Redes neurais ajudam os usuários a escolher senhas mais seguras

Views: 341
0 0
Read Time:3 Minute, 47 Second

Normalmente, os blocklists são usados para impedir que os usuários escolham padrões facilmente adiváveis, mas uma pequena rede neural pode fazer o mesmo trabalho e sugere que requisitos complexos de senha não são necessários.

Redes neurais treinadas para aprender as abordagens dos atacantes para adivinhação de senhas de força bruta podem ser usadas como uma maneira de impor o mínimo de segurança de senha sem recorrer a grandes listas de bloqueios e combinações pesadas de letras, números e símbolos especiais, concluiu uma equipe de pesquisa da Universidade Carnegie Mellon em um novo artigo.

Usando um modelo de rede neural incorporado em um medidor de força de senha e recrutando usuários através do Turco Mecânico da Amazon, os pesquisadores do Instituto de Segurança e Privacidade CyLab da CMU avaliaram uma série de recomendações diferentes de senhas, desde senhas de oito caracteres usando uma única classe (letras, por exemplo) até senhas de 16 caracteres usando quatro classes — letra minúscula, letra maiúscula, números e símbolos — bem como diferentes listas de bloqueios. Os pesquisadores descobriram que apenas exigir 12 caracteres de uma única classe e atender às recomendações da rede neural resultou em senhas difíceis de quebrar que devem ser suficientes para a maioria dos usos.

Curiosamente, exigir que os usuários combinem diferentes casos, números e símbolos não é necessário, diz Lujo Bauer, professor de engenharia elétrica e de computação do Instituto de Pesquisa de Software da CMU. As ferramentas atuais dos atacantes tornaram-se muito boas em adivinhar senhas que consistem nas quatro classes de caracteres, tornando qualquer benefício marginal, diz ele.

“Em parte, porque anteriormente havia muito menos senhas de três e quatro classes que haviam vazado e estavam disponíveis para os atacantes, [tinha sido] mais difícil para os invasores desenvolver maneiras de adivinhar essas senhas efetivamente”, diz Bauer. “Agora que vazaram muitas dessas senhas, é muito mais fácil treinar um algoritmo para adivá-las.”

A pesquisa é sobre encontrar o melhor equilíbrio entre usabilidade e segurança para senhas. A rede neural dos pesquisadores modela os atacantes para determinar o que pode ser facilmente adivinhado pelos métodos atuais. Embora “facilmente adivinhado” seja relativo — a rede neural final modela se um invasor poderia encontrar a senha se essa pessoa tivesse uma lista de 10 bilhões de possibilidades.

A conclusão é que sites e outros serviços podem simplificar seus requisitos para os usuários, dizem os pesquisadores em seu artigo.

“Nossos resultados experimentais fornecem a primeira evidência concreta de que os requisitos de classe de caracteres devem ser evitados não apenas porque os usuários tendem a a achar irritantes, mas também porque não fornecem benefícios substanciais contra atacantes que usam ferramentas de quebra de senhas de última geração”, afirmam os pesquisadores. “[A]n atacante especialista pode adivinhar (senhas de classe única, duas ou quatro classes) com taxas de sucesso iguais.”

A equipe inclui Joshua Tan, Lujo Bauer, Nicolas Christin e Lorrie Faith Cranor, todos da Universidade Carnegie Mellon.

Quatro estratégias que as equipes de segurança podem usar para se defender contra vetores de ataque comuns e táticas de escalada de privilégios, ransomware e aquisições de contas.Trazido a você por CyberArk

O trabalho é baseado em pesquisas anteriores da Carnegie Mellon que criaram um medidor de força de senha usando uma rede neural treinada com um certo tamanho de dicionário de senhas. Embora os blocklists típicos possam incluir um grande número de palavras e combinações de dicionário que incluem números e caracteres especiais, o pequeno tamanho do modelo de rede neural – algumas centenas de quilobytes de memória – significa que ele pode ser diretamente integrado em uma página web.

A combinação de um comprimento mínimo de senha e a exigência de que a senha atenda ao padrão de força das redes neurais pode ajudar as empresas a garantir que seus funcionários estejam criando senhas difíceis de quebrar, diz Bauer, da CMU.

“A escolha do limiar de força mínima depende dos requisitos de segurança”, afirmam os pesquisadores no documento. “Um limiar muito baixo pode não fornecer defesa suficiente – particularmente contra ataques online – e um limite muito alto pode inibir inaceitávelmente a usabilidade.”

Além disso, as empresas devem exigir que os trabalhadores usem a autenticação de dois fatores como uma maneira de melhorar a segurança e frustrar os atacantes offline, diz Bauer.

“Não é tão doloroso quanto as pessoas pensam, como relatamos em outro artigo, e impõe uma política de senha que impede o uso de senhas vazadas — ou pelo menos comuns —”, diz ele. “Enfatize a importância de não reutilizar senhas e incentivar o uso de gerenciadores de senhas.”

FONTE: DARK READING

POSTS RELACIONADOS