Esta quinta-feira, assinala-se o Dia Mundial das Passwords. Com o número de ataques a aumentar a cada dia, pode não existir uma fórmula mágica para eliminar por completo o risco, mas há formas de o minimizar.
Nuno Loureiro é co-fundador e CEO da startup portuguesa Probe.ly, que verifica a segurança de aplicações web, em busca de possíveis vulnerabilidades que possam ser exploradas. A trabalhar no mercado da segurança, o co-fundador da empresa está habituado a ver comportamentos e práticas pouco recomendáveis do lado do utilizador comum – e nem só da segurança das empresas.
“A segurança tem de ser uma preocupação da própria pessoa”, relembra Nuno Loureiro, que explica que se for a pessoa a tomar o passo de colocar em prática medidas para se proteger “a própria consciência do risco passa a ser diferente”.
E como é que é possível tomar algumas medidas? Para o responsável da Probe.ly, em primeiro lugar é preciso encarar o problema da reutilização de passwords para vários serviços. “A primeira coisa que acontece quando uma password é comprometida é o cenário de um hacker ir ao Facebook, LinkedIn, Gmail e coisas do género e experimentar fazer login”. E, em muitos casos, a mesma password é usada para vários acessos. “Portanto isso é o cenário mais comum e o principal problema da reutilização das passwords”.
Leia também | O homem que está a resolver o problema que nem a Apple e a Google conseguem
Se acha que está protegido porque usa variações da mesma password para diferentes serviços, Nuno Loureiro ‘acaba’ com as ilusões: “a verdade é que quem usa isto não tem propriamente uma password diferente para cada site. Se eu conseguir descobrir [a palavra-passe] em dois ou três sites, facilmente vejo o padrão de criação e adivinho a password do resto dos sites – isso não é propriamente uma medida forte”.
Além disso, ainda há outro ponto: a memorização de passwords. “Se somos nós a definir as nossas passwords nos sites e conseguimos memorizá-las é porque não vão ser fortes”, realça o responsável da Probe.ly, que relembra que “é bom ter uma password com uma extensão superior a 12 caracteres; o ideal seria na ordem dos 20 caracteres”.
Mas, por mais que o requisito da extensão da palavra-passe seja cumprido, uma das recomendações de Nuno Loureiro passa mesmo pelo uso de um gestor de passwords. E, neste género de produtos, onde são guardadas todas as passwords e dados de acesso, à distância de uma palavra-passe ‘mestra’ devemos confiar em todos os produtos do mercado? Nuno Loureiro recomenda a “procura daqueles que são mais maduros, que estão há mais tempo no mercado e cuja segurança já foi escrutinada”.
Leia também | Estes produtos ajudam a manter as suas passwords em segurança
Esta parte é importante, relembra Nuno. “Se a segurança já foi escrutinada, já foram descobertos problemas ao longo do tempo e corrigidos – ou seja, já inspira alguma confiança. Se usarmos um gestor de password que foi lançado ontem claro que existem riscos adicionais”.
Outra forma de o utilizador estar mais “descansado” passa pela autenticação de dois factores. “Havendo dois factores, o atacante precisa de comprometer duas coisas e isso é sempre muito mais difícil do que quando temos só um factor”, exemplifica Nuno Loureiro, acrescentando que “essa é a chave para as pessoas estarem mais seguras na internet”.
Leia também | Probe.ly, a “sonda” para descomplicar a segurança das aplicações web
Entre os vários factores de autenticação disponíveis, o responsável da Probe.ly considera o SMS (onde é enviado um código para o telefone, que é necessário inserir para confirmar) como um “factor mais fraco”, preferindo o Google Authenticator, por exemplo.
Ainda assim, reconhece que “mesmo que [segundo factor] seja mau, já é um segundo fator, não é a única forma de autenticação”, o que dificulta o trabalho a quem queira aceder a contas alheias.
Veja aqui mais temas ligados a segurança:
- O homem da Google que controla e quer matar as nossas passwords
- Oito simples passos para proteger a sua identidade
- “Posso deitar abaixo o Governo em 15 dias.” Alerta de cibersegurança em Portugal
- Botão de volume do smartphone já pode desbloquear a sua conta Google
- 28% dos portugueses nunca reveem as suas definições de segurança online
Estas são as 15 piores passwords da Internet. A sua está na lista?