Olá leitores do CryptoID!
Hoje vamos falar de um assunto comum a todos. Senhas. Ninguém gosta delas, São numerosas, precisam ser atualizadas constantemente e requerem esforço de nossa memória para guardá-las. Mas, o que pode estar atrás de uma simples senha? Uma história? Um segredo? Será que ela pode revelar a personalidade de alguém?
Como deveria ser
As dicas para criar uma senha forte são simples:
- Deve conter no mínimo 8 caracteres;
- Deve conter letras maiúsculas, letras minusculas, números e símbolos ($,#,@..);
- Não deve ser usada em vários sites;
- Não deve conter nenhuma informação pessoal, como data de aniversário, nome de parentes, etc;
- Não deve conter nenhuma palavra.
Porém, tanto as gerações Y e Z (que talvez possuam uma maior familiaridade com a tecnologia) quanto as gerações mais antigas foram obrigadas a se adaptarem a quantidade massiva de senhas que precisam administrar diariamente. Para não esquecê-las, optam por escolher aquilo que é mais importante para elas e as reaproveitam as senhas em vários sites. É mais fácil do que seguir as dicas e criar senhas fortes para cada site.
Na vida real (ou virtual?)
Em janeiro de 2015, a SplashData divulgou sua lista anual das piores senhas utilizadas em 2014 (veja abaixo). TODAS não seguem as boas práticas para criação de senhas fortes.
Ainda em janeiro, o apresentador norte-americano Jimmy Kimmel publicou um vídeo no Youtube onde uma repórter saiu as ruas perguntando as pessoas qual eram as suas senhas para verificarem se eram fortes. O resultado? TODAS acabaram revelando suas senhas. Veja o vídeo (em inglês):
De todos, o meu favorito é o rapaz com o gorro na cabeça:
Homem com gorro na cabeça:”gemma123. Se soletra GEMMA”
Ou seja, não satisfeito em revelar sua senha ele ainda quer garantir que as pessoas conseguiram entendê-la.
O que as senhas representam?
No vídeo, foi mostrada a escolha de nome de gato, nome da avó, nome da cidade entre outras coisas. Todos eles escolheram algo próximo, familiar, cuja lembrança é quase instantânea porque representam o que é mais importante para as suas vidas.
Soube de casos bem interessantes sobre a escolha de senhas, tal como o nome da garota que o rapaz deu seu primeiro beijo, o modelo do primeiro carro usado comprado em muitas parcelas, um nome de um personagem de novela dos anos 80, o significado de uma tatuagem e até o nome escolhido para o filho que foi morreu no útero da mãe. Mas sem um tratamento adequado seguindo as dicas já mencionadas, são tão fracas quase 123456.
Um dos conceitos mais difundidos da Segurança da Informação é a defesa em camadas, onde são criados vários empecilhos de modo a dificultar a vida de um atacante, visando a sua desistência. A senha é uma dessas camadas, em muitos casos, a ultima e uma vez descoberta, a porta está aberta. Infelizmente, temos visto que muitas senhas não recebem a importância e o cuidado merecido.
Mas porque as pessoas continuam usando essas senhas fáceis de serem adivinhadas, ignorando os conselhos dos especialistas?
- As pessoas são inocentes ou ignorantes
Algumas noções básicas de segurança nos são ensinadas desde criança: não fale com estranhos, não deixe a mostra seus objetos de valor, etc. Mas e para o uso na internet? Quantas pessoas não foram advertidas sobre os riscos? Quantas não ouviram medidas simples que poderiam protegê-las?
Em muitos casos, elas desconhecem as técnicas de engenharia social mostradas no vídeo e utilizadas por criminosos para obterem a informação desejada. Um dos maiores especialistas no assunto é o famoso Kevin Mitnick, um dos mais famosos hackers do mundo que escreveu dois livros sobre o assunto: A Arte de Enganar e A Arte de Invadir.
- Elas são preguiçosas e reativas
Em uma palestra de conscientização, ouvi um homem dizer que nunca trocou sua senha porque ele nunca teve problema. Ou seja, ele conhece os riscos, mas vive com a síndrome do “Isso não vai acontecer comigo”. Aqui no Brasil, faz parte da cultura ser reativo e constatamos isso diariamente, em muitas empresas, tanto que é muito comum um famoso dito popular que se “coloca a fechadura depois que a porta é arrombada”.
- Falta conscientização de segurança virtual para a população em geral
Existem várias iniciativas de conscientização na internet, mas ainda é muito pouco, pois o elemento humano ainda é considerado o elo mais fraco, e por tal razão prefere-se o investimento em soluções tecnológicas, mais palpáveis e como retorno a curto prazo. Investir em pessoas é caro, demorado, nem sempre traz o resultado esperado. É um exercício de paciência.
Um problema sem solução?
Existem alternativas aumentam a segurança como o duplo-fator de autenticação, hoje já aceito tanto em bancos como em webmails (GMail, Outlook.com), redes sociais (Facebook, Twitter, Linkedin, etc) e outros sites. Outra boa opção são os gerenciadores de senhas.
A esperança para a autenticação segura está na biometria. Embora seja uma área ainda em expansão, a leitura da íris, dos batimentos cardíacos e em muitos anos, da coleta e comparação do DNA são apostas mais confiáveis do uso da tecnologia. Seria o fim das senhas, uma folga para o nosso cérebro. Mas esse caminho ainda vai demorar.
Qual o nosso papel?
E nós, que trabalhamos com Segurança ou Tecnologia da Informação, estamos fazendo alguma coisa? Ou estamos simplesmente rindo dos usuários, chamando-os de estúpidos? Quem obtém o conhecimento deve orientar tanto os seus familiares quanto os amigos, colegas de escola, faculdade, trabalho, etc. Eles correm perigo. Os criminosos não tem pena de ninguém e só visam o dinheiro.
O mais importante é que as pessoas também precisam fazer a sua parte, protegendo suas informações antes e não depois de se tornarem vítimas.
E você? Qual a sua técnica para criar as suas senhas?
Sobre Luiz Felipe Ferreira:
Luiz Felipe Ferreira possui 11 anos de experiência em Tecnologia da Informação e desde 2006 trabalha com Segurança da Informação em empresas líderes em seus segmentos de mercado.
É Vice-Diretor de Administração do capítulo brasileiro da Cloud Security Alliance.
É pós-graduado (MBA) em Gestão de Projetos e Negócios em TI pela UERJ. Certificado CompTIA Security+ e ITIL.
Palestrante em eventos de Segurança da Informação como o SegInfo e ISRio.