Conforme o primeiro estudo já realizado sobre a eficiência dos medidores de força de senha, estudo esse que foi entregue na semana passada durante o evento de Interação Humano-Computador, IHC, na capital francesa, os medidores não são apenas elementos insignificantes para a segurança. Ao contrário. A sua utilização, certamente, resulta em senhas mais fortes quando os usuários são obrigados a mudar senhas existentes em contas importantes, de acordo com o estudo "Does my password goes up to eleven?", realizado por pesquisadores da Universidade de Califórnia em Berkeley, Universidade de British Columbia e Microsoft Research. Eles também descobriram que as variações gráficas de design entre diferentes tipos de medidores, podem ter um impacto marginal no processo de adoção de usuários.
Utilidade dos Medidores de Senha
A utilidade desses medidores de senhas, até então, era desconhecida. Isso porque nenhuma pesquisa anterior tirou proveito do seu impacto nas escolhas por senhas mais fortes. De acordo com Serge Egelman, da Univesidade da Califórnia em Berkeley, a intenção chave dessa experiência era analisar se os medidores baseados em pressão social gerariam resultados satisfatórios. Isso porque ninguém esperava que os medidores existentes apresentassem algum nível de eficiência.
Egelman também disse que a equipe de pesquisadores foi surpreendida por duas ocorrências: a primeira delas é referente ao design do medidor, que parece não ter muita importância; a segunda, é que os medidores funcionam em determinadas circunstâncias.
Feedback Sobre a Relevância das Senhas
De acordo com a ênfase dada em referência ao filme "This is spinal tab" no título do relatório, quando se trata de senhas, mais (entropia) é igual a mais (segurança). Por esse motivo é que o conselho padrão de segurança de senha, atualmente, escolhe uma senha que tenha, pelo menos, 12 caracteres. Isso envolve a mistura de letras, números e símbolos. Entretanto, sejam quais forem as regras, os medidores de senhas oferecem um feedback visual simples e instantâneo sobre o que é considerado forte o suficiente para a segurança do utilizador da senha.
Todas as conclusões tiradas pelos pesquisadores são baseadas em comparações de reconfigurações forçadas de senha, tanto na presença quanto na ausência de medidores de senhas. Egleman também acrescentou que foi realizado um experimento em laboratório, para examinar se esses medidores influenciam a seleção da senha dos usuários, toda vez que eles são forçados a mudar suas senhas reais. Eles também notaram que a presença de um medidor resultava em senhas significativamente mais fortes.
Além das considerações feitas anteriormente, eles também notaram que os medidores não parecem causar problemas de memória nos usuários, e sugeriram que as pessoas que se esquecem de suas senhas estão mais relacionadas às datas de expiração forçada. Essa situação não é vista como de primeira instância por uma boa parte dos especialistas.
No entanto, as descobertas dos pesquisadores sobre os medidores de força de senha, surgem com um alerta: em um segundo estudo conduzido por esses profissionais, os usuários deveriam criar uma senha para uma conta importante. Neste cenário, eles descobriram que os medidores não fizeram uma diferença notável, porque os participantes simplesmente reutilizam senhas de baixa relevância, que eles usam para proteger contas similares de baixo risco. Na sequência desses fatos, Egelman disse que apesar dos medidores de senha serem eficientes quando utilizados para senhas importantes, eles poderiam não ser usados para as senhas que não tem relevância.
O que acontece também, é que as pessoas têm memória finita, que não deveria ser desperdiçada na proteção de recursos que não são de extrema importância. Isso envolve contas de baixo valor. O maior problema nessa situação, é que a maioria das senhas é altamente suscetível a ataques offline. A utilização de controles de segurança de rede apropriados e um sistema de criptografia forte para assegurar que as senhas não sejam ser roubadas por crackers ou decodificadas offline, no entanto, não tem nada a ver com os medidores de força de senha. Engleman finalizou suas considerações, dizendo que esta responsabilidade é somente dos websites que armazenam as senhas, e não dos usuários.
Saiba Mais:
[1] Up to Eleven http://en.wikipedia.org/wiki/Up_to_eleven
[2] Microsoft Research http://research.microsoft.com/apps/pubs/?id=192108
[3] CEIHC - Interação Humano-Computador http://comissoes.sbc.org.br/ce-ihc/
[4] ITWeb http://itweb.com.br/107326/como-medi...rar-seguranca/