SOMENTE
UM IDIOTA RESPONDE UMA PERGUNTA COM OUTRA PERGUNTA.
Há quem questione a segurança dos gerenciadores de senhas, sobretudo os freewares open-source, argumentando que qualquer um pode ter acesso ao código-fonte do programa, e aí... Aí nada. Ter acesso ao código é uma coisa, modificá-lo para fazer com ele o que bem entender é outra. Além disso, é a senha, não o código, que dá acesso aos dados criptografadas e armazenadas pelo aplicativo (para saber mais sobre código aberto e proprietário, acesse esta sequência de postagens).
O fato é que, gostemos ou não, as senhas são um mal
necessário, e como somos obrigados a ter uma coleção delas, é virtualmente
impossível memorizá-las. Em última análise, não há nada de errado em anotá-las
no melhor old fashioned way, desde que se mantenha a agenda, caderneta
ou o que for em local seguro, fora do alcance de bisbilhoteiros. De mais a
mais, usuários domésticos não são o Pentágono, a NASA ou o Fort Knox.
Claro que não se deve criar senhas absurdamente óbvias,
nem compartilhar as menos óbvias com terceiros (vale o que eu disse no post
anterior sobre casamentos, noivados, namoros, amizade e o escambau, ou por outra,
“segredo entre três, só matando dois”). Por outro lado, aquela dica sobre criar
senhas misturando letras maiúsculas, minúsculas, algarismo e caracteres
especiais está datada, segundo algumas correntes filosóficas. Até porque, dizem
os sectários dessas seitas revolucionárias, as recomendações em questão
remontam à virada do milênio.
Vinte e um anos podem não parecer muito tempo, mas, no âmbito
da evolução tecnológica, equivalem a séculos. Atualmente, boa parte dos
especialistas em segurança digital sugere tornar as senhas tão longas quanto possível, já que o brut
force attack (método que consiste em experimentar todas as
combinações alfanuméricas possíveis) pode ser mitigado mediante a limitação da
quantidade permitida de tentativas de login.
Isso parece conversa do Bolsonaro, que diz um bobagem antes do café da manhã, desdiz na
hora do almoço e volta atrás no começo da noite. Mas o fato é que usar palavras
inteiras, sem conexão entre elas, é mais seguro do que fazer as misturebas que vínhamos
fazendo há duas décadas.
Uma senha como “exceção
honesto político ladrão”, p.ex., é mais difícil de ser descoberta que “Br0ub7d$r&3” e bem mais fácil de
memorizar. A primeira poderia levar mais de 500 anos para ser adivinhada por um computador, ao passo que a
segunda, aparentemente mais segura, não duraria mais de três dias. Por outro lado...
Senhas numéricas de 4 algarismos são fáceis de lembrar
e oferecem proteção responsável, desde que
combinadas com uma segunda camada de segurança. Se você tem conta em banco,
provavelmente usa uma senha de 4 dígitos combinada com sua impressão digital ou
mapa dos vasos sanguíneos da palma da mão (autenticação por biometria). Ou um token que gera uma senha adicional
descartável.
Também chamado de OTP (de one time password), o token pode ser um dispositivo de
hardware ou app que a gente instala no smartphone, por exemplo. Ele gera uma
senha descartável que vale para um único acesso e perde a validade se não for
digitada segundos após ter sido criada. Além disso, determinados modelos
de token armazenam e
suportam certificados digitais, o que torna a conexão ainda mais segura.
Observação: Algumas
instituições financeiras utilizam a autenticação baseada em três fatores:
a Senha/PIN (o que se
sabe), o Token (o que se
tem) e métodos biométricos (o
que se é). O aumento do número de fatores no processo de autenticação dificulta
significativamente a ação dos fraudadores.
Vale também ativar a autenticação de dois fatores (2FA) em seus aplicativos e serviços. O
site Two Factor Auth ensina a configurar esta função em cada
página web — seja ela bancária ou de redes sociais. Para mais dicas sobre
senhas, acesse a página da MCAFEE ou recorra
ao serviço MAKE ME A PASSWORD. Para testar a segurança de suas senhas,
acesse a CENTRAL DE PROTEÇÃO E SEGURANÇA DA
MICROSOFT ou o site HOW
SECURE IS MY PASSWORD.
