no início deste ano, cerca de 6,5 milhões de hashes de senha de conta do LinkedIn foram publicados em um fórum de hackers. Os hashes eram simples resumos SHA1 calculados a partir das senhas do Usuário, conforme armazenados na infraestrutura De back-end do LinkedIn.

não demorou muito para os hackers começarem a quebrá-los, com mais da metade deles rachando em quase nenhum momento.

existem duas razões principais pelas quais essa quebra rápida era possível:

* o uso da própria função SHA1
* GPUs rápidas

vamos dar uma olhada em ambos.

a função SHA1 foi projetada principalmente para substituir a função mais fraca MD5. Foi criado para ser rápido,e na verdade é. Em uma placa gráfica AMD / ATI 7970,” hashcat ” (veja https://hashcat.net/oclhashcat-plus/) calcula um pouco mais de dois bilhões de hashes SHA1 por segundo. Isso significa que muitas combinações podem ser testadas em um tempo muito curto.

para superar esse “problema”, existem algoritmos modernos e mais seguros, como a função sha512crypt usada no Ubuntu e versões recentes do Fedora Core Linux. Em vez de 2 bilhões de hashes por segundo, a mesma placa GPU quebra apenas um pouco mais de 12.000 combinações sha512crypt por segundo. Por exemplo, verificar um bilhão de combinações sha512crypt leva cerca de 24 horas; mas menos de 1 segundo para SHA1.

por causa das GPUs rápidas de hoje, um bom conselho quando se trata de segurança é escolher uma senha complexa, que:

* inclui letras maiúsculas e minúsculas, caracteres
* inclui pelo menos um caractere de espaço
* inclui números
* inclui vários símbolos como !@ #
* não se baseia em uma palavra conhecida
* tem pelo menos 12 caracteres de tamanho, mas quanto mais tempo melhor

muitas das pessoas que conheço usam frases-passe que têm entre 20 e 50 caracteres de tamanho. Este é um bom conselho que torna improvável que, mesmo no caso de seu hash de senha vazar, ninguém o quebre.

Imagine minha surpresa hoje quando tentei fazer login em uma conta mais antiga do Hotmail e obtive o seguinte:

as senhas da conta da Microsoft podem conter até 16 caracteres. Se você estiver usando uma senha com mais de 16 caracteres, digite os primeiros 16.

as senhas da conta da Microsoft podem conter até 16 caracteres.
se você estiver usando uma senha com mais de 16 caracteres, digite os primeiros 16.

minha senha anterior tem cerca de 30 caracteres e agora não funciona mais. No entanto, eu poderia fazer o login digitando apenas os primeiros 16 caracteres.

esta limitação é bem conhecida (veja o excelente post de Graham Cluley sobre os limites de senha de vários serviços) no entanto, o que chamou minha atenção foi que, cortando a senha para 16 caracteres, funcionaria.

para puxar este truque com senhas mais antigas, a Microsoft tinha duas opções:

* armazene senhas de texto simples completas em seu banco de dados; compare os primeiros 16 caracteres apenas
* calcule o hash apenas nos primeiros 16; ignorar o resto

armazenar senhas de texto simples para Serviços online é um Não-Não definitivo em segurança. A outra escolha pode significar que, desde o seu início, o Hotmail estava silenciosamente usando apenas os primeiros 16 caracteres da senha.

para ser honesto, Não tenho certeza de qual é o pior.

PS: meu professor disse sempre pensar positivamente e tentar terminar com uma nota otimista. Então aqui vai: “obrigado Google para GMail”.

Deixe uma resposta

O seu endereço de email não será publicado.