Senhas: precisamos acabar de uma vez com elas?

8 min de leitura
Imagem de: Senhas: precisamos acabar de uma vez com elas?

Senhas nem sempre garantem a sua segurança (Fonte da imagem: iStock)

Talvez você nunca tenha tido problemas de violação de privacidade em suas contas na internet, mas não é difícil ouvir casos de contas de email ou em redes sociais que foram hackeadas. Além disso, há também aqueles casos mais “simples”, em que o dono da conta cria uma senha fácil de ser decifrada e acaba sendo alvo de gente mal-intencionada.

Será mesmo que as senhas estão se tornando ultrapassadas, tornando-se uma grande brecha para a segurança do volume cada vez maior de informações que guardamos na internet? Uma discussão antiga, com problemas que acompanham a web desde que serviços e aplicativos começaram a ser oferecidos em abundância na rede, e cuja solução também é alvo de várias discordâncias.

Porém, se assumirmos que a “era das senhas” está chegando ao fim, a pergunta que fica é a seguinte: e o que vem depois? Monitoramento de padrões para identificar ações suspeitas? Apostas pesadas em identificação de retina, impressão digital e outras funções biométricas? O futuro ainda é incerto para as senhas, mas há algumas dicas do que pode vir por aí.

Um amontoado de caracteres é, de fato, seguro?

Não importa o quão cuidadoso você é, se usa 10, 12 ou 15 caracteres em sua senha, se cria combinações alfanuméricas, usando também espaços e caracteres especiais, se desenvolve senhas por meio de um gerador ou então usando sua própria cabeça, mas criando algo totalmente aleatório, pensado apenas naquele momento.

Se a sua senha é composta por caracteres (como basicamente todas as senhas de todos os serviços que você acessa na internet — e até mesmo fora dela, como no banco ou no cartão de débito), ela pode ser decifrada de alguma maneira. A informação parece realmente alarmante, não é mesmo? Aquele ideal de segurança, de que a nossa senha foi pensada para ser o menos provável possível, pode não passar de uma ilusão.

É claro que você pode nunca ter qualquer problema com a sua senha durante toda a vida, até mesmo se você usa combinações mais casuais, digamos assim. A ideia aqui não é alarmar e deixar todo mundo paranoico sobre a real segurança de sua conta de email, do Twitter ou do Facebook.

(Fonte da imagem: iStock)

Mas é importante pensar que existem vários métodos capazes de derrubar a privacidade de sua senha. Há informações de que hackers já possuem máquinas capazes de decifrar completamente uma senha de oito dígitos em 5,5 horas. Sem contar métodos menos tecnológicos como sucessão de tentativas com senhas comuns ou palpites baseados em tudo o que o invasor descobre sobre seu alvo.

Recentemente, Mat Honan, editor da Wired, uma das mais respeitadas publicações sobre tecnologia em todo o mundo, teve suas contas da Apple, do Gmail e do Twitter hackeadas e todo o conteúdo delas foi apagado pelo invasor.

Segundo ele, todos os códigos eram combinações improváveis e que misturavam letras, números e caracteres especiais, mas nem isso foi o suficiente para manter um hacker longe. O resultado foi algum transtorno e uma sentença significativa proferida por Honan: “A era das senhas acabou, nós apenas não demos conta disso ainda”.

Mudar de senha: um inconveniente

Se você tem um email corporativo, é provável que já tenha recebido uma “intimação” para alterar a sua senha. Outros serviços ainda determinam um período fixo dentro do qual você deve alterar sua senha, o que nem sempre pode garantir a segurança e, pior, acaba por gerar desconforto a quem precisa fazer isso.

O site LifeHacker fez uma postagem respondendo a um leitor que questionava de quanto em quanto tempo ele deveria alterar a sua senha. Na resposta, a página citou um estudo da Microsoft feito há alguns anos em que a companhia de Bill Gates concluiu que mudanças de senha compulsórias causam bilhões em perda de produtividade para pouco retorno.

Além disso, há também o fator de frustração da pessoa que precisa trocar a sua senha e normalmente não consegue pensar em algo melhor do que já tem. Então, o que acaba acontecendo é apenas uma variação da versão atual, com a adição de um novo número no final do código, por exemplo.

(Fonte da imagem: Reprodução/Reddit)

Se você tem dificuldade de memorizar a sua senha, então a alteração compulsória pode ser outro problema: para não se esquecer, você acaba anotando o código em um pedaço de papel ou no celular, o que aumenta ainda mais o risco da violação dos seus dados.

Às vezes funciona

Mudar sua senha regularmente pode ser um transtorno, um gasto excessivo de criatividade para pouco retorno, mas há retorno. Pelo menos uma situação pode ser evitada com esse tipo de prática: caso você tenha sido hackeado, mas não saiba disso, alterar a senha de acesso ao email, por exemplo, pode evitar que o invasor continue vigiando as ações realizadas em sua conta.

O especialista em segurança Bruce Schneier escreveu sobre isso em seu blog ainda no final de 2010. Ele garante que a resposta para a pergunta “com que frequência devo mudar minha senha?” é “depende do para que você usa essa senha”. Casos simples, como sites de compra e até mesmo a da sua conta do Windows, por exemplo, devem ser ignorados.

Senhas corporativas podem receber uma atenção maior, mas, curiosamente, a alteração recomendada com mais veemência por Schneier é mudar todas as senhas que você tem compartilhadas com alguém com quem você rompeu (como após o fim de um namoro, por exemplo).

Biometria: ainda uma saída

A biometria, ou seja, métodos que utilizam dados biológicos do usuário para liberar acesso a alguma conta, pode ser vista como uma das saídas para o ocaso das senhas tradicionais. Sistemas que analisam as impressões digitais ou mesmo a retina do utilizador para acessar uma conta seriam, até certa medida, uma saída interessante. Entretanto, eles esbarram em alguns detalhes.

O principal deles é, por enquanto, o preço. Esses sistemas demandam investimento pesado, o que significa que dificilmente eles seriam oferecidos por diversas páginas da web, dificultando assim a sua utilização em larga escala e o consequente barateamento da tecnologia.

Além disso, há ainda um fator físico que pode causar empecilhos. Dirk Balfanz, engenheiro de software da equipe de segurança da Google, faz uma piada que deve ser levada em conta: “Para mim, é difícil conseguir um novo dedo caso minha impressão seja modificada por um vidro.”

No caso de reconhecimento de retina, a segurança também não seria garantida em tempos de imagens em altíssima definição. Como levanta Mat Honan em seu artigo na Wired de dezembro, algum mal-intencionado poderia usar uma imagem de alta qualidade de sua íris ou de seu rosto para violar um sistema de verificação mais simples.

(Fonte da imagem: iStock)

Se você pensou no reconhecimento vocal como uma saída infalível, as coisas não são bem assim. O engenheiro social Kevin Mitnick, que passou cinco anos na cadeia por atividades hacker, criou uma empresa que é contratada por grandes companhias para tentar violar seus sistemas de seguranças de modo a aprimorá-los.

Em um de seus trabalhos, Mitnick conseguiu gravar uma conversa com seu interlocutor e o fez falar números de 0 a 9. Depois, usou o áudio registrado para responder à sequência aleatória questionada por um sistema de reconhecimento de voz.

Tudo isso, porém, não significa que sistemas biométricos serão colocados na mesma lixeira para onde devem ir as senhas em um futuro próximo (devem mesmo?). Eles já estão presentes de certa forma em alguns dispositivos, como sistemas de reconhecimento utilizados pelo Android para desbloqueio do aparelho.

A Apple adquiriu recentemente a tecnologia AuthenTec, que funciona também com base em dados biométricos, o que mostra que esse tipo de identificação está nos planos de ambas as gigantes dos portáteis.

Padrões de uso e segurança

As companhias de cartão de crédito atualmente parecem ter a saída mais interessante para todo esse problema: análise de padrões de uso. Sempre que elas identificam algo de suspeito ou incomum em seu cartão, você é notificado e, caso a fraude seja comprovada, você não será prejudicado.

Esse também deve ser o futuro de outros sistemas de segurança, independente de usarem as senhas tradicionais ou não. Pelo menos isso é o que garante Jemery Grant, do Departamento de Comércio do Instituto Nacional de Padrões e Tecnologia (NIST) dos Estados Unidos. “Provedores serão capazes de ver onde você está logando, que tipo de sistema operacional está usando”, garante.

(Fonte da imagem: iStock)

Sistemas que exigem várias informações para permitir o acesso também podem ser a saída. A Google já trabalha nesse sentido, com métodos que identificam o local de onde você acessa e por meio de que dispositivo faz isso. No Gmail, por exemplo, é possível acessar a opção “Detalhes” no final da página e verificar informações sobre os últimos logins em sua conta, com informação de IP e horário em que os acessos mais recentes ocorreram.

Além disso, o método da Google inclui a necessidade de o usuário responder a várias questões para acessar a sua conta em caso de comportamento suspeito. “Se você não consegue passar dessas questões, nós enviaremos uma notificação a você e diremos para mudar sua senha, porque você foi pego [por um hacker]”.

A solução, enfim...

É difícil apontar qual seria a solução para problemas de segurança envolvendo senhas e códigos, mas é fato que algumas coisas precisam mudar. É, sim, alarmante afirmar que as senhas vão acabar em breve e também que são totalmente inseguras. É normal as coisas evoluírem de forma relativamente rápida no mundo da tecnologia e provavelmente com elas não será diferente.

Quem sabe, então, as senhas passem a ser acompanhadas de outros métodos para confirmar a identidade de um usuário. Aí, uma mescla com biometria ou até mesmo a realização de miniquestionários podem ser saídas viáveis para tentar dificultar um pouco mais a vida dos hackers.

Categorias

Você sabia que o TecMundo está no Facebook, Instagram, Telegram, TikTok, Twitter e no Whatsapp? Siga-nos por lá.