SENHA (Password)

A. Num sentido geral e anterior à computação: sinal ou palavra convencionada entre pessoas para se reconhecerem mutuamente, ou para permitir a passagem por um posto de controle (santo-e-senha). Trata-se de uma informação secreta cuja posse serve de prova de identidade ou de autorização.

B. Em segurança da informação: Cadeia de caracteres (string) utilizada para verificar a identidade de um utilizador ou processo num sistema informático. Constitui o método mais comum do fator de autenticação conhecido como "aquilo que se sabe" (something you know).

C. Por extensão, Frase-senha (Passphrase): Uma sequência de palavras ou texto mais longo, contendo espaços, usado tipicamente para proteger chaves de encriptação (como chaves privadas SSH ou PGP). Distingue-se da senha simples pela sua maior extensão e estrutura gramatical, visando aumentar a entropia e dificultar ataques de força bruta, facilitando simultaneamente a memorização humana.

Crítica

Frequentemente confunde-se a senha com a chave de acesso. No entanto, a senha é apenas um segredo partilhado ou um "segredo prévio". Em muitos protocolos modernos, a senha nunca atravessa a rede; ela serve apenas para desbloquear localmente um token ou assinar um desafio (challenge-response).

Observações

Historicamente, o conceito de senha computacional deriva diretamente da shibboleth bíblica e da tessera militar romana. No CTSS (Compatible Time-Sharing System) do MIT, em 1961, foi introduzida a primeira necessidade de senhas digitais para separar os arquivos de diferentes utilizadores num mesmo mainframe.

A senha não é geralmente, em sistemas seguros, a própria chave de cifragem ou o dado armazenado, mas sim a fonte de entropia a partir da qual uma chave ou um resumo criptográfico (hash) é derivado. Num sistema de autenticação bem concebido (como o /etc/shadow no Unix), o sistema não conhece a senha do utilizador; ele conhece apenas o resultado de uma função unidirecional aplicada à senha. A verificação consiste em aplicar a mesma função à entrada fornecida e comparar os resultados.

A segurança baseada exclusivamente em "aquilo que se sabe" (senha) é considerada hoje insuficiente devido à vulnerabilidade do segredo ser interceptado (keylogging) ou extorquido (phishing). A tendência contemporânea é a substituição ou o complemento da senha por fatores baseados em "aquilo que se tem" (dispositivos físicos, tokens) ou "aquilo que se é" (biometria).

Existe uma tensão entre Complexidade e Memorabilidade. Para ser segura (resistente a ataques de dicionário e força bruta), uma senha deve possuir alta entropia (aleatoriedade, comprimento, variedade de caracteres). Contudo, a capacidade humana de memorizar sequências aleatórias é limitada. O aumento da segurança técnica resulta frequentemente na diminuição da segurança prática (o utilizador anota a senha num papel ou utiliza a mesma senha complexa para todos os serviços).