Tcnicas para criao de senhas

Hernany Silveira Rocha

 Agenda

Notcias sobre roubo de senhas

Normativos sobre o tema
Processo de criao de senha
Tcnicas de criao de senhas
Tcnica da substituio por semelhante
Tcnica de senhas a partir de frases
Tcnicas de senhas com cifrao
Cifrao por deslocamento
Cifrao de Vigenre
Seminrio de Tecnologia da Informao
Codevasf
 Agenda

Tcnicas de senhas com cifrao

Cifrao de Csar (por deslocamento)
Cifrao de Vigenre
Cifrao por transposio
Cifrao por mquina Enigma
Criao de senhas FORTES
Orientaes para proteo das senhas

Seminrio de Tecnologia da Informao

Codevasf
Seminrio de Tecnologia da Informao
Codevasf
Seminrio de Tecnologia da Informao
Codevasf
Seminrio de Tecnologia da Informao
Codevasf
 Normativos

O que os normativos dizem a respeito

do tema?

Seminrio de Tecnologia da Informao

Codevasf
 Normativos

Norma Complementar n 03/IN01/DSIC/GSIPR

Diretrizes Gerais: neste item recomenda-se
estabelecer diretrizes sobre, no mnimo, os
seguintes temas (..):
(f) Controles de Acesso

ABNT NBR ISO/IEC 27001:2006

A.11.3.1: Os usurios devem ser orientados a seguir
boas prticas de segurana da informao na
seleo e uso de senhas.
Seminrio de Tecnologia da Informao
Codevasf
 Normativos

Cartilha de boas prticas de segurana da

informao (Tribunal de Contas da Unio)
selecionar senhas de boa qualidade, evitando o uso
de senhas muito curtas ou muito longas, que os
obriguem a escrev-las em um pedao de papel
para no serem esquecidas (recomenda-se
tamanho entre seis e oito caracteres);

Seminrio de Tecnologia da Informao

Codevasf
 Processo de criao

http://www.whatsmypass.com/the-top-500-worst-passwords-of-all-time

Seminrio de Tecnologia da Informao

Codevasf
 Processo de criao

Seminrio de Tecnologia da Informao

Codevasf
 Tcnica da Substituio por
Semelhante

35T3 P3QU3N0 T3XTO 53RV3 4P3N45 P4R4

M05TR4R COMO NO554 C4B34 CONS3GU3
F4Z3R CO1545 1MPR3551ON4ANT35! R3P4R3
N155O! NO COM3O 35T4V4 M310
COMPL1C4DO, M45 N3ST4 L1NH4 SU4 M3NT3
V41 D3C1FR4NDO O CD1GO QU453
4UTOM4T1C4M3NT3, S3M PR3C1S4R P3N54R
MU1TO, C3RTO? POD3 F1C4R B3M
ORGULHO5O D155O! SU4 C4P4C1D4D3
M3R3C3! P4R4BN5!

Seminrio de Tecnologia da Informao

Codevasf
 Tcnica da Substituio por
Semelhante

Letras que podem sofrer substituio:

A=4=@
TECNOLOGIAS
E=3
L=1 =| T3CN010G145
S=5==$=&
T3CN010G!@$
O = 0 (zero)
i=1=! T3CNO10G1@&
D = |)
Seminrio de Tecnologia da Informao
Codevasf
 Tcnica de Senhas a partir de
frases

Meu filho Carlos tem 3 anos

Processo 1: Utilizando somente as iniciais

MfCt3a

Seminrio de Tecnologia da Informao

Codevasf
 Tcnica de Senhas a partir de
frases

Meu filho Carlos tem 3 anos

Processo 2: Utilizando somente as consoantes

MflhCrlstm3ns

Seminrio de Tecnologia da Informao

Codevasf
 Tcnica de Senhas a partir de
frases

Meu filho Carlos tem 3 anos

Processo 3: Utilizando uma consoante e vogal

MefiCate3an

Seminrio de Tecnologia da Informao

Codevasf
 Tcnica de Senhas a partir de
frases

Meu filho Carlos tem 3 anos

Processo 4: Utilizando a primeira e ultima letra

MufoCstm3as

Seminrio de Tecnologia da Informao

Codevasf
 Tcnica de Senhas a partir de
frases

Meu filho Carlos tem 3 anos

Comparando:
MfCt3a
MflhCrlstm3ns
MefiCate3an
MufoCstm3as

Seminrio de Tecnologia da Informao

Codevasf
 Tcnicas de Cifrao

Cifra ou cifrao o ato ou efeito de alterar

a mensagem original por meio de mudana
de suas letras ou fonemas de ordem,
aparncia ou tipo, de modo a torn-la
inintelegvel a quem a interceptar e no
possuir a informao de como reproduzir a
mensagem original (decifrao ou
decriptao).

Seminrio de Tecnologia da Informao

Codevasf
 Tcnica de Cifrao
Cifrao por deslocamento

x E(x) = (x + k)
k = deslocamento
Exemplo: k = 3

E(a) = (a + 3) = D
E(T) = (T + 3) = W
Seminrio de Tecnologia da Informao
Codevasf
 Tcnica de Cifrao
Cifrao por deslocamento

TECNOLOGIA
k=3
ABCDEFGHIJKLMNOPQRSTUVWXYZ

WHFQRORJLD

Seminrio de Tecnologia da Informao

Codevasf
 Tcnica de Cifrao
Cifrao por deslocamento

TECNOLOGIA
k = 12
ABCDEFGHIJKLMNOPQRSTUVWXYZ1234567890

6QOZ1X1SUM

Seminrio de Tecnologia da Informao

Codevasf
 Tcnica de Cifrao
Cifrao de Vigenre

Seminrio de Tecnologia da Informao

Codevasf
 Tcnica de Cifrao
Cifrao de Vigenre

Por exemplo, supondo que se quer criptografar a palavra:

TECNOLOGIA

Escolhe-se uma palavra chave e repete-se at ter o comprimento do

texto a cifrar, por exemplo, se a palavra chave for LIMAO:
LIMAOLIMAO

A primeira letra do texto, T, cifrada usando o alfabeto na linha L, que

a primeira letra da chave:

Texto: TECNOLOGIA
Chave: LIMAOLIMAO
Texto cifrado: EMONCWWSIO

Seminrio de Tecnologia da Informao

Codevasf
 Tcnica de Cifrao
Cifrao de Vigenre

Seminrio de Tecnologia da Informao

Codevasf
 Tcnica de Cifrao
Cifrao de Vigenre

Seminrio de Tecnologia da Informao

Codevasf
 Tcnica de Cifrao
Cifrao por transposio

Nesta tcnica o texto/palavra escrita em

diagonal e lida em linha:
Utilizando 2 nveis

T C O O I
E N L G A

Resultado: TCOOIENLGA

Seminrio de Tecnologia da Informao

Codevasf
 Tcnica de Cifrao
Cifrao por transposio

Utilizando 3 nveis
T N O A
E O G
C L I

Resultado: TNOAEOGCLI

Seminrio de Tecnologia da Informao

Codevasf
 Tcnica de Cifrao
Cifrao por mquina Enigma

Enigma o nome de uma mquina electro-

mecnica de criptografia com rotores
utilizada tanto para criptografar como para
descriptografar mensagens secretas
usada em vrias formas na Europa a partir dos anos
1920
sua fama vem de ter sido adaptada pela maior parte
das foras militares alems a partir de 1930

Seminrio de Tecnologia da Informao

Codevasf
 Tcnica de Cifrao
Cifrao por mquina Enigma

Seminrio de Tecnologia da Informao

Codevasf
 Tcnica de Cifrao
Cifrao por mquina Enigma

http://www.enigmaco.de

Seminrio de Tecnologia da Informao

Codevasf
 Tcnica de Cifrao
Cifrao por mquina Enigma

http://www.enigmaco.de

Seminrio de Tecnologia da Informao

Codevasf
 Criao de Senhas Fortes

http://www.passwordchart.com

Seminrio de Tecnologia da Informao

Codevasf
 Criao de Senhas Fortes

O site Passwordmeter avalia a fora das senhas

utilizando um algoritmo, que classifica a senha
em:
Very Weak (muito fraca)
Weak (fraca)
Good (Boa)
Strong (forte)
Very Strong (muito forte)
Os parmetros utilizados pelo algoritmo esto
explicados a seguir
Seminrio de Tecnologia da Informao
Codevasf
 Criao de Senhas Fortes

Classificar uma senha positivamente

1. Number of Characters cada caracter vale um ponto;
2. Uppercase Letters e Lowercase Letters total de letras da senha,
menos o total em maisculo/minsculo, multiplicado por dois;
3. Numbers quatro pontos, desde que possua tambm outro tipo de
caracter alm do numrico;
4. Symbols (exemplo: *+)(*&%$#@) seis pontos;
5. Middle Numbers or Symbols (possui nmeros ou simbolos no meio)
dois pontos;
6. Requirements (requisitos) ganha dois pontos para cada requisito
cumprido: mnimo de 8 caracteres, pelo menos 3 dos 4 tens a seguir:
letras em maisculas,
letras em minsculas
Nmeros
smbolos.
Seminrio de Tecnologia da Informao
Codevasf
 Criao de Senhas Fortes

Classificar uma senha negativamente

1. Letters Only ou Numbers Only perde N pontos, onde N a
quantidade de caracteres da senha;
2. Repeat Characters Case Insensitive (Caracteres repetidos
no distingue maiscula de minscula) segue a formula (n*(n
1)) onde n o nmero de caracteres repetidos;
3. Consecutive Uppercase/Lowercase Letters (Letras consecutivas
em maiscula/Minscula) para cada letra da sequncia a senha
perde dois pontos;
4. Consecutive Numbers (nmeros consecutivos, como 1234)
perde dois pontos para cada nmero da sequncia;
5. Sequential Letters/Number (3+) para cada letra ou nmero da
sequncia repetida sero descontados trs pontos.

Seminrio de Tecnologia da Informao

Codevasf
 Criao de Senhas

http://www.passwordmeter.com

Seminrio de Tecnologia da Informao

Codevasf
 Criao de Senhas Fortes

Senhas que foram testadas

12345678
4% (muito fraca)
abc123
32% (fraca)
6QOZ1X1SUM
50% (boa)
Em0NCWWS1O
72% (forte)
M3u$F1|h0&
100% (muito forte)

Seminrio de Tecnologia da Informao

Codevasf
 Orientaes para proteo das
senhas

Orientaes
manter a confidencialidade das senhas;
no compartilhar senhas;
evitar registrar as senhas em papel;
selecionar senhas de boa qualidade, evitando o uso de
senhas muito curtas ou muito longas
evitar escrever as senhas em um pedao de papel;
alterar a senha sempre que existir qualquer indicao
de possvel comprometimento do sistema ou da prpria
senha;
Seminrio de Tecnologia da Informao
Codevasf
 Orientaes para proteo das
senhas

Orientaes
alterar a senha em intervalos regulares ou com base no
nmero de acessos (senhas para
usurios privilegiados devem ser alteradas com maior
freqncia que senhas normais);
evitar reutilizar as mesmas senhas;
alterar senhas temporrias no primeiro acesso ao
sistema;
no incluir senhas em processos automticos de
acesso ao sistema.
No utilizar a mesma senha para vrios sistemas ou
stios
Seminrio de Tecnologia da Informao
Codevasf
 Orientaes para proteo das
senhas

Quais senhas devem ser evitadas?

nome do usurio;
identificador do usurio (ID), mesmo que seus
caracteres estejam embaralhados;
nome de membros de sua famlia ou de amigos
ntimos;
nomes de pessoas ou lugares em geral;
nome do sistema operacional ou da mquina que est
sendo utilizada;
nomes prprios;
Seminrio de Tecnologia da Informao
Codevasf
 Orientaes para proteo das
senhas

Quais senhas devem ser evitadas?

datas;
nmeros de telefone, de carto de crdito, de carteira
de identidade ou de outros documentos pessoais;
placas ou marcas de carro;
palavras que constam de dicionrios em qualquer
idioma;
letras ou nmeros repetidos;
letras seguidas do teclado do computador (ASDFG,
YUIOP);
Seminrio de Tecnologia da Informao
Codevasf
 Orientaes para proteo das
senhas

Quais senhas devem ser evitadas?

objetos ou locais que podem ser vistos a partir da mesa
do usurio (nome de um livro na estante, nome de uma
loja vista pela janela);
qualquer senha com menos de seis caracteres.

Seminrio de Tecnologia da Informao

Codevasf
 Obrigado!

Seminrio de Tecnologia da Informao

Codevasf
Seminrio de Tecnologia da Informao
Codevasf