.
Um grande fabricante de hardware de TI está corrigindo uma atualização de segurança recente depois que clientes reclamaram da introdução de um limite de caracteres para senhas, quando antes não havia nenhum.
A CyberPower Systems, que vende fontes de alimentação ininterruptas (UPS) e protetores contra surtos, confirmou O Registro que, após a resistência dos clientes, o limite de caracteres permanecerá, mas será dobrado de 32 para 64.
A mudança foi observada pelo cliente Cabel Sasser, cofundador da desenvolvedora de aplicativos para Mac Panic, e posteriormente compartilhada online, onde profissionais de segurança da informação analisaram e questionaram o motivo da descoberta.
Sasser disse que descobriu recentemente que não conseguia mais se autenticar no aplicativo PowerPanel Cloud iOS da CyberPower usando a senha usual de 35 caracteres de sua conta. O aplicativo monitora os dados UPS dos clientes, backups de bateria e outras tarefas relacionadas. Confuso, ele pediu um motivo à equipe de suporte técnico da empresa.
“Enviei um e-mail para o suporte e, bem, vou ficar assombrado por essa frase por um tempo”, ele escreveu.
A equipe disse: “Devido às recentes atualizações do patch de segurança, o limite de tamanho da senha foi definido para 32 caracteres.”
Questionado sobre quem ou o que estava por trás de uma das atualizações de segurança mais irônicas da memória recente, a CyberPower disse que era uma recomendação feita por um auditor de segurança terceirizado. A atualização está sendo ajustada, mas levará algumas semanas até que seja totalmente lançada.
“Recentemente, enviamos o PowerPanel Cloud App para um teste de segurança para um terceiro como parte de nossa diligência de segurança contínua”, disse a empresa. “O terceiro recomendou um limite no comprimento de caracteres da senha, nós não tínhamos um antes.
“Com base no feedback do cliente, mudaremos o limite de senha para 64 caracteres. Isso levará aproximadamente duas semanas para ser implementado, mas foi priorizado por nossa equipe de software.”
O que é menos claro é por que algumas senhas com mais de 32 caracteres continuaram a funcionar para alguns clientes. Isso levou alguns espectadores a perguntar se as senhas estavam sendo simplesmente truncadas, uma ideia que a CyberPower rapidamente colocou de lado.
Ele negou ter truncado senhas após a atualização de segurança. O fornecedor também negou especulações de pessoas discutindo a descoberta de Sasser que se perguntavam se as senhas talvez estivessem sendo armazenadas em texto simples.
CyberPower disse O Registro que o limite de 32 caracteres foi “muito provavelmente” introduzido em novas senhas após a atualização, embora isso ainda estivesse em processo de confirmação interna na semana passada e ainda não recebemos uma atualização.
Impor um limite de caracteres em uma senha quando não havia nenhum pode parecer um movimento contraintuitivo à primeira vista. No entanto, mais caracteres nem sempre significam menos problemas.
Não há como negar que uma senha de 128 caracteres é mais segura e menos facilmente forçável por força bruta do que uma equivalente de 32 caracteres. Em termos de crackabilidade, em termos simples, mais caracteres equivalem a melhor segurança.
As diretrizes do Instituto Nacional de Padrões e Tecnologia (NIST) recomendam 64 caracteres como limite máximo e, ao contrário do que muitas plataformas exigem agora, elas não incentivam os usuários a selecionar caracteres especiais.
O NIST não entrou em detalhes sobre o motivo pelo qual um limite de 64 caracteres é recomendado. OWASP, no entanto, que também defende pelo menos 64 caracteres, disse que os limites devem ser suficientemente grandes para permitir que as frases-senha sejam usadas.
OWASP também cita limitações com alguns algoritmos de hash de senha em alguns cenários estranhos onde um usuário escolhe uma senha com 1 milhão ou mais caracteres. Isso pode fazer com que alguns servidores experimentem negação de serviço devido a recursos gastos no processo de hash.
A orientação das agências cibernéticas nacionais sobre senhas é relativamente unificada. O National Cyber Security Centre (NCSC) do Reino Unido ainda recomenda a estratégia de três palavras aleatórias para criar senhas, mas ao mesmo tempo incentiva as organizações a confiarem nelas o mínimo possível. O uso de soluções de autenticação multifator (MFA) e single sign-on (SSO) são fortemente encorajados.
O mais importante, porém, é que ele desencoraja explicitamente a imposição de um limite artificial no comprimento das senhas e, assim como o NIST, não tolera requisitos de complexidade.
A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) adota uma postura semelhante. Ela recomenda um comprimento mínimo de 16 caracteres e, da mesma forma, não acredita em limites de comprimento superior.
“Pelo menos 16 caracteres – quanto maior, mais forte”, diz a página de orientação.
A CISA também recomenda usar uma senha diferente para cada conta e usar uma mistura de palavras e frases não relacionadas ou uma sequência aleatória de caracteres – letras minúsculas e maiúsculas, números e símbolos são bem-vindos. E usar credenciais padrão? Não os deixe começar. ®
.
