Quando o site Ashley Madison foi alvo de um ataque de hackers, há dois meses, mais de 11 milhões de passwords foram decodificadas. O caso ilustrou os perigos de se ter senhas pouco seguras.
Esta terça-feira, a agência de segurança e inteligência do governo britânico (Government Communications Headquarters, ou GCHQ) publicou novas directrizes para melhorar a segurança online.
O documento desafia o senso comum sobre senhas e seguranças - e mostra que muitas das ideias que temos sobre como ter uma senha segura podem estar erradas. Então, como escolher e gravar a senha perfeita?
Muitos sites exigem passwords complexas, com uma mistura de letras maiúsculas e minúsculas, números e símbolos. O relatório do GCHQ sugere que senhas complicadas podem, na verdade, ser contraprodutivas, já que as pessoas escrevem-nas ou utilizam-nas noutros sites.
«Muito se fala sobre senhas longas e complexas serem mais seguras. Mas esse nem sempre é o caso», afirma o professor Steven Murdoch, do Departamento de Ciências da Computação da University College London.
«Sistemas seguros não deveriam apenas confiar numa única senha, mas sim ter controlos técnicos complementares para se detectar comportamentos anormais e proteger a conta do utilizador.»
Usar símbolos e pontuação também pode ser uma chatice para quem está no telemóvel.
«É difícil digitar senhas complexas em touchscreens, já que é preciso trocar os teclados», disse a professora Angela Sasse, directora de pesquisa sobre segurança da informação, também na University College London.
Alguns especialistas recomendam que sejam usadas as chamadas «frases-senhas», ou senhas compostas por frases, como por exemplo «Tenho50%dosdiscosdoCPM22».
Para algumas pessoas, estas são mais fáceis de gravar, além de serem mais seguras contra os ataques chamados de "força bruta", em que um computador tenta inúmeras combinações de senha até, por tentativa e erro, encontrar a certa.
«Uma senha longa é preferível, mas também traz outros problemas», disse Sasse.
«Mais de 50% das senhas agora são digitadas em telas sensíveis ao toque, e frases-senhas são um problema para quem está a usar esses dispositivos.»
«Senhas raramente são decifradas por essas 'forças brutas'. Na maior parte do caso, são detectadas por phishing e malware, e com esses ataques não importa quão longa ou complexa seja a sua senha.»
Muitas empresas obrigam os funcionários a trocar a senha frequentemente - a cada 30 dias, por exemplo, para que senhas roubadas sejam usadas apenas temporariamente pelos hackers.
Mas o GCHQ sugere que isso incentive as pessoas a escolherem senhas em que apenas continuem a acrescentar novas letras ou números, além de fazer com que usem a mesma combinação noutros sites.
O relatório afirma que essa prática traz um «fardo para o utilizador e não traz benefício real, já que senhas roubadas normalmente são usadas por hackers imediatamente».
Algumas pessoas usam aplicações ou sites dedicados a guardar senhas. Assim, podem recuperá-las facilmente no caso de as esquecerem.
Mas esses apps também funcionam com senha, por conseguinte é preciso memorizar mais uma.
Uma aplicação está a ser desenvolvidos nos Estados Unidos justamente para lidar com esse problema. Em vez de gravar os seus códigos secretos, o Password Chef grava «receitas» que ajudam a lembrar a password.
Os criadores do app dizem que é uma maneira de as pessoas criarem senhas mais seguras que também são mais fáceis de serem recordadas.
No entanto, gestores de senhas também não são infalíveis.
«Esse app pode ajudar as pessoas a lembrarem-se de senhas que usam pouco, mas pesquisas mostram que mesmo se elas se recordam de algo, como o nome da escola, não conseguem reproduzir a maneira exacta da palavra usada na senha», afirma Sasse.
Então, o que fazer?
Muitos sites agora oferecem uma autenticação em duas fases. Além de colocar a sua senha, também tem de usar um código, normalmente enviado para o telemóvel. O Facebook, Google e Twitter já oferecem essa ferramenta de segurança.
«Isso aumenta de forma significativa a segurança. Por isso, aconselhamos fortemente o uso desse tipo de dispositivo. Muitos bancos também usam essa medida», afirma Murdoch.
A fuga de dados do Ashley Madison mostra que nunca é garantido que um site seja totalmente seguro - mais um factor que prova que não há sentido em usar a mesma senha em vários sites.
O relatório do GCHQ mostra que os britânicos usam, em média, a mesma senha para quatro sites diferentes.
«Nunca reuse senhas importantes (como a do seu banco online) para outros sites», afirma Sasse. «Nem todos os sites protegem as senhas de maneira eficiente ou a sua senha pode ser detectada por um malware. Use senhas individuais com gestores de senha para conseguir guardá-las.»
FONTE:
http://diariodigital.sapo.pt/news.asp?id_news=789763