Home > Dicas

Como criar boas senhas e protegê-las

Senhas complexas misturadas com números e caracteres especiais aumentam as chances de luta contra os hackers, e você pode armazenar estes códigos em um conveniente aplicativo administrador de senhas

Dan Tynan, PCWORLD/EUA

20/11/2012 às 8h20

Foto:

No início de agosto, Mat Honan, repórter da Wired, teve suas precisosas senhas roubadas por meio de uma
série de complexas explorações de engenharia social. A falha chegou às
manchetes pelo fato de ter exposto falhas de segurança nas políticas da Apple e da Amazon. E não esqueçamos que a saga Honan ocorreu em um verão
recheado de invasões a servidores que expuseram em massa milhões de senhas de
usuários.

Em junho, hackers roubaram cerca de 6,5 milhões
de senhas do LinkedIn
e as postaram na
internet. Nesse mesmo mês, intrusos comprometeram cerca de
1,5 milhões
de senhas do eHarmony
explorando uma falha de segurança, e
em julho hackers tomaram posse de
450 mil
senhas do Yahoo Voice
. Dentre as senhas mais comuns
utilizadas por esses membros do Yahoo estavam: "123456," "welcome,"
(bem-vindo) e a mais popular "password" (senha).

O problema fundamental não é que essas páginas
deveriam ter feito um trabalho melhor na hora de proteger os dados de usuário
(apesar de que deveriam, de fato). E também não se resume apenas aos usuários que
escolheram senhas que eram extremamente simples de descobrir e fizeram uso da mesma senha fraca em todos os outros sites em que fizeram registro (apesar de
que o fizeram, de fato).

O problema é que as senhas se tornaram autodestrutivas,
muitas vezes ferramentas impotentes no vasto esquema da segurança digital.
Precisamos de muitas delas, e as senhas fortes são difíceis demais de lembrar.

“Para usar a internet hoje em dia você precisa de
dúzias de senhas e logins”, diz Terry Hartmann, vice-presidente de soluções de
segurança globais da
Unisys. “Sempre que você volta para uma página, eles parecem ter introduzido
novas regras para criar senhas mais complexas. Eventualmente, os usuários
recorrem a utilizar apenas uma para tudo.”

Em resumo: o sistema de senhas é débil. Todas as
senhas originadas da exploração das falhas do LinkedIn, eHarmony e Yahoo
haviam passado por um processo chamado “hash” (tabela de espalhamento) – isso
é, as senhas reais haviam sido substituídas por códigos gerados
automaticamente. Isto transforma as senhas armazenadas em servidores (e
roubadas por hackers) em textos alfanuméricos sem sentido.

Ainda assim, caso sua senha seja muito simples, como
"officepc", um hacker pode facilmente obtê-la em sua forma
espalhada (em hash) utilizando técnicas como ataques de
força
bruta
ou tabelas
arco-íris
.

Mas nem tudo está perdido. Senhas complexas misturadas
com números e caracteres especiais (e não contendo nenhuma semelhança com um
nome real ou palavra) aumentam as chances de luta contra os hackers, e você pode
armazenar estes códigos em um conveniente aplicativo administrador de senhas. Muitos sites, entretanto, estão se esforçando mais para melhorar a
segurança, exigindo autenticação multifatorial, e parece que a
tecnologia biométrica logo será aplicada em
massa.

De toda forma, a perspectiva é a de que o problema das senhas não será solucionado tão cedo. Por enquanto continuaremos dependendo dos aplicativos, serviços e tecnologias
emergentes explicadas abaixo para ficar um passo à frente dos caras maus.

1- Cofres de senhas
Programas de administração de senhas são como filtros
de spam – ferramentas entediantes, mas essenciais para administrar sua vida
digital. Um bom administrador de senhas lembrará você de todos os logins,
substituirá as senhas simples que você escolheu por senhas mais complexas e
permitirá modificar essas senhas rapidamente se um site ou serviço que você
utiliza for invadido.

A melhor parte: em vez de ter de lembrar-se dúzias
de senhas, você só terá de lembrar uma: a senha mestre para seu cofre. E a menos
que você sempre entre na mesma máquina e no mesmo navegador, você provavelmente desejará usar
um
programa baseado em nuvem como o LastPass, o 1Password, ou o Roboform
que possa aplicar seus logins a qualquer computador, celular ou
tablet que você utilize.

A parte ruim: você ainda terá de lembrar sua senha
mestre, e ela deve realmente ser uma boa senha, composta de uma mistura razoável de
números, letras em maiúsculo e minúsculo e caracteres especiais como
interrogações e pontos de exclamação.

É claro que um atacante que conseguir implantar um
keylogger (software que registra todas as teclas pressionadas em seu teclado)
em seu computador será capaz de obter suas senhas à medida que você as digita, nota
Robert
Siciliano
, um especialista de segurança
online da McAfee que usa um cofre de senhas para armazenar mais de 700
logins. De forma semelhante, se os bandidos invadirem um cofre de senhas
baseado em nuvem —
como
aconteceu ao LastPass em maio de 2011
— pode
ser o fim do jogo.

Felizmente, para os clientes do LastPass, nenhuma
informação secreta foi obtida a partir do ataque de 2011, mas da próxima vez
que uma invasão bem sucedida ocorrer (e é inevitável que isso vai acontecer a
alguma empresa de segurança em algum lugar), os usuários podem não ter tanta
sorte.

No final das contas: cofres de administração de senhas
oferecem uma ótima oferta e são ferramentas essenciais para qualquer um que
valorize a segurança digital.

2 - Autenticação multifatorial
Senhas complexas armazenadas em um cofre codificado é
apenas o primeiro passo. Algumas páginas dependem de um segundo nível de
segurança para identificar usuários – normalmente um hardware que apenas o
usuário por direito possui.

Dessa forma, mesmo um atacante que saiba sua senha
precisará ter acesso, digamos, ao seu celular ou computador a fim de roubar seus
dados.

Instituições financeiras são obrigadas por lei a
utilizarem múltiplos fatores ao lidarem com transações online, mas elas podem
fazer isso em segundo plano autenticando sua máquina ou sua localização, diz
Siciliano. Então, por exemplo, caso você more em São Paulo e alguém em
Xangai tente acessar sua conta bancária, tal transação talvez seja bloqueada,
ou essa pessoa deverá fornecer mais autenticações por meio da inserção de um
número enviado para um dispositivo fornecido pelo banco.

O Google e o Facebook agora oferecem
autenticação de fator duplo
também: você pode conseguir que eles enviem um PIN temporário para seu celular sempre
que você acessar tais páginas a partir de uma máquina desconhecida (este PIN
deve ser fornecido junto com sua senha na primeira vez que você tenta entrar
através da nova máquina). Este conjunto de medidas de segurança teria evitado
todas as dificuldades que Mat Honan sofreu no mês passado.

Infelizmente, tirando os bancos e
algumas páginas mais famosas, a maior parte dos domínios online simplesmente
não oferece autenticação multifatorial – em parte porque não é muito
conveniente, e a maior parte dos usuários de internet está disposta a trocar a
segurança por logins simples.

“A autenticação de duplo fator nem sempre passa no
teste da vovó”, conta Siciliano. “Isso significa mais ligações ao suporte, mais
redefinições de senha e custos mais altos. É por isso que elas são utilizadas apenas
por empresas que têm muito a perder”.

3 - Biometria
A beleza da biometria é que você não precisa lembrar de nada, muito menos de uma senha complexa. Em vez disso, um sistema
de segurança biométrico envolve as propriedades únicas de seus próprios
acondicionamentos físicos para autenticar sua identidade.

Sistemas biométricos podem escanear impressões
digitais, íris, rostos e até mesmo vozes para definir se uma pessoa deve ou não
ter acesso a um serviço ou hardware. Elas ainda não foram implantadas nos
maiores serviços de nuvem, mas Terry Hartmann, da Unisys, diz que grandes bancos
estão guiando os sistemas de identificação biométrica, e esperam que eles
comecem a ser utilizados no próximo ano.
A
recente aquisição da AuthenTec por $360 milhões por parte da Apple
, empresa criadora da tecnologia de varredura de impressão digital, sugere
que alguma forma de identificação biométrica pode ser introduzida em futuros
produtos da Apple.

Contudo, a biometria não é perfeita. Pesquisadores fraudaram scanners biométricos utilizando
dedos de gelatina
, e enganaram sistemas de
reconhecimento facial
utilizando
fotografias
. Na última conferência BlackHat
ocorrida em julho, pesquisadores de segurança demonstraram uma forma de
enganar scanners de íris por meio da engenharia reversa dos
dados de imagem.

E, é claro, hackers podem ter como alvo os dados
biométricos armazenados em uma base de dados central e roubarem identidades
substituindo seus próprios dados biométricos no lugar dos dados da vítima.

Em relação a senhas e outras informações pessoalmente
identificáveis, o nível de proteção fornecido pela segurança biométrica
dependeria completamente da competência de quem quer que tenha armazenado os
dados (todos sabemos o quão bem isso funcionou com o LinkedIn).

Exigir a biometria em logins também torna difícil
manter o anonimato (se não impossível) para dissidentes políticos, denunciantes
e pessoas que possuam múltiplas identidades por razões pessoais ou
professionais. Temores em relação a uma vigilância governamental ao estilo Minority Report também podem dar um
descanso aos clientes.

Apesar disso, Joseph Pritikin, diretor de marketing de
produtos da
AOptix
Technologies
, uma fabricante de scanners de
íris utilizados em aeroportos e em passagens de fronteiras, prevê que a
utilização da biometria pelos smartphones será um dos dispositivos chave de identificação
do futuro, em parte porque os dados podem ser armazenados de forma segura no
próprio dispositivo.

“Será uma combinação de algo que eu sou com algo que
eu possuo, muito possivelmente um smartphone”, conta Pritikin. “Seria difícil
quebrar a codificação deles baseada em hardware”.

4 - Uma identificação para comandar
todas

Por fim, a solução ideal para a avalanche de senhas é
unificar todos os nossos diferentes logins e identidades online. Na administração Obama, que em abril de 2011 lançou uma iniciativa publico-privada,
o
National
Strategy for Trusted Identities in Cyberspace
(Estratégia Nacional para Identidades Confiáveis no Ciberespaço), a ideia é
desenvolver um ecossistema de identidades que permita que os clientes
utilizem qualquer sistema de verificação e os apliquem em qualquer página.

Tal sistema seria capaz de verificar se você possui
idade suficiente para comprar vinho online ou se você se qualifica para um
desconto estudantil, sem necessariamente compartilhar todas as suas informações
pessoais com cada site, conta Jim Fenton, especialista de segurança da
OneID, um sistema de administração de identidade na internet. O sistema
também permitiria operar sob um pseudônimo, se isso for desejável.

Mas as engrenagens do governo funcionam lentamente.
Mês passado, o comitê de direção da NTSIC fez sua primeira reunião. Dentre os
problemas que ela eventualmente terá de lidar estão a quantidade de informações
que devem ser compartilhadas entre partidos e quanto controle os clientes devem
ter sobre tal informação, conta Fenton, um membro do comitê de privacidade.

Em outras palavras: a ajuda está a caminho, mas ela
não vai chegar tão cedo. Entretanto, estamos atados a senhas.
Crie
boas senhas
e certifique-se que elas estão bem
protegidas a sete chaves.

Tags

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter por e-mail Newsletter por e-mail