O
ESPÍRITO DA LEI VAI ALÉM DA SUA LETRA FRIA.
Vimos no capítulo anterior que senhas curtas e simples não oferecem proteção responsável, pois são fáceis de quebrar. Para se ter uma ideia, um ataque considerado leve pelos
especialistas em segurança — com 10 mil guesses por segundo —
demoraria 14 anos para quebrar uma senha composta de 9 das 26 letras do
alfabeto, todas minúsculas e sem repetição, ao passo que um ataque moderado — com 1
bilhão de guesses por segundo — faria esse trabalho em pouco
mais de uma hora.
Uma senha com 20 dígitos levaria 63 quatrilhões
de anos para ser quebrada por um ataque leve, e respeitáveis 628
bilhões de anos para ser descoberta através de um ataque moderado. E a
dificuldade aumenta à medida que letras maiúsculas e minúsculas são combinadas
com algarismos e caracteres especiais (como
%, &, $, #, @ etc.).
Por outro lado — e
tudo tem um outro lado —, essas recomendações remontam a 2003. Dezessete anos podem não parecer muito tempo, mas, no âmbito da evolução tecnológica, equivalem
a séculos. Atualmente, os especialistas em segurança digital recomendam tornar as
senhas tão longas quanto possível, já que o brut force attack
(método que consiste em experimentar
todas as combinações alfanuméricas possíveis) pode ser mitigado mediante a limitação da
quantidade de tentativas de login permitidas.
Isso parece
conversa do Bolsonaro, que diz uma
coisa pela manhã, desdiz o que disse na hora do almoço e volta atrás no começo da noite, mas o fato é que usar palavras inteiras, sem conexão entre elas, é mais seguro do que fazer as misturebas que vimos linhas atrás.
Uma senha como “exceção honesto político ladrão”, por exemplo, é mais difícil de ser descoberta que “Br0ub7d$r&3”, também por exemplo. E bem mais fácil de memorizar. A primeira poderia levar mais de 500 anos para ser adivinhada por um computador, enquanto a segunda, aparentemente mais segura, poderia ser quebrada em apenas três dias. No entanto...
Uma senha como “exceção honesto político ladrão”, por exemplo, é mais difícil de ser descoberta que “Br0ub7d$r&3”, também por exemplo. E bem mais fácil de memorizar. A primeira poderia levar mais de 500 anos para ser adivinhada por um computador, enquanto a segunda, aparentemente mais segura, poderia ser quebrada em apenas três dias. No entanto...
Senhas numéricas de 4 algarismos são fáceis de lembrar e oferecem
proteção responsável quando combinadas
com uma segunda camada de segurança. Se você tem conta em banco, provavelmente
usa uma senha de 4 dígitos combinada com sua impressão digital ou o mapa dos vasos
sanguíneos da palma da mão (autenticação por biometria). Ou usa um token para gerar
uma senha adicional descartável.
Também chamado de OTP
(de one time password), o token pode ser um dispositivo de hardware ou um software que você instala no smartphone, por exemplo. Ele gera uma senha descartável que você utiliza usa uma única vez, e que perde a validade se não
for digitada depois de alguns segundos. Determinados modelos de token armazenam e
suportam certificados digitais, o que torna a conexão ainda mais segura.
Observação: Algumas
instituições financeiras vêm utilizando a autenticação baseada em três fatores:
a Senha/PIN (o que se sabe), o Token (o que se tem) e métodos biométricos (o que se é) para
identificação. O aumento dos fatores no processo de autenticação dificulta sobremaneira
a ação dos fraudadores.
Por último, mas não menos importante: se você estiver em
trânsito, seu smartphone ficar ser bateria e for preciso ler um email
importante ou fazer uma transação bancária urgente, por exemplo, será inevitável recorrer a uma máquina pública (como as de lanhouses ou cybercafés). Nesse
caso, é importante você não esquecer de fazer o logoff antes
de fechar o navegador, ou a próxima pessoa que usar a máquina poderá se
aproveitar da situação para... enfim, acho que deu pra entender.
Vale também ativar a autenticação de dois fatores (2FA) em seus aplicativos e serviços. O
site Two Factor Auth ensina a configurar esta função em cada
página web — seja ela bancária ou de redes sociais. Para mais dicas sobre senhas, acesse a página da MCAFEE ou recorra
ao serviço MAKE ME A PASSWORD; para testar a segurança de suas senhas,
acesse a CENTRAL DE PROTEÇÃO E SEGURANÇA DA
MICROSOFT ou o site HOW
SECURE IS MY PASSWORD.
