quarta-feira, 23 de dezembro de 2020

SENHAS E MAIS SENHAS (FINAL)

SOMENTE UM IDIOTA RESPONDE UMA PERGUNTA COM OUTRA PERGUNTA.

Há quem questione a segurança dos gerenciadores de senhas, sobretudo os freewares open-source, argumentando que qualquer um pode ter acesso ao código-fonte do programa, e aí... Aí nada. Ter acesso ao código é uma coisa, modificá-lo para fazer com ele o que bem entender é outra. Além disso, é a senha, não o código, que dá acesso aos dados criptografadas e armazenadas pelo aplicativo (para saber mais sobre código aberto e proprietário, acesse esta sequência de postagens). 

O fato é que, gostemos ou não, as senhas são um mal necessário, e como somos obrigados a ter uma coleção delas, é virtualmente impossível memorizá-las. Em última análise, não há nada de errado em anotá-las no melhor old fashioned way, desde que se mantenha a agenda, caderneta ou o que for em local seguro, fora do alcance de bisbilhoteiros. De mais a mais, usuários domésticos não são o Pentágono, a NASA ou o Fort Knox.

Claro que não se deve criar senhas absurdamente óbvias, nem compartilhar as menos óbvias com terceiros (vale o que eu disse no post anterior sobre casamentos, noivados, namoros, amizade e o escambau, ou por outra, “segredo entre três, só matando dois”). Por outro lado, aquela dica sobre criar senhas misturando letras maiúsculas, minúsculas, algarismo e caracteres especiais está datada, segundo algumas correntes filosóficas. Até porque, dizem os sectários dessas seitas revolucionárias, as recomendações em questão remontam à virada do milênio.

Vinte e um anos podem não parecer muito tempo, mas, no âmbito da evolução tecnológica, equivalem a séculos. Atualmente, boa parte dos especialistas em segurança digital sugere tornar as senhas tão longas quanto possível, já que o brut force attack (método que consiste em experimentar todas as combinações alfanuméricas possíveis) pode ser mitigado mediante a limitação da quantidade permitida de tentativas de login.

Isso parece conversa do Bolsonaro, que diz um bobagem antes do café da manhã, desdiz na hora do almoço e volta atrás no começo da noite. Mas o fato é que usar palavras inteiras, sem conexão entre elas, é mais seguro do que fazer as misturebas que vínhamos fazendo há duas décadas.

Uma senha como “exceção honesto político ladrão”, p.ex., é mais difícil de ser descoberta que “Br0ub7d$r&3” e bem mais fácil de memorizar. A primeira poderia levar mais de 500 anos para ser adivinhada por um computador, ao passo que a segunda, aparentemente mais segura, não duraria mais de três dias. Por outro lado...

Senhas numéricas de 4 algarismos são fáceis de lembrar e oferecem proteção responsável, desde que combinadas com uma segunda camada de segurança. Se você tem conta em banco, provavelmente usa uma senha de 4 dígitos combinada com sua impressão digital ou mapa dos vasos sanguíneos da palma da mão (autenticação por biometria). Ou um token que gera uma senha adicional descartável.

Também chamado de OTP (de one time password), o token pode ser um dispositivo de hardware ou app que a gente instala no smartphone, por exemplo. Ele gera uma senha descartável que vale para um único acesso e perde a validade se não for digitada segundos após ter sido criada. Além disso, determinados modelos de token armazenam e suportam certificados digitais, o que torna a conexão ainda mais segura.

Observação: Algumas instituições financeiras utilizam a autenticação baseada em três fatores: a Senha/PIN (o que se sabe), o Token (o que se tem) e métodos biométricos (o que se é). O aumento do número de fatores no processo de autenticação dificulta significativamente a ação dos fraudadores.

Vale também ativar a autenticação de dois fatores (2FA) em seus aplicativos e serviços. O site Two Factor Auth ensina a configurar esta função em cada página web — seja ela bancária ou de redes sociais. Para mais dicas sobre senhas, acesse a página da MCAFEE ou recorra ao serviço MAKE ME A PASSWORD. Para testar a segurança de suas senhas, acesse a CENTRAL DE PROTEÇÃO E SEGURANÇA DA MICROSOFT ou o site HOW SECURE IS MY PASSWORD.