouco impressionados pelos resultados.

“Descobrimos que os resultados foral altamente inconsistentes. O que era forte em um site aparecia como fraco em outro”, afirmou o professor-assistente da Universidade, Mohammad Mannan. Ele colaborou no estudo com o estudante de doutorado Xavier de Carné de Carnavalet.

Os medidores de força das senhas são feitos com boas intenções, para proteger os usuários de ficarem expostos à ataques por meio do uso de senhas ruins como “senha”/”password”. Na verdade, pesquisas da Microsoft com as Universidades da Califórnia e British Columbia descobriram que, na verdade, as medidas de senhas encorajam os usuários a usarem senhas mais fortes.

Mas isso não significa necessariamente que os medidores foram bem-desenvolvidos, apontam os pesquisadores da Concordia, cujo estudo será publicado no relatório ACM Transactions on Information and System Security. O estudo aponta que a maioria dos medidores estudados “são bastante simples em sua natureza e aparentemente feitos de uma maneira específica”.

E apenas porque um medidor aponta que uma senha é forte, não significa que isso seja verdade, apontam os pesquisadores.

No estudo, os pesquisadores destacaram o serviço de compartilhamento na nuvem Dropbox por ter alguns dos melhores verificadores de senha – e um outro open source que inclui uma explicação sobre o seu desenvolvimento.

Além disso, o verificador acaba com qualquer palavra encontrada no dicionário. O Dropbox classificou a senha “Password1” como muito fraca, mas outra página, Yandex, apontou que o código é seguro.

De modo geral, os caminhos da força da senha são inconsistente, com alguns permitindo apenas letras e outros exigindo um caractere diferente para fornecer aprovação, apontam os pesquisadores. Isso envia uma mensagem confusa para os usuários acessando vários sites diferentes.

Mannan afirma que, apesar dos avisos sobre o estudo para os sites, poucos realmente fizeram mudanças. Mas os pesquisadores tem esperança de que seu trabalho encoraje os operadores dos sites assim como outros acadêmicos a olharem mais de perto para o assunto.

Fonte:IDGNOW