 |
| Bellacosa Mainframe apresenta passwords e passphrases no racf zos |
Passwords vs Passphrases no RACF: O Escudo Jedi do Sysprog Padawan na Era do IBM z17
Quando oito caracteres já não conseguem proteger uma galáxia inteira
Por Vagner Bellacosa – Bellacosa Mainframe
"O medo leva ao improviso. O improviso leva ao post-it. O post-it leva ao incidente de segurança."
Introdução – O Jovem Padawan e a Porta do Datacenter
Todo Sysprog Padawan passa por um momento peculiar em sua jornada.
Ele aprende sobre JES2.
Descobre o SDSF.
Sobrevive ao primeiro ABEND.
Começa a entender o funcionamento do RACF.
Admira a elegância dos perfis FACILITY.
Tem pesadelos ocasionais com UACC(READ).
E, inevitavelmente, faz uma pergunta aparentemente inocente:
Mestre Bellacosa, por que ainda existem senhas de oito caracteres em um computador capaz de processar bilhões de transações por dia?
A pergunta é excelente.
E a resposta nos leva para uma viagem que começa na década de 1970 e termina nos sofisticados ambientes Zero Trust do IBM z17.
Este artigo não pretende apenas explicar a diferença entre Passwords e Passphrases no RACF.
Pretende mostrar como a evolução das credenciais acompanha a própria evolução do IBM Z.
Porque segurança em mainframe nunca foi apenas uma questão técnica.
Ela é uma filosofia operacional.
Uma disciplina.
E, em muitos aspectos, uma forma de arte.
O IBM Z nunca foi um computador comum
Muitas pessoas enxergam o mainframe apenas como um computador grande.
O Sysprog sabe que isso está longe da verdade.
O IBM Z é um ecossistema.
Ele é projetado para atender requisitos que poucas plataformas conseguem oferecer simultaneamente.
Disponibilidade próxima de 100%.
Escalabilidade extrema.
Auditoria detalhada.
Criptografia integrada.
Virtualização massiva.
Processamento transacional absurdo.
Em muitos bancos brasileiros, um único complexo IBM Z é responsável por:
PIX;
TED;
DOC;
Cartões;
Previdência;
Empréstimos;
Internet Banking;
Aplicativos móveis;
Open Finance.
Uma falha de autenticação em um ambiente desses não representa apenas um problema técnico.
Representa potencialmente milhões de reais em perdas.
Representa vazamento de informações.
Representa riscos regulatórios.
Representa danos reputacionais.
Por isso RACF existe.
RACF: O Mestre Guardião da Ordem Jedi
RACF significa:
Resource Access Control Facility.
Ele não é apenas um produto.
Ele é praticamente o sistema imunológico do z/OS.
RACF controla:
Usuários;
Grupos;
Datasets;
CICS;
DB2;
TSO;
UNIX System Services;
MQ;
JES;
Operações especiais.
Quando um usuário digita:
LOGON VAGNER
RACF faz inúmeras verificações.
Quem é você?
Você realmente é você?
Sua senha expirou?
Está revogada?
Tentou errar várias vezes?
Está autorizado ao dataset?
É quase como um Jedi verificando um visitante tentando entrar no Templo de Coruscant.
O legado das senhas de oito caracteres
Um jovem profissional pode achar estranho.
Como assim apenas oito caracteres?
A explicação está na história.
RACF surgiu em uma época muito diferente.
Década de 70.
Redes fechadas.
Terminais 3270.
Linhas SNA.
Poucos usuários externos.
Ataques pela Internet?
Praticamente inexistentes.
Botnets?
Não.
GPUs especializadas?
Não.
Malwares ladrões de credenciais?
Não.
Naquele contexto:
ABCD1234
Era aceitável.
Não porque fosse forte.
Mas porque o modelo de ameaças era outro.
O universo mudou
Hoje o cenário é completamente diferente.
Temos:
Credential stuffing.
Ataques automatizados.
Malwares infostealers.
Phishing.
Engenharia social.
Ataques offline.
Data breaches.
Dark web.
Inteligência artificial.
Sistemas expostos por APIs.
Open Banking.
Open Finance.
Cloud híbrida.
VPNs comprometidas.
O atacante atual possui recursos que um hacker dos anos 80 jamais sonharia possuir.
Entropia: o combustível da Força
Um dos conceitos mais importantes em segurança é a entropia.
Podemos simplificar:
Quanto mais possibilidades existem, maior a entropia.
Quanto maior a entropia, mais difícil é descobrir a credencial.
Imagine um cofre.
Primeiro cofre.
100 combinações.
Segundo cofre.
10 bilhões de combinações.
Qual deles você escolheria?
A resposta é óbvia.
O limite matemático das Passwords
Uma senha de oito caracteres possui restrições.
Mesmo utilizando:
Maiúsculas
Minúsculas
Números
Caracteres especiais
Existe um teto.
Por exemplo.
66 opções possíveis.
Elevadas à oitava potência.
66⁸
Aproximadamente.
360 trilhões.
Parece muito.
Mas não é.
Não para hardware especializado.
O grande inimigo chama-se previsibilidade
Padawans adoram criar senhas criativas.
Infelizmente os atacantes também adoram.
Exemplos clássicos:
IBM2026
Cobol65
Mainframe1
Banco123
Bellacosa2026
Parece forte.
Mas é previsível.
Ferramentas modernas usam regras.
Substituições.
Palavras comuns.
Datas.
Nomes próprios.
Centenas de milhões de combinações inteligentes.
Em poucos minutos.
A ascensão das Passphrases
IBM percebeu essa limitação.
E RACF evoluiu.
Surgiu o conceito de Passphrase.
Inicialmente:
14 caracteres mínimos.
Posteriormente.
9 até 100 caracteres.
Uma enorme evolução.
Regras do RACF para Passphrases
O RACF não permite qualquer frase.
Existem salvaguardas.
Não conter o userid.
Possuir duas letras.
Possuir dois caracteres especiais.
Não repetir três caracteres iguais.
Exemplo:
Errado.
VAGNER2026
Errado.
AAAAAAAAAAAA
Errado.
Bellacosa!!!
Correto.
MeuCafeNoMainframe@2026
O crescimento exponencial da segurança
Aqui está o ponto mais fascinante.
Adicionar caracteres produz crescimento exponencial.
Não linear.
Imagine.
8 caracteres.
66⁸
14 caracteres.
66¹⁴
A diferença é quase incompreensível.
É como comparar.
Um copo de água.
Com o Oceano Pacífico.
O ataque de força bruta
Suponhamos.
Um laboratório possui capacidade de testar.
100 bilhões de combinações por segundo.
Uma senha simples.
Pode ser quebrada rapidamente.
Uma passphrase longa.
Poderia levar bilhões de anos.
Na prática.
É impossível.
O paradoxo do ser humano
Até aqui tudo parece resolvido.
Use passphrases.
Fim do artigo.
Não.
Existe um detalhe.
O usuário.
O elo mais imprevisível.
Cenário 1
Senha impossível.
Q7#Xt29L@P
Usuário esquece.
Anota.
Cola no monitor.
Segurança destruída.
Cenário 2
Mesma senha em vinte sistemas.
Vazamento único.
Comprometimento múltiplo.
Cenário 3
Passphrase amigável.
EuTomoCafeNoBellacosa@TodaManha2026
Grande.
Memorável.
Complexa.
Excelente.
O ensinamento do XKCD
Existe uma famosa tirinha.
Ela revolucionou a discussão sobre senhas.
Mostra algo interessante.
Senha.
Tr0ub4dor&3
Difícil lembrar.
Passphrase.
correct horse battery staple
Muito maior.
Muito mais fácil.
Muito mais segura.
A indústria inteira começou a reconsiderar suas práticas.
O NIST mudou de ideia
Antigamente.
As organizações exigiam.
Trocar senha mensalmente.
Símbolos obrigatórios.
Perguntas secretas.
Regras absurdas.
Exemplos.
SenhaJan2026
SenhaFev2026
SenhaMar2026
O usuário apenas incrementava o mês.
Nada realmente melhorava.
Hoje.
O NIST recomenda.
Passphrases longas.
Bloqueio contra senhas vazadas.
MFA.
FIDO2.
Autenticação forte.
O IBM z17 e a era Passwordless
O IBM z17 representa outra etapa evolutiva.
O objetivo não é apenas fortalecer senhas.
É eliminar senhas.
Tecnologias disponíveis.
Certificados.
Smartcards.
PIV.
Kerberos.
RACF MFA.
Passkeys.
Tokens.
Biometria.
MFA: Dois sabres de luz são melhores que um
Autenticação multifator funciona porque exige mais de um elemento.
Algo que você sabe.
Passphrase.
Algo que possui.
Token.
Algo que é.
Biometria.
Um atacante pode roubar uma senha.
Pode até enganar um usuário.
Mas roubar múltiplos fatores simultaneamente é muito mais difícil.
IDs Técnicos também merecem atenção
Muitos ambientes possuem.
USRBATCH.
DB2ADM.
CICSSTC.
MQMGR.
FTPUSER.
Estas contas frequentemente permanecem anos sem revisão.
Grande erro.
Devemos utilizar.
Rotação automática.
Vault corporativo.
Segredos temporários.
Auditoria constante.
O Sysprog Padawan em 2026
O Padawan moderno não pode ser apenas especialista em JCL.
Ele precisa entender.
Zero Trust.
Identidade.
Criptografia.
OAuth.
JWT.
OpenID.
PKI.
MFA.
Threat Hunting.
SIEM.
Compliance.
Porque o papel do Sysprog mudou.
Ele deixou de ser apenas um operador do sistema.
Tornou-se um arquiteto de confiança digital.
A recomendação do Mestre Bellacosa
Se eu estivesse formando uma academia para Sysprogs Padawans em 2026, minhas recomendações seriam:
Usuário comum.
Passphrase com vinte caracteres.
Desenvolvedor.
Passphrase mais MFA.
Administrador RACF.
MFA obrigatório.
IDs privilegiados.
Certificados digitais.
APIs.
OAuth2.
Serviços automatizados.
Segredos rotacionados.
Parceiros externos.
Autenticação federada.
Considerações finais – A verdadeira lição do RACF
No final das contas, a discussão sobre Passwords versus Passphrases não trata apenas de matemática.
Também não trata apenas de criptografia.
Ela fala sobre pessoas.
Sobre hábitos.
Sobre comportamento.
Sobre cultura organizacional.
Sobre engenharia de confiança.
O RACF continua sendo um dos sistemas de controle de acesso mais sofisticados já construídos.
Mas nem mesmo um IBM z17 equipado com processadores criptográficos dedicados consegue proteger uma organização cujo administrador utiliza uma senha anotada em um caderno escondido sob o teclado.
A verdadeira segurança surge quando tecnologia, processos e pessoas trabalham em harmonia.
E talvez esta seja a maior lição para todo Sysprog Padawan.
Aprender comandos é importante.
Dominar SETROPTS é valioso.
Entender SURROGAT, FACILITY e OPERCMDS é fundamental.
Mas compreender que segurança é uma disciplina viva, que evolui constantemente diante de novas ameaças, é o que realmente separa um aprendiz de um Mestre da Ordem Mainframe.
E lembre-se sempre:
No IBM Z, a Força não está apenas no processador. Ela também está na credencial que impede o lado sombrio de assumir o controle da galáxia corporativa.
Sem comentários:
Enviar um comentário