Publicado em junho 10, 2021junho 10, 2021 in Geral, Uncategorized, Vox Leone

Ninguém Lê Este Blog

A ‘Voz do Leão’ (o rugido) neste momento está soando mais como um murmúrio famélico no deserto. O que é uma pena, pois um esforço absurdo é investido em sua pesquisa e edição. A salvação do projeto, e o que nos estimula a continuar, é o seleto grupo de amigos(as), e os co-irmãos e irmãs bloguistas que nos seguem com sua amável presença, atenção e inteligência. Fico a pensar sobre se posso estar lavorando em erro (mas qual erro?), ou se realmente sou tão inepto neste métier (talvez seja).

Observo no dia-a-dia que as pessoas estão com a atenção cada vez mais curta, fragmentada, e com os interesses cada vez mais rasos. A decisão de fazer um blog sobre tecnologia e ciência como este, em ‘forma longa’ e em português, pode ter sido uma decisão equivocada no Brasil do analfabetismo funcional, em pleno ‘anno terribilis’ de 2021.

Então lembrei-me que ainda há Portugal, e sua inteligência, que volta e meia estou a celebrar; a evitar o presente contínuo. E há todas as outras nações lusófonas – como Angola que vejo agora no painel de estatísticas. Deve bastar para minha satisfação pessoal e para o sucesso deste blog.

Resolvi, portanto, fazer um check-list das características que, segundo a literatura e os ‘pundits’, tornam um blog bem sucedido, e tentar medir o quanto este blog está em ‘compliance’ com essas características. E quais seriam elas? Minhas leituras e minha experiência sugerem que sete itens-chave devem ser checados por bloggers que, como eu, acham que “fazem tudo certo” e mesmo assim são um completo fracasso.

É interessante notar neste ponto que criar conteúdo top notch não é suficiente. O blog continua não sendo notado. É aí que as coisas começam a ficar realmente frustrantes para pessoas como eu – você faz todas as coisas certas no que diz respeito à produção de conteúdo, mas ainda assim nada acontece.

Deprimente.

Então, o que podemos fazer quanto a isso?

Se ninguém estiver lendo nosso blog com conteúdo tão sensacional, pode haver apenas duas explicações:

1) Uma aliança entre os Illuminati, os Elders de Sião e a Opus Dei já designou os vencedores da vida e da Internet, e está conspirando contra nós, reles não-designados, para nos manter no opóbrio eterno.

2) Existem no blog algumas falhas de implementação que nós não consideramos.

A começar pelo item 2, o único que podemos explorar, aqui estão alguns elementos que não são necessariamente relacionados a uma boa escrita, mas que nos ajudarão a fazer a leitura [trocadilho intencional] do problema. Vou alternar entre pronomes, por que esse é um problema meu, teu, nosso.

Verificar a velocidade de carregamento

O principal motivo de eu clicar no botão Voltar é quando um site não carrega rápido o suficiente. As estatísticas sempre parecem diferentes, mas o número geralmente aceito é que você perderá 20% dos visitantes para cada segundo que seu site leva para carregar acima de 1,5 segundos.

Boa prática: para um blog rápido é preciso servidor rápido e poucos objetos a serem carregados na página. Use imagens já formatadas no tamanho definitivo. Não redimensione imagens dinamicamente no navegador.

Envolver pessoas nas imagens do blog

Fotos costumam ser a primeira coisa que alguém nota em um blog. Os humanos evoluíram para reconhecer rostos e isso também se aplica às nossas vidas online. Isso significa que é preciso tratar com muito cuidado as imagens usadas no blog e certificar-se de que todas sejam profissionais e de boa qualidade. Faça pouco uso clip-art ou fotos de bancos de imagens baratos.

Boa prática: tirar suas próprias fotos geralmente é a melhor opção. Nos dá a propriedade total dos direitos e é outra amostra de conteúdo original a ser indexado pelas máquinas de pesquisa. Em material de terceiros verifique o número de downloads da imagem antes de usá-la. Se foi usada em muitas instâncias, é considerada ‘conteúdo duplicado’ pelos Gugols da vida.

Um design responsivo para dispositivos móveis

Chegará um momento em que não será mais necessário continuar recomendando isso aos bloguistas. Mas, infelizmente, esse dia ainda não chegou. Muitos dos sites que visito ainda têm design não compatível com dispositivos móveis. Isso não é apenas ruim para a experiência do usuário; agora é um fator negativo de classificação para SEO. Certifique-se de que o template “se ajusta” de forma que o conteúdo fique no primeiro plano e não em menus, barras laterais e outras distrações.

Boa prática: Um blog WordPress. Existem centenas de temas responsivos gratuitos para dispositivos móveis, que são lindamente simples e relativamente fáceis de personalizar.

Link para fora, sem medo

Muitos bloguistas acreditam que criar links para outros sites fará com que o site perca o page rank. Essa crença me parece infundada. Minha experiência pessoal mostra que quanto mais você ‘linka’ a outros blogs de qualidade, mais valor você adiciona para usufruto de seus leitores. Além disso, os sites e blogs para os quais você cria um link irão notá-lo e, frequentemente, te citarão ou ajudarão a promover a postagem.

Boa prática: em uma postagem de 1.000 palavras, é preciso ter pelo menos cinco links para outros sites. Tente imaginar que você está procurando um emprego e precisa dar referências de qualidade.

O tamanho da fonte

Recentemente, atualizei a fonte aqui no Vox Leone para um tamanho maior e uma cor menos áspera. Também testei uma fonte do Google em vez de uma auto-hospedada e percebi melhorias significativas na velocidade. Todos os estudos mostram que fontes maiores são importantes quando há uma audiência mais sênior. Esse é o caso deste blog, diga-se. Haverá, por certo, muitas pessoas maduras lendo o tipo de conteúdo que eu tenho para oferecer (e muitas pessoas lendo em telefones pequenos e muitas pessoas maduras lendo em telefones pequenos!). Uma fonte grande e bem espaçada faz uma grande diferença na aparência da escrita.

Boa prática: verifique se a fonte corresponde ao estilo da sua marca. Tente usar fontes que sejam familiares às pessoas, para que pareçam menos conflitantes para os novos leitores.

Conhecer a audiência

Não importa o quão bons os artigos sejam, se eles forem apresentados e promovidos para uma audiência totalmente errada. É preciso saber o que o público deseja, quais problemas eles estão enfrentando e onde alcançá-los da melhor maneira. É também valioso saber o que seus concorrentes estão fazendo e como melhorar.

Boa prática: Ampliar o escopo de conteúdo do site, evitando especialização excessiva. Descobrir as publicações de maior sucesso nos sites dos principais concorrentes. Descubra de onde eles conseguiram seus links e compartilhamentos e tente imitá-los com um artigo ou recurso melhor ou mais interessante.

Concentrar no alcance, não na lealdade

Isso é algo que muitas pessoas consideram desagradável dizer [neste contexto isso não é tão feio quanto parece], mas é importante para os negócios. Realmente me ajudou a crescer muito nos últimos dois meses e é uma ideia que desejo que mais pessoas entendam. É preciso se apresentar para mais pessoas, não tentar fisgar seus leitores pela lealdade. Isso não é bom para nenhuma das partes. A busca da lealdade pode levar à complacência e inibir a naturalidade. No fim, pode representar um desserviço aos leitores. A lealdade saudável deve surgir naturalmente como um subproduto do alcance do conteúdo. Então, a premissa é que se o site gerar mais tráfego, de mais qualidade, consequentemente vai conquistar leitores mais leais.

Boa prática: foco na lealdade não é tão importante quanto todos pensam. Todo profissional de marketing digital precisa saber disso.

Estou muito atento a esses pontos e realmente acho, considerando o check-list acima, que este blog pode estar falhando em alguns itens. De saída já percebo que podemos estar usando o template visual errado. Eu mesmo tenho dificuldade em ler. Estamos fazendo testes visando a mudança do padrão visual. De resto, é um trabalho constante a adequação aos outros itens do check-list, que vamos continuar perseguindo.

É preciso dar a cara e espalhar a mensagem. Convencer os leitores a compartilhar o post em outros canais da web [isso é muito importante!]. Convidar blogs, comentar em outros blogs, curtir outros blogs, abordar jornais, comprar anúncios, etc. E depois experimentar diferentes formatos e até mesmo diferentes redatores. Experimentar vídeos. Experimentar podcasting. Agregar valor e resolver problemas de maneiras diferentes.

Enfim, continuar tentando. Os pundits dizem que o sucesso para um bom blog criado a partir do zero vem depois de seis meses a dois anos de trabalho constante. Paciência e afinco são, portanto, fundamentais.

Duas palavras finais

Não, não será fácil [blogar]. Em algum momento, garanto que você vai querer parar. Eu garanto que as pessoas vão tratá-lo como se você fosse louco. Eu garanto que você vai chorar até a hora de ir pra cama, se perguntando se você cometeu um erro terrível.

Mas nunca pare de acreditar em si mesmo. O mundo está cheio de pessimistas, todos ansiosos para te boicotar ao menor indício de que você pode transcender a mediocridade. Mas o maior pecado que você pode cometer é tornar-se um deles. Nosso trabalho não é se juntar a esse grupo, mas silenciá-lo, para realizar coisas tão grandes e inimagináveis que seus membros ficarão atordoados demais para falar.

(*) Algo que li na Internet

Sugestões e feedback em geral serão extremamente bem vindos.

Publicado em março 12, 2021março 12, 2021 in Uncategorized

O Supercomputador Fugaku Entra na Luta Contra a COVID-19

Kobe – O supercomputador Fugaku, do Japão, o mais rápido do mundo em termos de velocidade de processamento, entrou em pleno funcionamento na última terça-feira (9/3), bem antes do que havia sido inicialmente agendado, na esperança de que possa ser usado para pesquisa relacionada ao coronavírus.

O supercomputador, cujo nome é uma alusão à palavra alternativa para o Monte Fuji, tornou-se parcialmente operacional em abril do ano passado para gerar visualizações de como as gotículas que carregam o vírus se espalham na boca e para ajudar a explorar possíveis tratamentos para a Covid-19.

“Espero que Fugaku seja estimado pelo povo, à medida que ele pode fazer o que seu antecessor, K, não podia, incluindo inteligência artificial (aplicativos) e grande capacidade de análise de dados”, disse Hiroshi Matsumoto, presidente do Instituto de Pesquisa de Riken, que desenvolveu a máquina, em uma cerimônia realizada no Centro de Riken para a Ciência Computacional em Kobe, onde está instalado.

Fugaku, que pode executar mais de 442 quatrilhões de cálculos por segundo, foi originalmente agendado para começar a operar totalmente no ano fiscal que começa em abril.

Reportagem original de Japan Times.

Publicado em março 11, 2021março 12, 2021 in Uncategorized

Senhas Fortes Precisam de Desordem!

É obrigatório pela política das empresas. É uma boa prática recomendada por todos. E não é novidade para praticamente nenhum de nós: as senhas devem ser longas, variadas no uso de caracteres (maiúsculas, minúsculas, números, caracteres especiais) e não baseadas em palavras de dicionário. Bastante simples, certo? Mas deixe-me ir um pouco além e fazer uma pergunta não tão simples:

O que é mais forte, uma senha aleatória de 8 caracteres que potencialmente usa todo o conjunto de caracteres ASCII (maiúsculas, minúsculas, números, caracteres especiais (incluindo um espaço)) ou uma senha aleatória de 10 caracteres que usa apenas letras maiúsculas e minúsculas?

Desconsidere por um momento a sua situação particular; essa não é a questão.

Como fazer uma comparação exata entre as duas senhas? Elas diferem de muitas maneiras. Na literatura especializada, um argumento afirma que uma senha mais longa, mesmo usando um conjunto de caracteres menor, é mais forte. Outro argumento pode afirmar que uma senha mais curta tem potencial de ser mais forte quando extraída de uma lista maior de caracteres potenciais. Um argumento é pela extensão, o outro é pela complexidade. Então, qual é o mais resistente a um ataque?

Esta questão se aplica diretamente a discussões de políticas dentro de uma organização. Como podemos avaliar a solidez de qualquer política de senhas proposta? Seus requisitos de política são arbitrários ou baseados em algum tipo de medida quantitativa? É simples dizer, “torne as senhas suficientemente longas, complexas e não baseadas em palavras do dicionário”, mas seria possivel quantificar o que é “suficiente” para uma determinada situação? Os cenários variam. Todos nós temos necessidades diferentes e os vários sistemas têm vários níveis de suporte de senha. Ainda cabem outras perguntas: existe um ponto de diminuição dos retornos sobre a complexidade da senha? Em que ponto elas se tornam tão longas e complexas que se tornam praticamente inutilizáveis? Existe uma resposta.

A resposta (ou parte dela, pelo menos) a essas perguntas está na quantidade de entropia informacional que a senha carrega. Volumes e mais volumes de discussão já foram impressos sobre os conceitos de entropia de informação e seus usos na comunicação, mas para nossos propósitos vamos apenas dizer que, no final, o conceito de entropia de senha nos fornece uma maneira de comparar empiricamente a força potencial de uma senha com base em seu comprimento e no universo de caracteres que ela pode conter. Para explicar o porquê, deixe-me começar com uma demonstração simples.

Selecione aleatoriamente uma letra de A – Z.

Agora vou tentar adivinhar. Quantas suposições você acha que vou precisar? Eu poderia adivinhar em apenas uma tentativa? Sim. Mas também posso precisar de 25 palpites, certo? Se eu simplesmente começasse a adivinhar aleatoriamente, meu sucesso também seria aleatório. Mas se eu aplicar os conceitos básicos da teoria da informação para a execução da tarefa, algo muito interessante acontece. Não importa qual letra você selecione, sempre precisarei de apenas quatro (4), e nunca mais do que cinco (5) perguntas para adivinhar sua letra. Em contraste, se eu fosse adivinhar ao acaso, precisaria, em média, de 13 tentativas para adivinhar sua letra. Mas quando conceitos de entropia de informação são aplicados, o número de perguntas / suposições cai para consistentes 4 ou 5. O motivo é bastante simples: eu não “adivinho” as letras; eu as elimino. Suponhamos que a letra que você selecionou seja “D”. Aqui está como minha cadeia de questionamento (o algoritmo) se comporta:

Pergunta 1: sua letra está entre N e Z? Resposta: Não.
    Se sim, sua letra está entre N-Z.
    Se não, sua letra é entre A-M.

Pergunta 2: sua letra está entre A e G? Resposta: sim.
    Se sim, sua letra é entre A-G.
    Se não, sua letra é entre H-M.

Pergunta 3: sua letra está entre A-D? Resposta: sim.
    Se sim, sua letra é entre A-D.
    Se não, sua letra é entre E-G.

Pergunta 4: sua letra está entre A-B? Resposta: Não.
    Se sim, sua letra é entre A-B.
    Se não, sua letra é entre C-D.

Pergunta 5: A sua letra é C? Resposta: Não.
    Se sim, sua letra é C.
    Se não, sua letra é D.

Resultado: sua letra é D. Estimativas: 5

Vamos fazer de novo. Desta vez, vamos supor que você escolheu aleatoriamente a letra “H”.

Pergunta 1: sua letra está entre N e Z? Resposta: Não.
    Se sim, sua letra está entre N-Z.
    Se não, sua letra é entre A-M.

Pergunta 2: sua letra está entre A e G? Resposta: Não.
    Se sim, sua letra é entre A-G.
    Se não, sua letra é entre H-M.

Pergunta 3: sua letra está entre H-I? Resposta: sim.
    Se sim, sua letra é entre H-I.
    Se não, sua letra é entre J-K.

Pergunta 4: A sua letra é H? Resposta: sim.
    Se sim, sua letra é H.
    Se não, sua letra é entre I-J.

Resultado: sua letra é H. Estimativas: 4

A imagem abaixo mostra a árvore de decisão usada. Cada ‘x’ laranja é uma pergunta. As letras destacadas em verde serão identificados em 4 questões e as letras destacadas em amarelo serão identificadas em 5. A árvore de decisão na imagem mostra apenas a metade esquerda do alfabeto (A-M). Você pode replicar o lado direito do alfabeto (N-Z) em uma árvore semelhante. Se você examinar o número de questões para todas as 26 letras do alfabeto, verá que seis (6) das letras podem ser identificadas em quatro (4) questões, enquanto as vinte (20) letras restantes serão identificadas em cinco (5) questões.

Então, se fôssemos jogar esse jogo de adivinhação indefinidamente, quantas perguntas, em média, eu precisaria para adivinhar a letra escolhida?

Para calcular o número médio de perguntas que terei que fazer para determinar sua letra, tenho que saber qual será a probabilidade de uma letra ser selecionada. Para este exemplo, estou supondo que cada uma das 26 letras do alfabeto tem uma chance estatisticamente igual de ser selecionada (mais sobre as nuances dessa suposição posteriormente). Um cálculo rápido mostra que 1/26 = 0,0384. Convertendo isso em porcentagem saberemos que cada letra tem 3,84% de chance de ser a letra selecionada aleatoriamente.

Como aqui não fugimos da matemática e valentemente a enfrentamos, há uma equação para essa pergunta. Vejamos:

Esta equação calcula H, que é o símbolo usado para entropia. Para o nosso alfabeto, a equação ficaria assim:

H = – [(0,038log2 • 0,038) + (0,038log2 • 0,038) + (0,038log2 • 0,038) + (0,038log2 • 0,038) +
(0,038log2 • 0,038) + (0,038log2 • 0,038) + (0,038log2 • 0,038) + (0,038log2 • 0,038) + (0,038log2 • 0,038) +
(0,038log2 • 0,038) + (0,038log2 • 0,038) + (0,038log2 • 0,038) + (0,038log2 • 0,038) + (0,038log2 • 0,038) +
(0,038log2 • 0,038) + (0,038log2 • 0,038) + (0,038log2 • 0,038) + (0,038log2 • 0,038) + (0,038log2 • 0,038) +
(0,038log2 • 0,038) + (0,038log2 • 0,038) + (0,038log2 • 0,038) + (0,038log2 • 0,038) + (0,038log2 • 0,038) +
(0,038log2 • 0,038) + (0,038log2 • 0,038)] = 4,7004

E agora temos a resposta: terei que fazer uma MÉDIA de 4.7004 perguntas para determinar a letra selecionada aleatoriamente no alfabeto.

Mais formalmente, diríamos que existem 4.7004 ‘bits de entropia’.

Se você aplicar esta matemática a um único caractere selecionado aleatoriamente a partir dos diferentes conjuntos de caracteres que existem, você obterá o seguinte:

Binário (0, 1) -> H = 1 (1 bit de entropia)
Terei que fazer uma pergunta para determinar se o valor selecionado aleatoriamente é 1 ou 0.

Decimal (0-9) -> H = 3,32193 (3,2193 bits de entropia)
    Terei que fazer uma média de 3,32193 perguntas para determinar o número selecionado aleatoriamente (0-9).

Hexadecimal (0-9, A-F) -> H = 4.000
    Terei que fazer quatro (4) perguntas para determinar seu valor (a-f, 0-9)

Alfabeto maiúsculo e minúsculo (a-z, A-Z) -> H = 5,7004
    Terei que fazer uma média de 5.7004 perguntas para determinar sua letra selecionada aleatoriamente (a-z, A-Z).

Todos os caracteres ASCII imprimíveis (incluindo espaço) -> H = 6,5699
    Terei que fazer uma média de 6.5699 perguntas para determinar seu valor selecionado aleatoriamente.

Vamos desenvolver isso um pouco mais. Os números acima são para uma ÚNICA letra selecionada aleatoriamente. E se eu pedisse para você escolher duas (2) letras aleatoriamente? Agora, adivinhando uma letra de cada vez, quantas tentativas, em média, eu precisaria para descobrir as duas? A resposta é aditiva, o que significa que você só precisa adicionar a entropia para cada letra. Se a entropia de uma única letra minúscula é 4,7004, a entropia de duas letras selecionadas aleatoriamente é 4,7004 + 4,7004. Isso é 9.4008 perguntas para determinar as duas letras (assumindo a-z, como em nosso exemplo original). Se eu pedisse a você para selecionar uma seqüência de dez (10) caracteres aleatórios, seria necessária uma média de 47,004 perguntas (4,7004 * 10) para adivinhar todos eles.

Tudo bom, tudo bem, mas isso presume que sou capaz de adivinhar apenas um valor de cada vez. Se você escolhesse aleatoriamente 10 letras do alfabeto, eu poderia adivinhar a primeira em cerca de 4,7 tentativas, a segunda em 4,7 tentativas, a terceira em 4,7 tentativas e assim por diante. Mas no mundo real, não é assim que se adivinha senhas (um caractere por vez). Um invasor terá que adivinhar corretamente todos os dez valores de uma só vez para determinar as letras selecionadas aleatoriamente. Isso é, obviamente, uma coisa muito mais difícil de fazer. Mas quão difícil? Para descobrir, vamos voltar à pergunta original que fiz:

O que é mais forte, uma senha aleatória de 8 caracteres que potencialmente usa todo o conjunto de caracteres ASCII (maiúsculas, minúsculas, números, caracteres especiais ( incluindo um espaço)) ou uma senha aleatória de 10 caracteres que usa apenas letras maiúsculas e minúsculas?

Bem, se seu conjunto de caracteres tiver 26 letras minúsculas (az), 26 caracteres maiúsculos (AZ), e sua senha tiver 10 caracteres, haverá 52¹⁰ combinações possíveis de letras (26 caracteres (az) + 26 caracteres ( AZ) = 52 caracteres). Esse é um número grande. 144.555.105.949, 057.000 (144,5 quatrilhões), para ser exato ..

Então, para resumir esses valores:

Número de caracteres no conjunto de caracteres (a-z, A-Z): 52
Número de caracteres na senha: 10
Número total de combinações possíveis de sequências de 10 caracteres: = 52^10 = 144.555.105.949.057.000

É aqui que a magia entra em ação:

Qual é a entropia de um único caractere no conjunto completo de caracteres alfa (a-z, A-Z)? Já determinamos que é 5.7004.

Qual é o tamanho da sequência de caracteres selecionada aleatoriamente? 10 caracteres.

Qual é a entropia de uma string de 10 caracteres usando o conjunto de caracteres alfa maiúsculos / minúsculos? 5,7004 * 10 = 57,004

O que é 2^57,004 ? São 144.555.105.949.057.000 !!! Caramba!!! É o mesmo número que 52¹⁰ !!!

Sua string de 10 caracteres, maiúsculas / minúsculas (senha) tem 57,004 bits de entropia. Supondo que um invasor acertaria a string em 50% de todas as suposições possíveis, estimamos que ele / ela terá que fazer 72.277.552.974.528.300 suposições (sim, em média) antes de adivinhar sua string de 10 caracteres.

Para dizer isso de forma mais significativa: Uma senha de 10 caracteres maiúsculos / minúsculos tem 57,004 bits de entropia.

Então, quantos bits de entropia nossa senha concorrente tem? É uma senha de 8 caracteres que utiliza o conjunto completo de caracteres ASCII (incluindo um espaço). Se você voltar ao meio desta postagem, verá que um caractere selecionado aleatoriamente do conjunto completo de caracteres ASCII tem 6,5699 bits de entropia. Isso significa que uma senha de 8 caracteres selecionada aleatoriamente nesse intervalo terá 52.559 (8 * 6.5699) bits de entropia.

Para resumir os valores das senhas de 8 caracteres:

Número de caracteres no conjunto de caracteres (a-z, A-Z, 0-9, todos os caracteres especiais, incluindo espaço): 95
Número de caracteres na senha: 8
Número total de combinações possíveis de sequências de 8 caracteres: = 95⁸= 6.634.204.312.890.620 (6,63 quatrilhões)

E vemos que a magia é real:

Qual é a entropia de um único caractere no conjunto de caracteres ASCII completo (incluindo espaço)? Já determinamos que é 6,5699.

Qual é o tamanho da sequência de caracteres selecionada aleatoriamente? 8 caracteres.

Qual é a entropia de uma string de 8 caracteres usando o conjunto de caracteres alfa maiúsculos e minúsculos? 6,5699 * 8 = 52,559

O que é 2^52.55⁹? É 6.634.204.312.890.620 !!! Caramba, de novo !!! É o mesmo número que 95⁸!!!

Nossa senha de 10 caracteres em maiúsculas / minúsculas tem 57,004 bits de entropia.
Nossa senha de conjunto de caracteres ASCII completa de 8 caracteres tem 52.559 bits de entropia.

Quanto mais bits de entropia uma senha possui, mais forte ela é. E, isso é importante, pois um único bit de entropia representa um aumento EXPONENCIAL na resistencia da senha. Há uma grande diferença entre a força de nossas duas senhas (4,445 ordens de magnitude); isso não é trivial. É algo enorme.

Então, por que usar a entropia como a expressão da força (resistência) da senha? Os gurus da teoria da informação podem certamente dar palestras por dias sobre essas questões, mas há uma resposta simples: os humanos são realmente péssimos para lidar com grandes números. Basta ver como lembramos números de telefone, endereços IP, números de cartão de crédito e números de CPF para evidenciar nossa repulsa por grandes números. Se houver uma maneira de simplificar a expressão de um valor, sempre optaremos por ela. Afinal, o que é mais fácil de dizer e entender ?:

Minha senha tem 52¹⁰ possibilidades vs 95⁸ possibilidades.
ou;
Minha senha tem 57,004 bits de entropia vs 52,559 bits de entropia.

Com certeza você achará esta última forma mais agradável.

Quanto maior o número de bits de entropia de uma senha, mais forte ela tem o potencial de ser. Eu uso a palavra “potencial” aqui porque há muitas nuances nessa discussão que podem tornar esses números um reflexo impreciso da força da senha. A principal delas é o fato de que a maioria das senhas são geradas por humanos, não por geradores de números aleatórios. Os humanos são muito, muito ruins em gerar aleatoriedade. Somos terrivelmente péssimos nisso. Isso significa que a equação usada acima, que assume que cada caracter tem uma probabilidade igual de ser selecionado, não é tão precisa quando é uma pessoa que está escolhendo as letras. Quando invasores, com auxilio do poder de computação, começam a fazer suposições realmente boas sobre como as senhas estão sendo criadas (permitindo que eles excluam certos valores, por exemplo), a entropia pode cair muito rapidamente. Isso é não é bom.

É frequente acontecer que um dos sistemas de uma organização pode suportar o uso do conjunto de caracteres ASCII completo ao definir senhas, enquanto outro pode suportar apenas senhas alfanuméricas. Quantos bits de entropia uma senha deve ter para ser adequadamente segura? Quão longa uma senha alfanumérica deve ser para ser tão forte quanto uma senha que usa o conjunto completo de caracteres? Essas são perguntas muito importantes, especialmente quando se trata de uma política corporativa de senhas. Especificar o comprimento da senha pode ser uma medida inadequada de resistencia; especificar requisitos de entropia de senha tem o potencial de ser uma expressão muito mais consistente dos requisitos de segurança. Não tenho uma citação aqui, mas muitas organizações gostam de ter 80 bits de entropia ou mais. Nos dias de hoje, isso é muita entropia. Cheque novamente em alguns anos e certamente veremos que essa declaração se tornou falsa (pela Lei de Moore).

Uma observação final: há muitas variáveis que devem ser discutidas ao explorar o assunto “senhas”. Complexidade, comprimento e entropia são todos ótimos itens para se entender, mas outros fatores podem ser tão importantes quanto. Por exemplo, quais mecanismos subjacentes suas senhas empregam? Qual algoritmo de hash? As senhas são “salgadas”? Há algum tipo de mecanismo de compatibilidade com versões anteriores habilitado (NTLM, etc.)? Essas coisas influenciam a discussão tanto quanto a entropia e podem ter um grande impacto em quanto esforço um invasor terá de fazer para adivinhar a senha. É um grande tópico, digno de muita reflexão e reflexão cuidadosa. A entropia é um ótimo lugar para começar… mas não é a única coisa a se considerar.

Publicado em março 9, 2021março 9, 2021 in Uncategorized

Twitter versus Software Livre

Há muitos debates complicados acontecendo agora sobre o Twitter e seu papel no discurso público. Essas discussões são importantes, mas também não devemos esquecer um princípio muito básico e claro: quaisquer que sejam suas políticas sobre quem pode e não pode postar ou como postar, é de fundamental importância que o Twitter não exija que os usuários executem software não-livre para usar o site.

Infelizmente, no dia 15 de dezembro, 2020, o Twitter removeu sua interface web “legada”. Ao contrário de seu app cliente padrão muito maior e mais complexo, a interface legada não usava javascript proprietário (ou qualquer javascript).

Até o ano passado, a Fundação Software Livre (FSF) podia tolerar o uso do Twitter por causa dessa interface legada. Enquanto a interface estava ativa nós encaminhávamos os usuários do software gratuito para ela ou a outros aplicativos gratuitos de terceiros. O fato de o Twitter estar removendo o acesso a essa interface significa que os usuários são agora forçados a usar o JavaScript não gráfico do site (se eles não tiverem um desktop ou cliente móvel dedicado), impedindo os navegadores que respeitam a liberdade como o GNU ICECAT de postar para o serviço.

Mas por que usar o Twitter em primeiro lugar, se sabemos que ele tem esses problemas? Como qualquer instituição de caridade pode atestar, engajar os usuários em mídias sociais é uma das maneiras principais de espalhar sua mensagem.

O mesmo é verdade para a liberdade de software. Precisamos estar falando de software livre nos lugares onde os usuários não estão comprometidos com o software livre – não seremos bem sucedidos se formos apenas à nossa própria câmara de eco, ou continuar pregando aos convertidos. É importante que os ativistas estejam atingindo as pessoas nessas redes sociais, mesmo que tenhamos reservas sobre como usá-las. O Twitter tem sua participação em questões sociais; precisamos incluí-lo em nossa estratégia de mensagens. Somos, no entanto, cuidadosos para garantir que você não seja obrigado a seguir o FSF no Twitter, a fim de receber notícias ou atualizações. Tudo o que publicamos também é publicado em plataformas baseadas em princípios de software livre, incluindo Mastodon e GNU Social.

Independentemente de qualquer classificação, no âmbito do software livre a regra é clara: você não pode ser obrigado a usar software não-livre (como JavaScript, PDF, etc) para usar redes sociais.

Como a interface “Legada” (a que não depende do javascript não dirigido pelo Twitter) foi removida, aqueles que se importam fortemente com sua liberdade devem agora dar passos adicionais para usar a plataforma e manter sua autonomia ao mesmo tempo. Na FSF, usamos uma versão ajustada da ferramenta Rainbowstream para GNU / Linux, personalizada por nosso administrador de sistemas sênior Ian Kelling. O script que Ian escreveu nos permite chamar programaticamente a Rainbowstream, bem como o utilitário de toot para mastodon, o cliente Diaspy para DiSpora, e um script de enrolamento que usamos para postar na nossa instância social GNU, https://status.fsf.org.

Graças a alguma colagem “bash” de Ian, somos capazes de fazer posts para esses serviços de uma só vez (o que é chamado de ‘bridging’), e também anexar imagens aos nossos posts. Esta configuração funcionou bem para nós por quase um ano. (*)Se você precisar de um app cliente gratuito para o Twitter, recomendamos o Rainbowstream ou os clientes móveis disponíveis no repositório Android do F-Droid da liberdade, como Twidere.

Embora tenhamos trabalhado de uma maneira a que a equipe de campanhas possa postar no Twitter sem comprometer nossa liberdade, isso não significa que a FSF não seja afetada pela “deprecação” da antiga interface. Como não aconselhamos usar software incompleto em qualquer contexto, tivemos que fazer algumas alterações na nossa página “Compartilhar” e remover o link para nosso perfil do Twitter dos e-mails que enviamos.

Queremos que os usuários espalhem a mensagem de software livre e aprendam sobre nós na mídia social, mas como clicar em um link para o Twitter agora envolve a execução de Javascript não grátis, não queremos apontar as pessoas para qualquer coisa que sabemos eticamente condenável

Problemas “user-hostis” como estes são a razão de o FSF apoiar serviços de rede descentralizados onde quer que possamos. Fizemos isso antes, como em 2008, quando fomos a uma série de uma cúpulas sobre serviços de rede que culminou na publicação da declaração de Franklin Street. O foco da declaração na promoção de serviços descentralizados e na liberdade frente a vigilância corporativa e governamental a granel permanecem parte da nossa estratégia de campanhas. O Twitter pode hoje ter a maioria dos usuários de qualquer rede de microblogging de seu tipo, mas a longo prazo, plataformas descentralizadas, como Mastrodon ou Peertube, prevalecerão. Até mesmo Jack Dorsey do Twitter reconheceu o apelo dessas redes, que são baseadas na participação descentralizada. Continuamos esperançosos de que o Twitter apoiará a descentralização e, ao mesmo tempo, priorizará a liberdade de software.

Sendo uma rede de mídia social tão popular, há uma variedade de questões em torno do Twitter e o que ele significa para a web. Não devemos deixar essa complexidade obscurecer o que não é complexo: o Twitter não deve exigir que ninguém use software não livre para participar do site. Permitir que seus usuários acessem o serviço e mantenham sua liberdade ao mesmo tempo é a linha-base da aceitabilidade, mas a partir daí, existem ainda outras etapas em que o Twitter pode assumir a direção certa, como, por exemplo, estimular um futuro promissor para as iniciativas de descentralização.

Desmontar seu próprio silo e se tornar um entre muitos “nós” da rede descentralizada pode ser sem precedentes a partir de um ponto de vista comercial ou de desenvolvimento, mas também seria sem precedentes em termos do respeito pela liberdade do usuário que isso demonstraria.

This work is licensed under a Creative Commons Attribution-No Derivative Works 3.0 license (or later version) — Why this license?

NOTAS:

1) Bravo Marques apóia a Fundação Software Livre

2) Estamos também envolvidos em um projeto de Mensagens Instantâneas decentralizadas usando o protocolo XMPP. Estamos adquirindo domínios e capacidade em servidores para a empreitada. O serviço é desenvolvido com o nome provisório “Verbat”. Em breve teremos notícias.

Publicado em março 9, 2021março 9, 2021 in Uncategorized

O Computador Dos Meus Sonhos

O meu computador de sonho é muito simples. Tão simples que talvez seja impossível de possuir em 2021. Eu quero um computador que possa ser completamente autônomo quando eu quero que ele o seja, mas que também possa ser usado para comunicação segura com qualquer pessoa no planeta sem que eu seja observado por terceiros. Eu não quero ser espionado pelas grandes companhias de Internet. Eu não quero que as agências-de-três-letras dos EUA interceptem minhas conversas ou mesmo meus metadados.

Eu quero completa autonomia e privacidade sem ter que recorrer às soluções alternativas (anti-vírus, bloqueador de anúncios, etc, etc) que foram inventadas para “recuperar” um pouco do controle que eu deveria ter tido de maneira natural e assegurada em primeiro lugar. Em outras palavras, quero um computador que eu possua completamente. Eu quero um computador que faça o que eu quero que ele faça, não um que tenha objetivos nefários escondidos em seus circuitos, programados nele na fábrica.

E ainda mais, eu quero ter essas capacidades, independentemente do que legisladores e autoridades façam com a Internet para evitar que eu as tenha. Eu não quero ser dependente dos caprichos de um governo, ou da boa vontade de uma corporação gigante. Talvez eu esteja procurando por algo como o computador CP-300 que eu tinha no início dos anos 80, mas 10.000 vezes mais rápido, com uma solução de privacidade embutida, para que eu tenha total privacidade on-line e a capacidade de executar software moderno sem me preocupar com spyware.

A realidade…

Em lugar de meu computador de sonho, eu tenho um computador que é projetado em grande parte para maximizar os lucros da indústria de computadores. Exceto por um punhado de modelos muito avançados, com preços que a maioria das pessoas não pode comprar, nossos computadores são, cada vez mais, projetados para serem pequenas plataformas de publicidade, bem como veículos para maximizar as receitas de seus verdadeiros proprietários: coletores de dados on-line, anunciantes e empresas de “nuvem”.

Nossos computadores têm inúmeros componentes de hardware e software (backdoors) que são projetados para permitir que governos e corporações nos espionem e nos sigam pela internet. Tudo que podemos fazer é confiar em algoritmos de criptografia que são projetados com falhas sutis que podem levar anos, se não décadas, para vir à luz.

Mesmo os algoritmos de criptografia de código aberto, que alguns reivindicam estar acima de reprovação, são repetidamente denunciados por terem grandes falhas, e mesmo os protocolos de correção para essas falhas têm suas próprias falhas.

Isso tudo muitas vezes parece ser intencional, porque sabemos que os governos não suportam, por um único instante, que qualquer pessoa, em qualquer lugar, possa ouvir, dizer ou ver qualquer coisa que eles mesmos não têm conhecimento. Os governos parecem ficar universalmente aterrorizados com a menor possibilidade de que duas pessoas no mundo possam ter uma conversa privada.

Assim, eles fazem tudo o que podem para assediar as empresas de software e fabricantes de computadores, induzindo-as a criar “portas de fundos” e falhas intencionais que podem ser exploradas para tirar a nossa privacidade e nos impedir de falar livremente. E quando isso não funciona, eles passam leis que visam destruir a liberdade de expressão on-line, enquanto acenam suas bandeiras proclamando a sorte de estarmos vivendo sob seus governos.

Haverá um fim para este estado de coisas? Eu terei um dia o computador dos meus sonhos?

Vox Leone

Sistemas & Informação

Categoria: Uncategorized