Senhas complexas misturadas com números e caracteres especiais aumentam as chances de luta contra os hackers, e você pode armazenar estes códigos em um aplicativo
Dan Tynan, PCWORLD/EUA
No início de agosto, Mat Honan, repórter da Wired, teve suas precisosas senhas roubadas por meio de uma série de complexas explorações de engenharia social. A falha chegou às manchetes pelo fato de ter exposto falhas de segurança nas políticas da Apple e da Amazon. E não esqueçamos que a saga Honan ocorreu em um verão recheado de invasões a servidores que expuseram em massa milhões de senhas de usuários.
Em junho, hackers roubaram cerca de 6,5 milhões de senhas do LinkedIn e as postaram na internet. Nesse mesmo mês, intrusos comprometeram cerca de 1,5 milhões de senhas do eHarmony explorando uma falha de segurança, e em julho hackers tomaram posse de 450 mil senhas do Yahoo Voice. Dentre as senhas mais comuns utilizadas por esses membros do Yahoo estavam: "123456," "welcome," (bem-vindo) e a mais popular "password" (senha).
O problema fundamental não é que essas páginas deveriam ter feito um trabalho melhor na hora de proteger os dados de usuário (apesar de que deveriam, de fato). E também não se resume apenas aos usuários que escolheram senhas que eram extremamente simples de descobrir e fizeram uso da mesma senha fraca em todos os outros sites em que fizeram registro (apesar de que o fizeram, de fato).
O problema é que as senhas se tornaram autodestrutivas, muitas vezes ferramentas impotentes no vasto esquema da segurança digital. Precisamos de muitas delas, e as senhas fortes são difíceis demais de lembrar.
“Para usar a internet hoje em dia você precisa de dúzias de senhas e logins”, diz Terry Hartmann, vice-presidente de soluções de segurança globais da Unisys. “Sempre que você volta para uma página, eles parecem ter introduzido novas regras para criar senhas mais complexas. Eventualmente, os usuários recorrem a utilizar apenas uma para tudo.”
Em resumo: o sistema de senhas é débil. Todas as senhas originadas da exploração das falhas do LinkedIn, eHarmony e Yahoo haviam passado por um processo chamado “hash” (tabela de espalhamento) – isso é, as senhas reais haviam sido substituídas por códigos gerados automaticamente. Isto transforma as senhas armazenadas em servidores (e roubadas por hackers) em textos alfanuméricos sem sentido.
Ainda assim, caso sua senha seja muito simples, como "officepc", um hacker pode facilmente obtê-la em sua forma espalhada (em hash) utilizando técnicas como ataques de força bruta ou tabelas arco-íris.
Mas nem tudo está perdido. Senhas complexas misturadas com números e caracteres especiais (e não contendo nenhuma semelhança com um nome real ou palavra) aumentam as chances de luta contra os hackers, e você pode armazenar estes códigos em um conveniente aplicativo administrador de senhas. Muitos sites, entretanto, estão se esforçando mais para melhorar a segurança, exigindo autenticação multifatorial, e parece que a tecnologia biométrica logo será aplicada em massa.
De toda forma, a perspectiva é a de que o problema das senhas não será solucionado tão cedo. Por enquanto continuaremos dependendo dos aplicativos, serviços e tecnologias emergentes explicadas abaixo para ficar um passo à frente dos caras maus.
1- Cofres de senhas
Programas de administração de senhas são como filtros de spam – ferramentas entediantes, mas essenciais para administrar sua vida digital. Um bom administrador de senhas lembrará você de todos os logins, substituirá as senhas simples que você escolheu por senhas mais complexas e permitirá modificar essas senhas rapidamente se um site ou serviço que você utiliza for invadido.
A melhor parte: em vez de ter de lembrar-se dúzias de senhas, você só terá de lembrar uma: a senha mestre para seu cofre. E a menos que você sempre entre na mesma máquina e no mesmo navegador, você provavelmente desejará usar um programa baseado em nuvem como o LastPass, o 1Password, ou o Roboform que possa aplicar seus logins a qualquer computador, celular ou tablet que você utilize.
A parte ruim: você ainda terá de lembrar sua senha mestre, e ela deve realmente ser uma boa senha, composta de uma mistura razoável de números, letras em maiúsculo e minúsculo e caracteres especiais como interrogações e pontos de exclamação.
É claro que um atacante que conseguir implantar um keylogger (software que registra todas as teclas pressionadas em seu teclado) em seu computador será capaz de obter suas senhas à medida que você as digita, nota Robert Siciliano, um especialista de segurança online da McAfee que usa um cofre de senhas para armazenar mais de 700 logins. De forma semelhante, se os bandidos invadirem um cofre de senhas baseado em nuvem — como aconteceu ao LastPass em maio de 2011 — pode ser o fim do jogo.
Felizmente, para os clientes do LastPass, nenhuma informação secreta foi obtida a partir do ataque de 2011, mas da próxima vez que uma invasão bem sucedida ocorrer (e é inevitável que isso vai acontecer a alguma empresa de segurança em algum lugar), os usuários podem não ter tanta sorte.
No final das contas: cofres de administração de senhas oferecem uma ótima oferta e são ferramentas essenciais para qualquer um que valorize a segurança digital.
2 - Autenticação multifatorial
Senhas complexas armazenadas em um cofre codificado é apenas o primeiro passo. Algumas páginas dependem de um segundo nível de segurança para identificar usuários – normalmente um hardware que apenas o usuário por direito possui.
Dessa forma, mesmo um atacante que saiba sua senha precisará ter acesso, digamos, ao seu celular ou computador a fim de roubar seus dados.
Instituições financeiras são obrigadas por lei a utilizarem múltiplos fatores ao lidarem com transações online, mas elas podem fazer isso em segundo plano autenticando sua máquina ou sua localização, diz Siciliano. Então, por exemplo, caso você more em São Paulo e alguém em Xangai tente acessar sua conta bancária, tal transação talvez seja bloqueada, ou essa pessoa deverá fornecer mais autenticações por meio da inserção de um número enviado para um dispositivo fornecido pelo banco.
O Google e o Facebook agora oferecem autenticação de fator duplo também: você pode conseguir que eles enviem um PIN temporário para seu celular sempre que você acessar tais páginas a partir de uma máquina desconhecida (este PIN deve ser fornecido junto com sua senha na primeira vez que você tenta entrar através da nova máquina). Este conjunto de medidas de segurança teria evitado todas as dificuldades que Mat Honan sofreu no mês passado.
Infelizmente, tirando os bancos e algumas páginas mais famosas, a maior parte dos domínios online simplesmente não oferece autenticação multifatorial – em parte porque não é muito conveniente, e a maior parte dos usuários de internet está disposta a trocar a segurança por logins simples.
“A autenticação de duplo fator nem sempre passa no teste da vovó”, conta Siciliano. “Isso significa mais ligações ao suporte, mais redefinições de senha e custos mais altos. É por isso que elas são utilizadas apenas por empresas que têm muito a perder”.
3 - Biometria
A beleza da biometria é que você não precisa lembrar de nada, muito menos de uma senha complexa. Em vez disso, um sistema de segurança biométrico envolve as propriedades únicas de seus próprios acondicionamentos físicos para autenticar sua identidade.
Sistemas biométricos podem escanear impressões digitais, íris, rostos e até mesmo vozes para definir se uma pessoa deve ou não ter acesso a um serviço ou hardware. Elas ainda não foram implantadas nos maiores serviços de nuvem, mas Terry Hartmann, da Unisys, diz que grandes bancos estão guiando os sistemas de identificação biométrica, e esperam que eles comecem a ser utilizados no próximo ano. A recente aquisição da AuthenTec por $360 milhões por parte da Apple, empresa criadora da tecnologia de varredura de impressão digital, sugere que alguma forma de identificação biométrica pode ser introduzida em futuros produtos da Apple.
Contudo, a biometria não é perfeita. Pesquisadores fraudaram scanners biométricosutilizando dedos de gelatina, e enganaram sistemas de reconhecimento facial utilizando fotografias. Na última conferência BlackHat ocorrida em julho, pesquisadores de segurança demonstraram uma forma de enganar scanners de íris por meio da engenharia reversa dos dados de imagem.
E, é claro, hackers podem ter como alvo os dados biométricos armazenados em uma base de dados central e roubarem identidades substituindo seus próprios dados biométricos no lugar dos dados da vítima.
Em relação a senhas e outras informações pessoalmente identificáveis, o nível de proteção fornecido pela segurança biométrica dependeria completamente da competência de quem quer que tenha armazenado os dados (todos sabemos o quão bem isso funcionou com o LinkedIn).
Exigir a biometria em logins também torna difícil manter o anonimato (se não impossível) para dissidentes políticos, denunciantes e pessoas que possuam múltiplas identidades por razões pessoais ou professionais. Temores em relação a uma vigilância governamental ao estilo Minority Report também podem dar um descanso aos clientes.
Apesar disso, Joseph Pritikin, diretor de marketing de produtos da AOptix Technologies, uma fabricante de scanners de íris utilizados em aeroportos e em passagens de fronteiras, prevê que a utilização da biometria pelos smartphones será um dos dispositivos chave de identificação do futuro, em parte porque os dados podem ser armazenados de forma segura no próprio dispositivo.
“Será uma combinação de algo que eu sou com algo que eu possuo, muito possivelmente um smartphone”, conta Pritikin. “Seria difícil quebrar a codificação deles baseada em hardware”.
4 - Uma identificação para comandar todas
Por fim, a solução ideal para a avalanche de senhas é unificar todos os nossos diferentes logins e identidades online. Na administração Obama, que em abril de 2011 lançou uma iniciativa publico-privada, o National Strategy for Trusted Identities in Cyberspace(Estratégia Nacional para Identidades Confiáveis no Ciberespaço), a ideia é desenvolver um ecossistema de identidades que permita que os clientes utilizem qualquer sistema de verificação e os apliquem em qualquer página.
Tal sistema seria capaz de verificar se você possui idade suficiente para comprar vinho online ou se você se qualifica para um desconto estudantil, sem necessariamente compartilhar todas as suas informações pessoais com cada site, conta Jim Fenton, especialista de segurança da OneID, um sistema de administração de identidade na internet. O sistema também permitiria operar sob um pseudônimo, se isso for desejável.
Mas as engrenagens do governo funcionam lentamente. Mês passado, o comitê de direção da NTSIC fez sua primeira reunião. Dentre os problemas que ela eventualmente terá de lidar estão a quantidade de informações que devem ser compartilhadas entre partidos e quanto controle os clientes devem ter sobre tal informação, conta Fenton, um membro do comitê de privacidade.
Em outras palavras: a ajuda está a caminho, mas ela não vai chegar tão cedo. Entretanto, estamos atados a senhas. Crie boas senhas e certifique-se que elas estão bem protegidas a sete chaves.
Nenhum comentário:
Postar um comentário
deixe aqui seu comentário