Criar um nome complexo para login, com senhas criativas, longas e cheias de caracteres especiais aumenta a segurança, certo? Bem… Não. Muitos especialistas já vinham apontando para esse fato e agora Mark Risher, diretor de gerenciamento de produtos da Google, falou sobre o assunto, inclusive condenando essa maneira de, teoricamente, aumentar a proteção do seus dados.
As pessoas costumam usar senhas mais longas ou complicadas em muitos serviços ao mesmo tempo, o que aumenta a chance de um invasor roubar dados
Risher se destacou ao se tornar o “czar do spam”, quando ainda trabalha na remoção de spam dos emails do Yahoo. Em seguida, sua startup de segurança, a Impermium, foi comprada para Google em 2014 e, desde então, ele vem se dedicando a caçar os cibercriminosos e deter seus avanços no Gmail. a principal razão que explica a razão dele condenar as senhas compridas e complicadas, é que, caso você a perca, será fácil alguém invadir todos os serviços que você usa online.
“Uma das coisas que muitas pessoas não notam é que quanto maior ou mais complexa é sua senha, maior é a possibilidade de você reutilizá-la em outros sites”, diz, no podcast Converge, do The Verge. Vale lembrar que, ao criar senhas muito complexas, muitas pessoas alimentam uma falsa segurança de que isso vá protegê-las de tudo — e, pior, por decorá-las e digitá-las repetidamente, é possível que elas mesmas cedam sem perceber esses dados ao preencher caixas de diálogo e até perguntas mal-intencionadas disfarçadas de enquetes, por exemplo.
O especialista em segurança Mark Risher
“Outro grande problema acontece quando as pessoas que trabalham em grandes grupos financeiros ou instituições públicas se deslogam automaticamente de suas contas ao sair do trabalho. Isso as obriga a digitar suas credenciais todas as vezes, o que aumenta as chances de alguém conseguir a senha. Se você notar, vai ver que na Google evitamos ao máximo que você se deslogue de sua conta, justamente para evitar isso.”
Ter um gerenciador de senhas ainda é uma das melhores soluções
Nenhum sistema ou método é impenetrável, até porque a cada nova solução de segurança surge alguém tentando derrubá-la. Então, a melhor recomendação atual de especialistas é usar um gerenciador de senhas. Assim, você pode guardar um código diferente para cada serviço e trancar tudo em um cofre digital — que, mesmo se for arrombado, ainda oferece uma camada extra de segurança e assegura mais tempo e ações para que você altere suas credenciais sem prejuízos maiores.
Ao atualizar as senhas com frequência, as pessoas não trocam tudo por algo igualmente complexo, elas apenas colocam uma exclamação ou algo assim no fim da combinação antiga
“Há 20 ou 30 anos, muita gente dizia, com a melhor das intenções, para você nunca escrever sua senha em um papel. É fato que muitas ameaças acontecem somente pelo fato de você ter sua senha anotada em um papel colado no monitor, dizendo que sua senha é 12345. Mas imagine número de pessoas que podem ver sua anotação no monitor, quando comparada com as incontáveis pessoas que estão tentando invadir a sua conta. É um cenário completamente diferente de ameaças. Não anotar a senha leva ao mau comportamento de ter que decorar senhas ‘super espertas’, cheias de caracteres complexos”, comenta Risher.
Uma outra questão importante que acontece bastante, principalmente com sites que pedem alteração de senhas com frequência, são as atualizações precárias feitas pelos próprios usuários. “Isso acontece muito com páginas que pedem para você atualizar sua senha a cada 60 dias. As pessoas não trocam tudo por algo igualmente complexo, elas apenas colocam uma exclamação, ou um ‘1’ ou ‘2’, ou um ‘2’ e mais uma exclamação no fim da senha antiga — coisas que os invasores driblam facilmente.”
Criminosos estão agindo de forma mais “íntima” e sofisticada
“Se eu distribuir 10 milhões de ofertas de um genérico de Viagra, talvez 10 pessoas respondam. E posso vender e lucrar com uma quantidade pequena, que basicamente cobre o tempo gasto com isso. Se ao invés disso eu enviar 10 mensagens, cada uma pedindo uma transferência eletrônica de cinco ou seis números, vai valer muito mais para o meu expediente”, destaca Risher.
Novos ataques têm usado mais dados de pesquisa para que o invasor finja melhor que conhece a vítima
Por isso vemos um aumento de casos de ransomware a cada temporada, pois os bandidos têm simplesmente melhorando na abordagem ao realizar simples pesquisas antes do ataque. Um exemplo disso é alguém descobrir quem você é e onde trabalha — o que dá para saber em uma rápida olhada no LinkedIn — e usar um tom cordial com o seu nome.
“Caro senhor William, nos encontramos em uma reunião recente em São Paulo, talvez deva se lembrar de mim. Preciso dos detalhes sobre sua identificação para dar sequência ao nosso projeto, você poderia enviá-los para mim? Obrigado.” Esse é um exemplo de phishing mais sofisticado que para muitos pode soar ridículo mas que tem funcionado bastante.
“Não sei quais são as perguntas, mas para esses ataques eles passam mais alguns minutos personalizando sua ‘engenharia social’, que pode render recompensas muito maiores.” Bem, além das dicas acima, fica também mais uma, a de ligar as confirmações de conta em duas etapas e, de tempos em tempos, mudar regularmente as combinações de todos os seus serviços online.
É altamente recomendável ouvir o podcast com Mark Risher, que está em inglês:
Fontes
Categorias
