Por Francisco Camargo
As senhas são um problema cada vez maior na vida das pessoas e das empresas. Além de serem fáceis de “quebrar”, especialmente se forem curtas e tiveram apenas números ou letras, seu uso é imprescindível para acessar os mais variados serviços e sites: banco, e-mail pessoal, e-mail corporativo, eGov, cartão de crédito, site da operadora de telefonia, site da concessionária de energia, redes sociais, aplicativos de locomoção e de refeições, sites de compras e por aí vai. Podemos intuir que cada pessoa deva ter, em média, umas 15 senhas.
Por outro lado, a principal premissa para manter suas credenciais (login e senha) a salvo de cibercriminosos é não repetir senhas, ou seja, para cada serviço, uma senha diferente. Bom, a não ser para aqueles que têm uma memória prodigiosa, esta é a receita perfeita para os reles mortais se embananarem de vez.
Outra recomendação é que não se deve anotar as senhas para evitar que outras pessoas tenham acesso a elas. Some-se a estas orientações, as diferentes regras dos serviços. Alguns só aceitam números, outros limitam o número de caracteres, outros exigem que se inclua, ao menos, uma letra maiúscula e um caractere especial, outros não aceitam caracteres. Aí, está feita a lambança
Talvez por estas dificuldades, muita gente opte por usar senhas fáceis, como sequência de números e datas, e manter a mesma senha para diversos sites e serviços. Infelizmente, esta é a decisão que os crackers mais gostam. Eles tiram proveito da reutilização de senhas. Tem um estudo da Auth0 (The State of Secury Identity) que afirma que, quando um titular de uma conta reutiliza as mesmas senhas (ou semelhantes) em vários sites, ele cria um efeito dominó no qual um único par de credenciais pode ser usado para violar vários aplicativos.
Mais de 50 mil incidentes diários, observados pela plataforma de identidade da Auth0, acontecem pela reutilização de senhas por parte dos usuários. Depois que a senha foi descoberta, é praticamente certo que ela estará à venda na deep web. O que fazer?
Senhas longas e únicas
Usar senhas longas, com cerca de 15 caracteres, com uso de letras maiúsculas e minúsculas, números e caracteres especiais são a principal orientação dos especialistas. Não há como fugir. Como sabemos da dificuldade de memorizar tantas senhas fortes, o jeito é criar uma variação, usando duas ou três palavras, uma frase, que signifique algo para a pessoa e não seja muito conhecida como “o nome do meu filho é …” ou “o dia do meu casamento é 17”. Escolha algo que só você sabe. Então, intercale letras maiúsculas e minúsculas e algum número que se encaixe nos dizeres. Por exemplo, a aula de matemática foi ótima no Mackenzie: AaDmFoNm#05 (o 05 seria o dia em que a aula de matemática foi ótima). Depois, para não repetir a senha, coloque uma referência ao serviço a que ela pertence: Para_AaDmFoNm#05_CLM. Então, esta senha é para o meu e-mail corporativo, da CLM. Para o aplicativo de locomoção, ficaria Para_AaDmFoNm#05_Uber.
Perceba que podem e devem ser usados caracteres especiais ou símbolos para separar as informações. Para_AaDmFoNm#05_Uber
Esqueça senhas fáceis
No ímpeto de memorizar as senhas, muita gente usa sequência de números, como 123456, a data de nascimento, de casamento ou nascimento de um filho, número de celular etc. Esqueça esse tipo de senha!
Encerrar a sessão ao sair
Sempre que usar suas credenciais para acessar um serviço ou site, antes de sair, é importante deslogar porque o cibercriminoso pode roubar o cookie da sessão.
Cofre de senhas
Algumas soluções de cibersegurança fornecem um cofre de senhas. Esta pode ser uma boa medida também.
Login universal
Para assegurar as credenciais dos colaboradores de uma empresa, embora os cuidados sejam bem mais complexos, especialmente com o trabalho remoto, existem tecnologias que podem melhorar substancialmente a segurança. Uma delas é o login universal, que permite a autenticação segura de usuários, em todos os aplicativos, do primeiro ao último clique e em qualquer lugar, por meio de um servidor de autorização central, que mitiga ataques de hackers de contas.
O interessante deste tipo de solução é que ela pode resolver o problema de violação de senhas de clientes de um e-commerce, por exemplo.
OTP
A autenticação multifator é um outro recurso que está se disseminando. Exige um código para cada vez que o usuário se logar em determinado serviço. O WhatsApp tem essa facilidade, que pouca gente usa, mas que pode evitar sequestro do aplicativo.
*Francisco Camargo é CEO da CLM
