cracAutor: Lincoln Spector

Harish Kumar me perguntou se um ataque de força bruta – que testa cadeias de texto aleatórias até que descubra a combinação escolhida pelo usuário – pode funcionar em grandes sites. “Será que o Facebook permite milhões de tentativas frustradas?”

Todos sabemos que cibercriminosos hackearam contas no Facebook, no Twitter, no Google e na Microsoft com sucesso. Há três dias, dois leitores me enviaram um e-mail pedindo dicas sobre como recuperar suas contas no Twitter, que foram hackeadas.

A maioria dos ataques bem sucedidos não são de força bruta, mas de engenharia social – que tenta enganar o usuário e faz com que ele entregue a senha ao cibercriminoso. Esse tipo de tática não funciona com todo mundo – mas funciona.

Como regra geral, sites não dão espaço a ataques de força bruta. Cada palpite sobre uma senha irá demorar alguns segundos para verificar se é verdadeira ou falsa.

Nessa média, até mesmo um número de quatro dígitos pode demorar de 15 a 20 horas. E muito antes disso, qualquer site decentemente projetado irá reconhecer o que está acontecendo e bloquear a conta.

No entanto, algumas pessoas afirmam ter encontrado maneiras de contornar todas as defesas com sucesso.

E não, eu não tentei. Eu tenho as minhas dúvidas de que, se essa técnica funcionou alguma vez, ela não funciona mais.

O Facebook corrige imediatamente qualquer que seja a vulnerabilidade que a tornou possível. Claro, isso não é garantia de que outras falhas não serão descobertas no futuro.

Tenha em mente que se você habilitou a sua “Aprovação de Login” na rede social de Zuckerberg (que você encontra nas configurações de segurança), alguém que rouba a sua senha ainda assim não terá acesso à conta.

Com essa verificação de dois fatores, é preciso não apenas da senha, mas também do seu celular para acessar a sua conta – e não digo o número, mas o dispositivo físico mesmo.

Mas se a força bruta não é algo prático, porque se importar com senhas fortes? O ponto principal disso tudo é criar uma combinação longa e difícil para fazer com que um ataque de força bruta se torne impraticável.

Fiz essa mesma pergunta ao especialista em segurança Bruce Schneier. Ele me disse que “Independente da situação, eu escolheria uma senha longa e difícil para qualquer coisa importante.”

Eu concordo. Isso é simplesmente um bom hábito. E, além disso, é mais uma camada de proteção em um mundo onde nunca sabemos quando uma outra camada será desfeita.

Fonte: IDG Now!