Por Eduardo Bortoluzzi*
Agora no meio do ano, recebemos várias notícias sobre vazamento de senhas em alguns sites utilizados por grande parte da população. Isto é uma grande preocupação porque as pessoas, por comodidade e sem conhecimento dos riscos, usam as mesmas senhas em diversos sites. Mas isto é uma coisa bem natural, uma vez que nos cadastramos em tantos sites, como vamos lembrar as senhas de cada um deles? Difícil, não é mesmo?
Mas, você já parou para pensar nas consequências que este nosso costume pode nos trazer? Já pensou se a senha que você utiliza em um site acaba sendo descoberta e é a mesma senha que você utiliza no site do seu banco, ou da sua conta do Facebook, de uma loja de compras, ou do seu e-mail do trabalho e que contém assuntos confidenciais? O que pode acontecer entre o momento da descoberta e o momento em que você toma conhecimento do o corrido e começa a trocar a senha de todos os sites que você a utiliza? Quanto tempo isso pode levar? Qual o prejuízo disso tudo? Pior ainda: como vamos lembrar todos os sites que estão com esta mesma senha? É muito provável que usem a senha e você nem fique sabendo disso por muito tempo, por vários dias, meses, ou anos?
Agora você pode até me dizer que vai mudar todas as suas senhas, e que vai colocar senhas diferentes para cada um dos sites que você utiliza. Parabéns, este é um grande passo para a sua própria segurança. Mas, não vale utilizar a sua data de nascimento, ou dos seus filhos, ou de alguém que você conheça; também não utilize informações como endereço, número, bairro, cidade, local de nascimento, RG, CPF, ou qualquer outra informação que é associada a você. Estes são os meios mais fáceis de descobrirem a sua senha e, acredite, são as primeiras maneiras que uma pessoa má intencionada utiliza para descobri-las. Nem utilize um padrão para cada um deles, como por exemplo, facebook5647, gmail5647, banco5647, , , porque se alguém descobrir um deles, sabe como serão os outros facilmente. Também, não utilize senhas curtas, uma senha de 4 dígitos composta somente de números. Então, utilize letras maiúsculas, letras minúsculas, números e pontuações: uma senha de 8 caracteres composta de todas estas variáveis possíveis. Senha com este formato oferece 1 chance em 6.000.000.000.000.000, aproximadamente, de ser descoberta. É muito mais fácil acertarem na Mega Sena, onde a chance de acerto é de 1 em 50.063.860 possibilidades. Então, se é mais fácil acertar na loteria, por que alguém vai tentar descobrir a sua senha, que é muito mais difícil?
Agora te convenci, não? Mas, não vale anotar as senhas em um papel e deixar em sua carteira. Se você as perder, além de não sabê-las para poder entrar na conta e alterar, quem as achar, vai fazer a festa! Aliás, cabe uma dica aqui: em sites sérios, você tem como cadastrar alguma forma de recuperação de senha. Não a deixe de lado, cadastre a recuperação de senha sim! Se você perder ou esquecer a sua senha, é uma forma de recuperá-la e depois mudá-la se for o caso. Mas, e agora, como vou guardar tantas senhas?
As minhas dicas são:
1. Crie senhas difíceis para internet banking, e-mail, lojas online. Ao criar uma senha em um site, pense o que pode acontecer de ruim se a descobrirem, como realizar compras em seu nome; transferirem dinheiro para outra conta, terem acesso a seus projetos confidenciais do trabalho. Crie sempre uma senha única e difícil;
2. Você pode utilizar frases como referência para a criação de senhas. Por exemplo, para um site de e-mail, utilize uma frase estranha que só você saiba, como “Meu amigo João envia um e-mail engraçado uma vez por dia”, e a senha ficaria com as primeiras letras de cada palavra: "MaJe1eMe1xpd", por exemplo. Faça isto para cada um dos sites que você criar uma senha;
3. Se o site te propuser á utilização de um segundo fator de autenticação, como os tokens que temos para fazer operações nos bancos, então aceite sem pensar suas vezes! Este segundo fator pode ser um token físico, um token no seu smartphone, um SMS. Não importa qual for, utilize-o. O Facebook tem SMS, a Google tem um token no celular, aproveite esta possibilidade;
4. Guarde os lembretes de senha em locais secretos. Os lembretes, não as senhas. Eu, por exemplo, utilizo uma aplicação que instalei no meu navegador, que precisa de uma senha de 14 caracteres com letras, números e símbolos e um código de um token que está instalado no meu celular. Nesta aplicação, gere senhas bem complexas para os sites que você se cadastrar;
5. Alguns sites permitem utilizar o login de outra conta sua para acesso. Use este recurso, assim você não precisará guardar mais uma senha complexa. Por exemplo, no site www.rememberthemilk.com ao utilizá-lo você pode indicar se vai utilizar uma conta do Facebook ou da Google e aí fica uma senha a menos para lembrar. Abuse deste recurso!
Para você que cuida e se preocupa com a segurança nos sistemas da sua empresa, por que não adotar uma ferramenta nos sites da companhia que ajude os seus usuários a implementar estas dicas de segurança? Uma opção é o DAT - Authentication Tool, onde o usuário só precisa conhecer uma senha, utilizada para entrar no computador e depois acessar os sistemas da empresa. Ele permite adotar um segundo fator de autenticação e permite controlar a complexidade da senha utilizada. É possível definir os locais de onde ele pode acessar, por exemplo, em horários estabelecidos e outras regras. Você pode implementar o DAT com o Google Apps e os seus usuários poderão utilizar este mesmo processo de login para se autenticarem em outros sites que permitam utilizar uma conta Google. E, você pode integrar o DAT aos sites ou intranets criadas, mesmo que ele esteja hospedado na Amazon. Esta é uma opção bastante segura de autenticação forte dos usuários para aplicações em nuvem e que combina o uso da arquitetura Single Sign-On (SSO) com senhas dinâmicas (OTP - one time password), cartão de segurança ou outros métodos.
Aliás, não utilize nenhuma destas senhas de exemplo que está neste artigo, alguém já as sabe.
(*) Cloud Development Manager da Dedalus, provedora de soluções para a Cloud Computing, com mais de 20 anos de atuação no mercado de TI.
(**) Eduardo Bortoluzzi executivo da Dedalus é especialista em temas relacionados à segurança na computação em nuvem.