GOSTO DE OLHOS QUE SORRIEM, DE GESTOS QUE SE DESCULPAM, DE TOQUES QUE SABEM CONVERSAR E DE SILÊNCIOS QUE SE DECLARAM.
Uma dica batida, mas funcional, é aproveitar as letras ou sílabas iniciais de um de um poema ou uma canção. Assim, “batatinha quando nasce se esparrama pelo chão” nos dá “baquanasespechao” (que demoraria 34.000 anos para ser descoberta por um ataque brute force a partir de um PC comum, de acordo com o site How Secure Is My Password).
Para aumentar a segurança, bastaria alternarmos letras maiúsculas e minúsculas, o que nos daria bAquaNnaSsEeSpEchAo (e elevaria
o tempo estimado para 300 trilhões de anos). Mas isso não nos autoriza a usar a
mesma senha para tudo, e memorizar dúzias de combinações complexas como essa e
o que cada uma delas permite acessar é treinar para louco.
Se não podemos confiar na memória nem anotar as senhas em post-its e grudá-los na moldura do monitor, por que não aceitar a simpática sugestão do navegador, que se propõe a memorizar as passwords e as inseri-las nos campos respectivos quando necessário? Porque, apesar de ser prática, essa opção não é segura o bastante.
No Chrome, basta digitarmos chrome://settings/passwords
na barra de endereços e teclar Enter para visualizar as senhas salvas no
banco de dados "SQLite3", que fica em %LocalAppData%\Google\Chrome\User
Data\Default\Login Data.
Observação: SQLite é
uma biblioteca de código aberto, desenvolvida em linguagem C, que permite criar
um banco de dados na própria aplicação (ou banco de dados embutido),
que tem como vantagem a simplicidade e como desvantagens a performance e a
limitação de recursos.
Em tese, as senhas são exibidas apenas para o usuário que estava logado no sistema por ocasião de sua memorização. Na prática, porém, a teoria costuma ser outra.
Se você se logar no Face, autorizar
o Chrome a memorizar os dados de login e usar o DB
Browser for SQLite para acessar o arquivo do banco de dados, verá
a URL da página e seu nome de usuário em texto
simples. Sua senha será exibida no formato hexadecimal (vide
caixa vermelha à direita da imagem que ilustra o post), mas a ferramenta CryptUnprotectData pode
decodificá-la e exibir no modo texto, o que é uma mão na roda para os
cibercriminosos. E se houver problemas para visualizar a password
criptografada em BLOB (binary large object), a poderosa
linguagem de programação Python
permite fazer de maneira simples e rápida coisas que antes exigiam
conhecimentos avançados em C.
Observação: Note que os fraudadores nem
precisam ter acesso físico ao computador: o “trabalho” pode ser feito
remotamente com a ajuda de programinhas específicos (que existem aos
montes na Web), e até por malwares.
Há anos que as instituições financeiras vêm exigindo dupla
autenticação, o que dificulta sobremaneira a ação dos fraudadores. Algumas
utilizam a autenticação baseada em três fatores: a Senha/PIN (o
que se sabe), o Token (o que se tem) e métodos
biométricos (o que se é) para identificação. O aumento dos fatores no
processo de autenticação dificulta ainda mais a ação de criminosos.
A maioria dos serviços baseados na Web suporta o 2FA, mas não o habilita por padrão ― o site Two Factor Auth ensina a configurar esta função na maioria dos webservices que a suportam.
A tal “segunda camada” pode ser um número de identificação
pessoal (PIN), a resposta a uma “pergunta secreta”, um padrão específico
e pressionamento de tela, uma senha de seis dígitos gerada por um token de
hardware ou um aplicativo instalado no smartphone (que vale para um único
acesso e expira em menos de 1 minuto) ou um padrão biométrico — impressão
digital ou de voz, reconhecimento facial, varredura da íris etc.
Gerenciadores de senha dedicados são
mais seguros que os “memorizadores” integrados aos browsers. Eu uso e recomendo
o 1Password,
mas o RoboForm e
o LastPass são
gratuitos e muito bons. Outra opção interessante é KeePass, que protege as senhas
com criptografia de 256 bits e pode rodar a partir de um
pendrive ou de uma pasta criada no HDD.
As versões baseadas na Web dispensam
instalação e costumam oferecer recursos adicionais, tais como geração de senhas
aleatórias seguras e armazenamento de números de cartões de crédito. Tanto a
encriptação quanto a decriptação dos dados são feitas localmente (no próprio
computador), e da feita que as administradoras de cartões não têm acesso à chave
criptográfica um eventual ataque a seus servidores não colocará em risco a
privacidade dos clientes.
A Intel Security tomou a iniciativa de declarar
a primeira terça-feira do mês de maio como Dia
Mundial da Senha, quando as pessoas devem assumir o compromisso de
alterar suas senhas por outras mais seguras, e compartilhar em suas redes
sociais (acompanhada da hashtag #WorldPasswordDay) ao menos uma dica
sobre a importância de criar e manter senhas fortes.
Para mais dicas sobre senhas, acesse a página da MCAFEE ou recorra ao serviço MAKE ME A PASSWORD; para testar a segurança de suas senhas, acesse a CENTRAL DE PROTEÇÃO E SEGURANÇA DA MICROSOFT ou o site HOW SECURE IS MY PASSWORD.
