Proponha uma correção, faça uma sugestão
Descobertas dezenas de aplicações com problemas de passwords
Um dos maiores problemas que os utilizadores dos dispositivos móveis enfrentam é a segurança dos seus dados dentro das aplicações que utilizam. Se a maioria procura proteger-se com passwords e outros mecanismos, outras têm medidas que apesar de parecerem seguras, acabam por ter falsas protecções.
Um teste exaustivo realizado às principais aplicações dos sistemas móveis revelou um cenário que muitos não querem acreditar. São dezenas as aplicações que têm problema com as passwords e com os acessos.
Um dos problemas associados às passwords, e que muitos ignoram, é a possibilidade de serem feitas tentativas de acesso sem qualquer controlo. Isto significa que não existem mecanismos de controlo sobre o número de tentativas de acesso que pode ser feito.
Ao não existirem esses mecanismos de controlo de tentativas fica aberta a porta a ataques de força bruta, em que se torna simples descobrir as passwords dos serviços.
Foi precisamente este teste que a empresa AppBugs realizou nas cem mais conhecidas aplicações disponíveis nas lojas do Android e do iOS. O cenário que foi descoberto revelou que mais de metade delas (53) não têm qualquer mecanismo de protecção.
Mas ao contrário do que seria esperado essas aplicações que podem comprometer os dados dos utilizadores são de serviços ou empresas de renome. Em causa estão aplicações como o Songza, o Pocket, o Wunderlist ou o SoundCloud.
Com base em dados actuais, e dada a fraca segurança das passwords de muitos utilizadores, bastaria meia hora para um atacante conseguir descobrir uma password de um utilizador de um desses serviços. Mesmo com passwords fortes esse tempo seria de 24 horas.
Para cada aplicação em que foi descoberta esta vulnerabilidade, a empresa AppBugs reportou o problema aos programadores. Foi-lhes dado 30 dias para resolver o problema e aplicar uma solução. A lista das aplicações que se encontram ainda vulneráveis pode ser consultada aqui.
Mas o pior desta situação é que os utilizadores não podem tomar qualquer medida para se protegerem contra este problema. A sua causa está na forma como os serviços implementam as medidas de protecção contra tentativas abusivas de autenticação.
A única protecção que podem implementar é usar passwords bastante forte, o que apenas conseguirá aumentar o tempo necessário para descobrir a password e dar acesso ao serviços.
Este artigo tem mais de um ano
Loading ...
Há sim maneiras dos utilizadores se protegerem.
É impossível proteger completamente.
Mas usar passwords com vários caracteres maiúsculas e minúsculas, números pelo meio, ou ainda melhor, caracteres com acentos (ex: ç), e símbolos (ex: €).
Não torna o processo impossível, mas fica inviável para o atacante.
Já agora, devia ter opção para editar/apagar comentário durante 15min. Fica a sugestão.
24 horas ou 24 dias? E uma password extra-forte com 23 caracteres entre letras, números e símbolos é impossível de ser descoberta por bruto force durante o tempo de vida de um, dois e até mais humanos…
Estou a ver que vai uma grande campanha contra o uso de passwords por parte deste site… devem estar a trabalhar para a NSA, para implementar acessos biométricos..
Claro que quase toda a gente anda farta de palavra-chaves para memorizar/ escrever!
As empresas andam a propor os dedos, os olhos, a face, qualquer dia se calhar falam no calor corporal ou mesmo no odor… ou análise ao sangue através de uma minúscula picada sem dor… enfim… querem acabar com as senhas.
Para mim acabar com a praga das senhas é realmente algo de bom… espero é que dentro de algum tempo acabem todos por adaptar algo que possa ser realmente seguro e ALTERÁVEL para garantir que mesmo que criminosos consigam acesso aos dados necessários para entrar onde não é suposto, a pessoa possa substituí-los… coisa que com dados biométricos não é possível!
A minha esperança está depositada no SQRL – Secure Quick Reliable Login ( https://www.grc.com/sqrl/sqrl.htm ) que é totalmente gratuito e livre de patentes segundo o autor (para quem implementa & utiliza… condição básica para garantir a sua adopção em larga escala por todo o mundo), baseado em chave pública/ privada Curve25519 (segurança de 128 bit aproximadamente) e que coloca a responsabilidade de proteger a chave privada no utilizador… por tanto o utilizador não está dependente de terceiros (tipo Microsft, Facebook, Twitter, etc.) para proteger a sua chave privada… e tem forma de recuperar o acesso mesmo que roubem/ furtem a chave privada e o que quer que a esteja a proteger (normalmente uma senha, mas pode ser a impressão digital, íris, voz, etc.).
Pena é que a curva utilizada seja a Curve 25519… que a E-521 (do mesmo autor da Curve25519) daria já 256 bit de segurança e seria muito melhor para o longo prazo. E nem falo de um outro tipo de curva elíptica “anders_1024_2” que tem 1024 bit e proporcionaria uma segurança de aproximadamente 512 bit… por tanto seria a ideal para o muito longo prazo talvez quase um centénio de proteção realisticamente pensando, e tendo em conta possíveis descobertas futuras.
Há uma boa forma de nos protegermos destes problemas, é não utilizarmos serviços das empresas que produzem estas aplicações…
Ainda dizem mal ddo Windows Phone LOL
Certo , com o WP não existem estes problemas até porque a maior parte destas aplicações nem sequer existem para WP 🙂