Agência de segurança e
inteligência do governo britânico publicou novas diretrizes para
melhorar a segurança online
Quando o site de infidelidade
Ashley Madison foi alvo de um ataque de hackers, há dois meses,
mais de 11 milhões de senhas foram decodificadas. O caso ilustrou
os perigos de se ter senhas pouco seguras.
Nesta terça-feira, a agência de
segurança e inteligência do governo britânico (Government
Communications Headquarters, ou GCHQ) publicou novas diretrizes
para melhorar a segurança online.
O documento desafia o senso comum
sobre senhas e seguranças – e mostra que muitas das ideias que
temos sobre como ter uma senha segura podem estar erradas.
Então, como escolher e gravar a
senha perfeita?
Senhas
complexas
Muitos sites exigem senhas
complexas, com uma mistura de letras maiúsculas e minúsculas,
números e símbolos.
O relatório do GCHQ sugere que
senhas complicadas podem, na verdade, ser contraprodutivas, já que
as pessoas as escrevem ou as utilizam em outros sites.
"Muito se fala sobre senhas longas
e complexas serem mais seguras. Mas esse nem sempre é o caso",
afirma o professor Steven Murdoch, do Departamento de Ciências da
Computação da University College London.
"Sistemas seguros não deveriam
apenas confiar em uma única senha, mas sim ter controles técnicos
complementares para se detectar comportamentos anormais e proteger
a conta do usuário."
Usar símbolos e pontuação também
podem ser uma chateação para quem está no celular.
"É difícil de se digitar senhas
complexas em tela der toque, já que você tem de trocar os
teclados", disse a professora Angela Sasse, diretora de pesquisa
sobre segurança da informação, também na University College
London.
Longa e
segura?
Alguns especialistas recomendam que
sejam usadas as chamadas "frases-senhas", ou senhas compostas por
frases, como por exemplo 'Tenho50%dosdiscosdoCPM22'.
Para algumas pessoas, elas são mais
fáceis de se gravar, além de serem mais seguras contra os ataques
chamados de "força bruta", em que um computador tenta inúmeras
combinações de senha até, por tentativa e erro, encontrar a
certa.
"Uma senha longa é preferível, mas
ela também traz outros problemas", disse Sasse.
"Mais de 50% das senhas
agora são digitadas em telas de toque, e frases-senhas são um
problema para quem está usando esses dispositivos."
"Senhas raramente são decifradas
por essas 'forças brutas'. Na maior parte do caso, elas são
capturadas por phishing e malware, e com esses ataques não importa
quão longa ou complexa seja sua senha."
Muitas companhias obrigam
os funcionários a trocar a senha frequentemente – a cada 30 dias,
por exemplo, para que senhas roubadas sejam usadas apenas
temporariamente pelos hackers.
Mas o GCHQ sugere que isso
incentive as pessoas a escolherem senhas em que apenas sigam
acrescentando novas letras ou números, além de fazer com que elas
usem a mesma combinação em outros sites.
O relatório afirma que essa prática
traz um "fardo para o usuário e não traz benefício real, já que
senhas roubadas normalmente são usadas por hackers
imediatamente".
Gerenciadores de
senhas
Algumas pessoas usam aplicativos ou
sites dedicados a guardar senhas. Assim eles podem recuperá-las
facilmente no caso de as esquecerem.
Mas esses apps também funcionam com
senha – então você precisa memorizar mais uma.
Um aplicativo está sendo
desenvolvidos nos Estados Unidos justamente para lidar com esse
problema. Em vez de gravar seus códigos secretos, o Password Chef
grava "receitas" que te ajudam a lembrar da senha.
Os criadores do app dizem que é uma
maneira de as pessoas criarem senhas mais seguras que também são
mais fáceis de serem lembradas.
No entanto, gerenciadores de senhas
também não são infalíveis.
"Esse app pode ajudar as pessoas a
se lembrarem de senhas que usam pouco, mas pesquisas mostram que
mesmo se elas se recordam de algo, como o nome da escola, elas não
conseguem reproduzir a maneira exata da palavra usada na senha",
afirma Sasse.
Então, o que
fazer?
Muitos sites agora oferecem uma
autenticação em duas fases. Além de colocar sua senha, você também
tem de usar um código, normalmente enviado ao seu celular.
Facebook, Google e
Twitter já oferecem esse dispositivo.
"Isso aumenta de forma
significativa a segurança. Então, aconselhamos fortemente o uso
desse tipo de dispositivo. Muitos bancos também usam essa medida",
afirma Murdoch.
O vazamento de dados do Ashley
Madison mostram que nunca é garantido que um site seja totalmente
seguro – mais um fator que prova que não há sentido em usar a mesma
senha em vários sites.
O relatório do GCHQ mostra que os
britânicos usam, em média, a mesma senha para quatro sites
diferentes.
"Nunca reuse senhas importantes
(como a do seu banco online) para outros sites", afirma Sasse. "Nem
todos os sites protegem as senhas de maneira eficiente ou sua senha
pode ser capturada por um malware. Use senhas individuais com
gerenciadores de senha para conseguir guardá-las."
