A atual infraestrutura pública de senhas usada para assegurar a HTTPS possui falhas que – em alguns casos – podem ser exploradas por invasores para roubar dados e atacar servidores.
Esta descoberta veio de um artigo científico, que será apresentado na conferência Crypto 2012, em agosto, em Santa Barbara, Califórnia. O artigo foi escrito por uma equipe de matemáticos e codificadores europeus e norte-americanos, liderados pelo holandês Arjen K. Lenstra, na Ecole Polytechnique Federale de Lausanne (EPFL), na Suíça.
“Realizamos uma verificação nas senhas públicas coletadas na rede. Nosso principal objetivo era testar a validade de que diferentes escolhas eram feitas cada vez que uma senha era gerada. Descobrimos que a grande maioria de senhas públicas funciona bem”.
Mas os pesquisadores também descobriram que a codificação de senhas públicas usadas pelo algoritmo RSA 1.024 bits é somente 99,8% eficaz, o que significa que pelo menos duas de cada mil senhas públicas podem ser crackeada.
“Ficamos surpresos que milhares de módulos RSA 1.024 bits, incluindo milhares que ainda contêm certificados válidos X.509, são inseguros”. Os certificados X.509 são usados por autoridades de certificação para validar identidade do site, ajudando assim a proteger tudo, desde e-mail até transações bancárias.
Para sua pesquisa, a equipe EPFL usou dados de várias fontes, incluindo o projeto SSL Observatory, da Electronic Frontier Foundation (EFF), que armazena downloads de todos os certificados SSL visíveis na internet, o que permite que pesquisadores busquem vulnerabilidades HTTPS.
Qual a causa para a inesperada repetição ou compartilhamento dos códigos? Quando a senha RSA é gerada, exige a seleção de dois números escolhidos aleatoriamente que não tenham sido previamente apontados por alguém usando a senha RSA. Qualquer um que use a senha conhecerá esses números e os usará – juntamente com um código público criado por dois números – para codificar os dados.
Essas senhas vulneráveis figuram um sério risco para segurança na internet porque qualquer um que seja capaz de identificar os dois primeiros números usados para gerar a senha RSA pode passar pelas proteções.
Tradução: Alba Milena, especial para o IT Web | Revisão: Adriele Marchesini
Saiba mais:
A pressão por controle de custos vem alterando a dinâmica das áreas de tecnologia nas…
O mercado brasileiro de fintechs passou por uma transformação no perfil dos investimentos em 2025.…
O avanço da inteligência artificial e o uso estratégico de dados vêm transformando a forma…
Por Ramon Ribeiro Quase metade do código produzido por assistentes de inteligência artificial contém vulnerabilidades…
Peça a um modelo de inteligência artificial que gere a imagem de uma cidade, sem…
O IT Forum apresenta, semanalmente, os novos executivos e os principais anúncios de contratações, promoções e mudanças…