[MISTURANDO-IDEIAS] [ cuidados segurança ] Use senhas inteligentes. Depois não diga que foi roubado(a)

09:50 |

Senhas são chaves que protegem os nossos segredos, mas a forma como usamos a maior parte delas na verdade apenas cria uma ilusão de proteção, que é quase tão perigosa quanto nenhuma proteção.

A primeira coisa da qual você precisa se lembrar é que - como nos crimes contra o patrimônio na vida real - a maior parte dos ciber-criminosos não deseja causar um mal a você, mas a alguém (ou, no caso da internet, a milhões de pessoas). E como todo criminoso racional, ele escolherá os alvos que oferecem menos resistência. E sua senha é o principal fator de resistência na internet. Quanto mais fácil for descobrir sua senha quando comparada à de outras pessoas, mais atraente você se torna para o criminoso.

Datas de aniversário, casamento, placa de carro, nome de cachorro, mãe, filho, rua etc, são senhas óbvias e são as primeiras a serem tentadas por qualquer pessoa que esteja tentando violar seu email ou computador. Mas mesmo sabendo disso, a maior parte das pessoas as utiliza porque elas são fáceis de serem lembradas. E por que são fáceis? Porque somos humanos, e seres humanos – por mais que queiramos acreditar que somos racionais – são pura emoção, e essas palavras possuem um vínculo emocional, o que as tornam memoráveis. Só que os bandidos também sabem disso.

Outras vezes partimos para senhas menos pessoais, mas tão ingênuas quanto (123456, EuTeAmo, ILoveYou, abcd1234, a1b2c3d4, 111111, abcdef, Senha01, qwerty, CU2morrow etc), e aquelas que são fáceis de adivinhar se o criminoso te conhece ou sabe alguma coisa sobre você (Palmeiras99, ZicoCamisa10, Lula13 e assim por diante).

O problema com senhas fracas é tão sério que alguns bancos passaram a exigir um sistema de autenticação duplo: uma senha que – em teoria – só você sabe e uma senha informada a você por um aparelho que está com você (essa, aliás, é apenas a evolução do princípio da senha do cartão de crédito: algo que você sabe e algo que está com você. A única diferença é que o 'algo que está com você' também gera uma senha).

Mas isso tem um custo e os bancos só fazem isso porque têm muito a perder. Sistemas de segurança militar e de inteligência vão um passo além e exigem um terceiro fator de identificação: uma verificação de retina ou face, impressão digital ou da palma da mão, etc. Ou seja, algo que comprove quem você é. A combinação desses três níveis dificulta a invasão por um farsante porque ele pode até saber sua senha e obter o aparelho que gera a segunda palavra chave, mas não terá sua retina ou impressão digital. Mas sistemas multiníveis de identificação custam muito caro e apenas se pagam se a organização quer proteger algo muito valioso para ela. Todo sistema de segurança é o resultado de uma análise de custo x benefício. Se a empresa não tem nada a perder, ela não tem por que incorrer em um custo.

E a maior parte das empresas por trás dos sistemas de email e computadores pessoais não tem por que gastar com sistemas de verificação múltiplos:* é o usuário quem está incorrendo a maior parte do risco e será o maior prejudicado por uma eventual violação.

Logo, a solução é conviver com um único nível de identificação e fazer senhas que sejam robustas o suficientes. Só que quase ninguém faz isso. O problema é tão grave que o Google recentemente começou a fazer uma campanha para que os usuários tenham senhas mais inteligentes (infelizmente, a senha sugerida como exemplo de senha robusta no anúncio já é usada por nada menos do que 1 em cada 3,6 milhões de usuários).

Alguns usuários usam programas de computadores para gerarem senhas aleatórias. Mas, embora realmente mais seguras, elas não são totalmente aleatórias: computadores usam algoritmos complexos (fórmulas matemáticas) para gerarem essas senhas. E algoritmos podem ser desvendados, o que torna a senha menos segura.

Uma outro detalhe: palavras pronunciáveis são mais fáceis de serem descobertas. Funciona assim: existem programas de computador especializados em quebrar senhas. Eles usam o que se convencionou chamar de força bruta, que nada mais é do que o bom e velho método da tentativa e erro. Eles fazem milhões de tentativas de combinações por minuto. Começam com palavras conhecidas em idiomas comuns e depois partem para combinações mais exóticas. E esses programas sabem que seres humanos não gostam de palavras sem vogais porque não conseguem pronuncia-las e, por conseguinte, têm dificuldade em memoriza-las. Por isso os programas, depois de esgotadas as palavras dos dicionários, tentam 'combinações' de letras que, embora não formem palavras conhecidas, possam ser pronunciadas por um ser humano, ou seja, sequências com vogais. E deixam sequências sem vogais por último, já que elas são muito raramente empregadas. Logo, se conseguir, invente uma senha sem vogais ou com poucas vogais.

Para dicas sobre como fazer uma senha realmente mais robusta, entre nesse site (em inglês). Ele dá boas dicas sobre como criar uma senha randômica e fácil de lembrar.

Ou, se preferir, escreva letras, números e caracteres de pontuação (como ! @ # $ % ^ & * ? + = _ / etc) em pedacinhos de papel, coloque-os em um saco e vá sorteando-os um a um, tomando o cuidado de retornar cada papelzinho sorteado de volta para o saco antes de sortear um novo. Uma sequência com 10 caracteres terá uma chance em 10 quatrilhões de ser descoberta aleatoriamente. Uma com 20 caracteres terá uma chance em 110 nonilhões (o número 110 seguido por 30 zeros) e são praticamente inquebráveis com força bruta. Quanto mais longa for sua senha, mais tempo será necessário para quebra-la usando a força bruta. E os criminosos, que não gostam de perder tempo, vão ter um incentivo para procurar outra vítima. Se você conseguir memorizar uma senha longa, ótimo. Se não conseguir, ela lhe será completamente inútil e você não conseguirá acessar seu email ou computador novamente.

E aí voltamos ao ponto inicial: uma senha só é boa se você consegue memoriza-la. Se não for memorável, ela é inútil. Pior: perigosa, pois você pode se trancar fora de sua própria casa. Novamente: todo sistema de segurança é uma análise de custo x benefício. Se você não consegue memorizar sua senha, ela tem um custo inaceitável e não traz qualquer benefício.

E uma senha complexa basta? Não. Uma senha complexa só protege sua conta se o criminoso estiver tentando advinha-la ou quebra-la usando força bruta. Mas a maior parte das violações de senhas ocorre porque você forneceu a senha sem perceber - por exemplo, digitando-a em um computador infectado ou em um site hostil - ou porque o criminoso o viu utilizando sua senha. Você já contou quantas vezes já digitou sua senha em um local onde havia uma câmera ou dentro de um avião, ônibus ou restaurante? E o criminoso não precisa sequer ver onde estão seus dedos: basta que ele filme você com um inocente celular e depois reveja o filme em câmera lenta.

Outro pecado mortal é utilizar a mesma senha em vários sites ou equipamentos com níveis de segurança diferentes: a invasão de um com baixo nível significará que sua senha está irremediavelmente comprometida. É como trancar todas as portas e deixar a janela aberta. O melhor é ter ao menos três senhas: uma bobinha para sites que exigem senhas mas não têm qualquer importância na sua vida ou informação a seu respeito (aliás, vale a pena inventar um email bobinho para esses sites também). Uma outra mais complexa para sites que têm alguma informação sobre você (por exemplo, seu nome real). E, finalmente, outra bem complexa para sites, contas ou equipamentos que contém informações vitais a seu respeito (emails, documentos etc). E, óbvio, é inútil proteger o computador/celular e o email com a mesma senha: quebrada a primeira, a segunda já será quebrada automaticamente.

* Para os usuários do Gmail que têm telefones inteligentes (iPhones, Android e Blackberry), o Google disponibiliza esse sistema de dupla checagem gratuitamente (testamos e funciona muito bem), e promete um identificador facial para celulares com a nova versão do sistema Android (o Ice Cream Sandwich).