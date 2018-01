Hoje o tema do texto é segurança. Mais especificamente, formas de proteger os seus dados, já que hoje as informações são armazenadas de forma úbiqua com acesso geralmente restrito por senha. Logo para começar, CUIDADO.

Para facilitar a vida dos usuários, várias páginas e serviços na Internet (incluindo vários ligados a dinheiro) costumam oferecer, como forma de recuperar uma senha esquecida, algum mecanismo vinculado a um endereço de email (mais recentemente há também a possibilidade de acesso pelo facebook). Isso implica que, se alguém obtém acesso ao seu email, ele pode também ter acesso a vários outros serviços. Então, como podemos proteger o acesso ao email (e a outros serviços semelhantes)?

A primeira resposta óbvia é a escolha de uma boa senha; quando mais difícil de “advinhar”, melhor. Existem algumas técnicas para quebrar senhas, mas as mais simples (e geralmente mais eficazes!) são variações sobre a força bruta, isto é, tentar combinações até encontrar a correta. Isso é relativamente simples, ainda mais para um computador. Dessa mesma forma é possível abrir, com um pouco de paciência, os cadeados com combinações de 3 ou 4 dígitos (sim, eu já fiz isso em pouco mais de uma hora 🙂 ).

As técnicas de força bruta podem ser mais engenhosas que simplesmente testar todas as possibilidades a esmo: pode-se, por exemplo, usar um dicionário de palavras comuns. Isso funciona muito bem, pois MUITAS pessoas usam senhas extremamente simples, como “123456”, “senha”, “asdfgh”. Daí vem a pergunta: como criar senhas melhores, que sejam mais difíceis de quebrar e, ao mesmo tempo, não tão difíceis de lembrar?

Uma técnica que já há tempos vem sendo comumente recomendada e usada é a de se juntar as primeiras letras de uma frase que signifique algo, como por exemplo: “Gostei muitos das minhas férias nas praias da Califórnia em 2015”; a partir dessa frase, a senha então seria: “GmdmfnpdCe2015”. O importante é que seja uma frase fácil de lembrar, de forma que seja fácil recompor a sequência inicial de letras. O uso de nomes próprios ajuda a ter caracteres maiúsculos. Também é importante que a senha resultante seja relativamente longa, de preferência com ao menos 14 caracteres.

Há um mecanismo primitivo e, na minha opinião, muito ruim quando somos forçados a usá-lo: a inclusão de dígitos e caracteres especiais. Vários serviços pedem que a senha tenha no mínimo 8 caracteres, sendo ao menos um dígito e um caractere especial. Por que primitivas? Porque incluir dígitos e caracteres especiais aumenta um pouco o universo de possibilidades que precisam ser exploradas, mas na prática a imensa maioria dos usuários escolhe uma senha do tipo “1senha-que-eu-sempre-uso!” ou “m!nha-s3nha”, eliminando essa vantagem. Além disso, a exigência torna a senha mais complexa para ser lembrada e o usuário acaba escolhendo palavras simples para compor o “miolo” da senha.

Para obter uma senha razoável, há uma forma bem mais eficaz: a junção de palavras diferentes (preferencialmente sem relação), mas novamente ligadas a lembranças. Usando o exemplo acima: “FeriasPraiasCalifornia2015”. As senhas ficam mais longas e não são tão seguras quanto usando a técnica das primeiras letras de uma frase, mas são bem melhores que senhas de 8 caracteres. Um outro truque é usar “enchimento”, ou seja, senhas do tipo “!!!!!FeriasPraiasCalifornia2015!!!!!”, “abcdeFeriasPraiasCalifornia2015fghij” etc. Os caracteres adicionais não acrescentam muita complexidade mas tornam a senha mais longa (por isso são “enchimento”), reduzindo a eficiência de ataques baseados em dicionários.

Um recurso que oferece uma grande melhoria na segurança (embora não seja infalível) é a autenticação dupla, que além da senha tradicional também usa um elemento de segurança adicional, no caso algo que esteja em nosso poder. Isso é bem comum com os “tokens” fornecidos pelos bancos ou enviados por SMS, mas alguns serviços da Internet, como Facebook, twitter e google, também oferecem o serviço. Afinal, nunca é demais pensar em segurança.

Para concluir, um fato recente. Quase todos os dias somos vítimas de emails maliciosos que têm o objetivo de capturar dados pessoais; os mais comuns são aqueles enviados supostamente por bancos, pedindo os mais diversos dados. Essa técnica é conhecida por phishing. Neste final de semana houve um ataque muito sutil, no qual várias pessoas com experiência em segurança caíram. Imagine que você receba uma mensagem por SMS avisando que a sua conta foi comprometida e que, como medida de segurança, você deve responder com o código que vai ser enviado na próxima mensagem. Ingenuamente, pode-se pensar que não há risco nenhum, pois não se pediu nenhum dado confidencial. Infelizmente, não é verdade: o sujeito mal-intencionado já possui seus dados e sua senha e apenas precisa do código adicional do banco ou site para invadir sua conta! Mas como ele obteve sua senha? Mais uma dica: não use suas senhas mais importantes em mais de um serviço, pois uma falha em um deles expõe suas senhas em outros.

Para que esse texto fique com algo relacionado a Software Livre, que tal um pouco de trabalho da comunidade: vamos compartilhar abaixo ideias para que os nossos dados permaneçam seguros?

* Alfredo Goldman é Professor de Ciência da Computação no IME/USP e diretor do CCSL-IME/USP