Criar senhas simples, reutilizá-las ou até mesmo compartilhá-las com terceiros são alguns dos erros mais comuns que devem ser evitados ao administrar o acesso às suas contas. Esse é parte do alerta feito pela ESET em relação ao meio de autenticação mais utilizado entre usuários comuns e corporações no mundo.
“Escrever uma senha para acessar uma das dezenas de serviços que usamos tornou-se uma parte tão cotidiana de nossas vidas que raramente pensamos sobre isso. Procuramos tornar nossas senhas simples e fáceis de lembrar para passar rapidamente pelo processo de login e continuar com o que estamos fazendo. Este é um dos muitos erros que cometemos quando se trata de algo em que confiamos para garantir uma parte de nossa identidade digital”, comenta Fabiana Ramirez, Pesquisadora de Segurança da Informação da ESET América Latina.
Reutilizar senhas
Um dos erros mais comuns é, sem dúvida, a reutilização de senhas. Segundo uma pesquisa realizada em 2019 pelo Google, 52% reutilizam a mesma senha em várias de suas contas, enquanto surpreendentes 13% usam a mesma senha para todas as suas contas. O problema mais grave com a reutilização de senhas é que os usuários ficam expostos ao que é conhecido como “credential stuffing”.
Isso é uma forma de roubo de credenciais, por meio da qual se busca tomar o controle das contas dos usuários e utiliza bots que tentam fazer login usando credenciais de acesso vazadas em violações de dados antigas que afetaram outros sites, até encontrar a combinação correta em um novo site onde as mesmas credenciais de acesso foram usadas. Portanto, diversificar as senhas é a melhor opção.
Senhas simples
Senhas simples costumam ser as mais utilizadas. Anualmente, é publicada uma lista das senhas mais utilizadas, com “12345” e “password” frequentemente entre as primeiras da lista. Além de padrões simples e palavras óbvias, um erro frequente ao criar senhas é usar dados pessoais como parte delas, o que as torna fáceis de adivinhar ou encontrar.
De acordo com a pesquisa do Google, seis em cada dez adultos nos Estados Unidos incorporaram um nome (o deles, o de seu cônjuge, o de seus filhos ou de seu animal de estimação) ou uma data de nascimento em suas senhas. O ideal é usar uma frase como senha. Além disso, a autenticação de dois fatores (2FA) também deve ser ativada sempre que possível, pois adiciona uma camada adicional de segurança contra vários tipos de ataques que tentam revelar credenciais de login.
Armazenamento indevido
Outro erro comum é escrever as senhas em papel e notas adesivas, ou guardá-las em planilhas, ou documentos de texto no computador, ou no telefone.
No primeiro caso, se optar por esta forma, as anotações devem ser mais pistas para ajudar a lembrá-las e devem ser armazenadas em um local protegido de olhares curiosos. No segundo caso, se as senhas forem armazenadas em dispositivos, você fica exposto se um criminoso conseguir acessá-lo e vasculhá-lo. Com pouco esforço, terá acesso a um grande número de credenciais. Além disso, se o dispositivo for comprometido por um malware que copia os dados e os envia para um servidor remoto, um ator malicioso poderá entrar em todas as contas imediatamente.
Compartilhar senhas
43% dos participantes de uma pesquisa nos Estados Unidos admitiram ter compartilhado suas senhas com outra pessoa. Mais da metade dos entrevistados disse ter passado sua senha a seus entes queridos, incluindo senhas para serviços de streaming, contas de e-mail e de redes sociais e até mesmo para acessar contas para fazer compras online. Embora compartilhar a senha para acessar uma conta de serviço de streaming seja um fenômeno generalizado, é menos perigoso do que as outras opções mencionadas.
Depois que uma senha é compartilhada, não se pode ter certeza de como a outra pessoa manipulará a chave e se a enviará para outra pessoa. Por exemplo, se as credenciais de acesso a uma plataforma de compras forem compartilhadas, a pessoa a quem as informações foram confiadas poderá fazer login com essa identidade e, se os métodos de pagamento estiverem salvos, será capaz de usar esses dados para fazer uma transação sem a sua autorização.
Alterar senhas periodicamente (sem pensar muito)
alterar a senha regularmente, sem evidências de que sua senha tenha sido vazada em uma violação, não torna a conta mais segura. Pesquisadores da Universidade da Carolina do Norte (UNC), nos Estados Unidos, descobriram que os usuários tendem a criar senhas que seguem padrões previsíveis e consistem em fazer pequenas alterações: substituir uma letra por um símbolo semelhante, adicionar ou remover um caractere especial, ou alterar a ordem de um ou dois caracteres.
Isso torna bastante fácil para os atacantes fazerem seu trabalho, já que os cibercriminosos podem adivinhar essas transformações com pouco esforço se conhecerem uma senha. Também é importante observar que, uma vez que os cibercriminosos obtenham acesso ao seu dispositivo, eles podem instalar um keylogger para acompanhar as senhas toda vez que você as alterar. Ter uma solução de segurança instalada em seu dispositivo aumentará as chances de que o keylogger seja detectado e desativado.
Uma senha que atenda a todas as condições pode parecer uma tarefa assustadora, mas há várias maneiras de criá-las sem que se torne uma tarefa tão complexa:
- Usar uma frase, por exemplo, é preferível a uma senha simples.
- Adicionar uma camada adicional de segurança ativando a autenticação de dois fatores em cada serviço disponível deveria ser a norma.
- Se for tedioso lembrar de todas as senhas, um gerenciador de senhas pode ser a resposta.