Passwords

porto 22 @ 19.11.06 · 2 comentário(s) ·

(Desde o inicio decidi escrever neste espaço exclusivamente em Português. No entanto, este apontamento também está disponível em Inglês para ser facilmente compreendido pela minha amiga V.K. – “A Helénica”. Penso que será útil… ; )

Since the beginning I decided to write in this space exclusively in Portuguese. However, this annotation is also available in English to be easily understood by my friend V.K. – “The Hellenic”. I think it will be useful… ; ) )

É um facto irrefutável: as passwords continuam a ser o mecanismo de eleição para comprovar a nossa identidade online. Apesar de já existirem, há muitos anos, formas alternativas e mais seguras para autenticar uma entidade, a facilidade de utilização e o custo reduzido têm sido, desde sempre, os factores mais importantes na selecção deste controlo e, naturalmente, têm conduzido à rejeição de outros mecanismos em favor das passwords.

Neste contexto, dado o valor dos recursos que supostamente protegem, seria natural esperar que as chaves escolhidas fossem especialmente complexas e difíceis de adivinhar. No entanto, apesar da sua importância, os testes de campo confirmam que, duma forma geral, as pessoas optam por definir chaves muito simples, e.g. “123456” ou “qwerty”, que são facilmente adivinhadas ou decifradas (através, por exemplo, de programas que utilizam dicionários ou, no limite, percorrem muitas possibilidades num espaço de chaves limitado – mas que é, na maioria dos casos, suficiente).

Tal como já sugeri noutro apontamento, existem várias formas de definir e gerir passwords. Nesta nota vou focar a atenção numa das técnicas que, sendo simples de usar, permite gerar chaves mais fortes que são, ainda assim, facilmente memorizáveis. A construção faz-se da seguinte forma:

1. Começamos por escolher uma frase que tenha algum significado especial e que, por consequência, seja facilmente memorizável. Apenas para este exemplo, escolhi uma citação de Helen G. : “Aquele que riu por último não percebeu”.

2. Em seguida, seleccionamos e juntamos a primeira letra de todas as palavras da frase escolhida. Neste exemplo, as letras seleccionadas de Aquele que riu por último não percebeu” irão formar a sequência: Aqrpúnp.

3. Finalmente, embora esta sequência já seja muito melhor que as chaves mais comuns, podemos acrescentar alguma pontuação e/ou alguns dígitos para aumentar a sua complexidade. Sem comprometermos a facilidade de memorização, podemos adicionar, por exemplo, um par de parêntesis, aspas, dígitos ou uma mistura de cada: (Aqrpúnp), “Aqrpúnp2, …

Et voilà! Conseguimos construir uma password que é, em simultâneo, muito mais forte e fácil de memorizar: não temos que nos lembrar dos caracteres; basta-nos pensar na frase. E ao fim de pouco tempo torna-se instintivo.

***** **** *** ** *

It’s an irrefutable fact: passwords are still the elected mechanism to prove our identity online. Although there are already, for many years now, alternate and more secure ways to authenticate an entity, the ease of use and the low cost have been, since forever, the most important factors in the selection of this control and, naturally, this has lead to the rejection of other mechanisms in favour of passwords.

In this context, given the value of the resources that they supposedly protect, it would be natural to expect that the chosen keys would be specially complex and hard to guess. However, despite their importance, field tests confirm that, in general, people opt to define very simple keys, e.g. “123456” or “qwerty”, that are easily guessed or deciphered (using, for instance, programs that use dictionaries or, at the most, go through many possibilities in a limited key space – but which is, in the majority of cases, enough).

As I already suggested in another annotation, there are several ways to define and manage passwords. In this note I’ll focus my attention in one of the techniques which, although simple to use, enables the generation of stronger keys that are, still, easy to remember. The construction is done as follows:

1. We start by choosing a phrase that has some special meaning and that, by consequence, is easily remembered. Solely for this example, I chose a quotation by Helen G. : “He who laughed last didn't get it”.

2. Next, we select and join together the first letter of all the words in the chosen phrase. In this example, the selected letters fromHe who laughed last didn't get it” will form the sequence: Hwlldgi.

3. Finally, though this sequence is already much better than the more common keys, we may add some punctuation and/or a few digits to increase its complexity. Without compromising the ease to memorize, we may add, as an example, a couple of parenthesis, quotations marks, digits or a mix made of each: (Hwlldgi), “Hwlldgi2, …

Et voilà! We managed to define a password that is, simultaneously, much stronger and easy to remember: we don’t have to remember the characters; it’s enough to think of the phrase. And in a very short time it becomes second nature.

Comentário(s)

Blogger Goncalo Lages de Carvalho, em 19 novembro, 2006 16:49

Uma forma simples de adicionar mais alguma complexidade à password sem comprometer a facilidade de memorização, consiste na substituição de algumas letras por caracteres com características visuais/gráficas semelhantes, e.g. "o" por 0 (zero), "i" por 1, "q" por 9, "t" por 7,...

Assim, no exemplo deste artigo a password poderia ficar A9rpúnp 

Blogger Miguel Almeida, em 19 novembro, 2006 17:10

Yeap, essa é mais uma forma de reforçar a chave. Desde o momento em que estabelecemos uma base suficientemente diversa, todos os outros truques acrescentam mais um grau na complexidade [que é, no fundo, o objectivo do exercício].

Thanks for stopping by : )  

« Voltar ao porto 22 · Comentar »